Finding The Hidden InfoSec Story

Ønske: Udvikling videre fra skyttegravskrig


Photo Credit: taytaytaytaytaytaytaytaytaylor via Compfight cc

Efter første verdenskrig udviklede doktrinen for land-baseret krigsførelse sig væk fra skyttegravskrig. Denne udvikling var baseret på både erfaringer fra den nys overståede verdenskrig samt teknologisk innovation, mere præcist: Kampvognen. Når vi ser tilbage nu på det ufattelige spild af menneskeliv, der foregik i fx Somme og andre steder under den første verdenskrig, så virker det alt sammen så formålsløst. Hvordan i al verden kunne nogensomhelst, nogensinde, få den ide, at det ville være en god ide at beordre tusinder og atter tusinder af soldater op af skyttegravene og direkte ind i den næste solide regn af kugler fra fjendernes maskingeværer, der på grund af et eneste (ok, måske nogle stykker) fløjt i en fløjte derefter forvandlede menneskeliv til pytter af bristet håb.

Det. Virker. Fuldstændigt. Retarderet. Der er med sikkerhed nogen, der er blevet stillet til ansvar for denne skamplet på menneskets historie, ikke? Nogen, et eller andet sted, må være ansvarlig for det. Hvem mener i det er? Løjtnanten som truede med at skyde enhver, der ikke fulgte med deres kammerater op af skyttegravene? Regimenthovedkvarteret, der bestemte hvilke battalioner, der skulle deltage i hvilke angreb og hvilke, der skulle holdes i reserve? Den øverkommanderende, der lagde kampplanerne og beordrede angrebene? Denne professor eller general, der opfandt og designede denne type af konflikt? Fjenden for at starte krigen, eller for ikke at overgive sig og slutte den? Der er en underliggende assymetri i, at en enkelt ordre fra et enkelt individ kan forårsage så massive tab af menneskeliv, så måske dette individ burde bære skylden? Eller måske ikke.

Lad os flytte denne analogi til Informationssikkerhed. Lad os kigge på den indenfor rammerne af min blog om de stakkels CISO’er, der bliver tilsvinet og gjort til syndebukke af CIO’er i en nyligt offentligt meningsmåling (http://blog.peerlyst.com/cios-dissing-cisos-dinosaurs/). Jeg synes ikke, at det er fair at bebrejde en CISO for en sikkerhedsbrud, hvor hackere har kompromitteret firmaets ressourcer mere end du kan bebrejde en soldat for at blive ramt af en kugle på slagmarken, specielt ikke hvis han aldrig har fået midlerne, værktøjerne og teknikkerne til at kunne gøre sit job. Du kan bebrejde dem, som CISO’en referer til, hvilket kan være bestyrelsen, CEO’en, CFO’en eller CIO’en. Eller du kan bruge hændelsen til at lære det grundlæggende faktum, at Informationssikkerhed er en assymetrisk konflikt mellem angriber og forsvarer. Du kan bruge hændelsen til at angribe Informationssikkerhed strategisk og give dine sikkerhedsansvarlige de rette midler, værktøjer og teknikker til at kunne udvikle sig videre fra skyttegravskrig og til en tilstand, hvor i opnår at have en infrastruktur, der aktivt kan forsvares. Lær af fejltagelser og bliv bedre.

This analogy was originally published on 10th November and is available in the following alternative languages.

Union_Jack1

Author: Claus Houmann

Share This Post On