Hva koster det å la være?
Når de fleste virksomheter i dag velger skyløsninger for å øke fleksibiliteten, få skalerbarhet, smartere databruk og ikke minst bedre IT-sikkerheten, er det helt avgjørende at alle følger med i timen.
Saken ble først publisert på digi.no
Jeg har jobbet flere år innenfor forretningsutvikling, og ser to ulike perspektiver i mange virksomheter: De som ønsker å investere for å vinne terreng, og de som holder igjen pengesekken med begge hender - og argumenterer hardt for hvorfor man ikke skal investere.
Førstnevnte gruppe, som gjerne er fageksperter og forretningsutviklere, er ansatt for å spå om hva som kommer og gi sine anbefalinger om investeringer de mener bør gjøres for at virksomheten skal være sikker og konkurransedyktig i fremtiden. Den andre gruppa har som oppgave å jobbe for å redusere tap og ha kontroll på utgiftene.
Teknologi som fellesnevner
Med Daniel Kahneman og Amos Tverskys prospektteori fra 1979 i bakhodet, der de to herrene kunne dokumentere at vi mennesker opplever smerten av et tap langt sterkere enn gleden av tilsvarende gevinst, så er det interessant å spørre seg; hvordan bør man egentlig vekte de to gruppenes perspektiver?
”Smerten av et tap er langt sterkere enn gleden av tilsvarende gevinst.”
Vi skal ikke langt tilbake i tid før uttrykket disruptiv innovasjon var et trenduttrykk som satt svært løst i den offentlige debatten. Uttrykket brukes om nyskaping som forstyrrer et eksisterende marked ved å gjøre en eksisterende forretningsmodell irrelevant.
Ofte blir det eksemplifisert med videosjapper og salg av DVD-filmer som forsvant over natten da streamingtjenester som Netflix og HBO ble lansert. Meningmann vil vel kalle fenomenet «banebrytende» innovasjon, men det er på ingen måte noe som kun tilhører vår tid. Bilen erstattet hest og kjerre, datamaskinen var dødsstøtet for skrivemaskinen og telefonkioskene forsvant til fordel for mobilen.
Fellesnevneren for de fleste av disse disruptive innovasjonene er selvfølgelig teknologi og endrede brukervaner. Så har man egentlig råd til å si nei til å investere i nettopp teknologi?
Opp i skyen
Et annet eksempel fra vår tid er den berømte skyen, som på mange måter er den disruptive motvekten til «servere i kjeller’n». Alle virksomheter er på «skykjøret», enten man har et par-tre skytjenester man abonnerer på, er hybrid med servere i kjelleren og i skyen, eller har gått «all in» for sky.
Når en virksomhet etter hvert modnes for skytankegangen vil man se mange fordeler. Det vil være kostbesparende, man vil enklere få siste nytt og oppdaterte løsninger og ikke minst får man bedre kontroll. Eller?
Rask tilgang og driftsstabilitet er det lett å sammenligne, for dette er noe som direkte påvirker brukeropplevelsen. Det samme gjelder for økonomiavdelingene, som trolig vil se at de får mer for pengene. Men sikkerheten i skyløsningene er det ingen som ser noe særlig til før det eventuelt går galt, og da kan det gå riktig galt.
Ikke klar over ansvaret
Ifølge dagens lovverk er det ledelsen i enhver virksomhet som er ansvarlig for IT-sikkerheten i de løsningene de bruker, og ikke tjenestetilbyderen. Det gjelder også tilbydere av skytjenester. Dessverre er min erfaring at ledelsen i mange virksomheter som tar i bruk ulike IT-løsninger ikke er klar over ansvaret de har også for det de går til anskaffelse fra en tredjepart.
Forhåpentligvis vil dette det gå opp for flere og flere virksomhetsledere at de ikke kan stille tjenestetilbyder til ansvar dersom de opplever brudd på IT-sikkerheten, som i verste fall kan føre til enorme bøter for brudd på blant annet GDPR.
Like fullt så er det nok ingenting som vil være dyrere for tilbydere av skytjenester enn ikke å investere i sikkerhet. For dersom kundene blir rammet av IT-sikkerhetsbrudd i skyen vil tilbyderne oppleve tap av kunder, interne ressurser, fremtidig butikk og omdømme. I tillegg vil det ta lang tid å bygge opp tilliten både i markedet og i egen organisasjon igjen.
Vil stille større krav
Jeg er overbevist om at virksomheter som går i skyen vil bli mer og mer opptatt av å stille større krav til at alle tjenestetilbydere har sikkerhet som fokus i leveransene og driftsplattformen. For gjør man ikke dette, vil man ikke kunne svare på anbud, eller ivareta egen kundemasse på en måte som NSMs grunnprinsipper for IKT-sikkerhet legger føringer for.
Derfor frykter jeg, ikke bare når virksomheter står på terskelen til å utvikle potensielle disruptive innovasjoner, men også ved videreutvikling av slike, at prospektteorien skal spille en avgjørende rolle for investeringsbeslutningene som tas.
Og nå, mens jeg nå sannsynligvis har skapt hodebry for både bestillere og tjenestetilbydere, så logger jeg inn på Norges desidert største IT-sikkerhetsgruppe på FaceBook og nyter både utfordrende innspill, svar og diskusjoner fra Norges smarteste IT-sikkerhetshoder.
