Siste ut er Visma Familia «skandalen». Pekeleken, og de «skylder» på hverandre. Det pekes på «grunnleggende kvalitetskontroll hos leverandøren i dette tilfellet har vært mangelfull». Men hva med den andre veien, ansvaret og risikovurderingen? De som leverer forventes å ha en bra grunnleggende kvalitetskontroll, og naturligvis lære underveis. Men hva med bestiller og deres grunnleggende bestillerkompetanse og risikovurdering? Hva med bestillers evne og ydmykhet til læring og endring?
https://www.digi.no/artikler/visma-skandalen-dette-gikk-galt-da-systemene-feilet/539487?key=KXr5nUYH
De kommer frem ved hendelser
Artikkelen er gitt ut av digi.no. Dette ligger i det digitale domenet. Vi i bransjen savner tilstedeværelsen av ledelse tidligere. Styret/ledelsen har ansvaret, alltid. Hvor delaktig er de ved anskaffelse med tanke på risikovurdering og videre oppfølging? Her er det garantert store forskjeller, men jeg tror de fleste dessverre vil si at dette i all hovedsak er fraværende.
Om det i denne saken viser seg å være en feil på kundens IT systemer virker ikke ledelsen å peke på egne ansatte, og det er bra.
Hendelser
Østre Toten kommune, Nordland fylkeskommune, Fauske kommune, Vadsø kommune, og mange flere. Når hendelsen er et faktum kommer ledelsen frem med kommunedirektører og ordførere. Hvorfor? Jo, fordi verdier og tjenester for samfunnet er berørt, på deres vakt.
Ledelsen må opp i ringene
At ledelse kommer frem etter en hendelse er vel logisk. Men hvor har de vært underveis i prosessen, og kunne hendelsen vært unngått ved mer deltagelse underveis? Kanskje. Mest sannsynlig for mange hendelser.
VTS
- Verdier
- Trusler
- Sårbarheter
Man starter alltid med verdiene. De er ikke digitale, og ledelsen skjønner dem. Og det er dem det handler om. Det MÅ ledelsen i mye større grad ta inn til seg når digitale trusler og sårbarheter er til risiko for den ikke-digitale verdien (som er digitalisert)
I artikkelen vises det til at Visma har lært og endret ting. Om ledelsen er mer delaktig i risikovurdering, kan og vil de også kunne lære underveis. Ingenting er perfekt. Når risikovurderingen er på plass, vil man underveis oppdage forbedringspunkter og risikoen vil kontinuerlig reduseres.
KIT
Tre naturlige bokstaver som alltid vil være med i risikovurdering, og som er relevante også for innholdet i artikkelen:
- Konfidensialitet
- Integritet
- Tilgjengelighet
Konfidensialitet
Hvem skal ha tilgang? Hvem skal ikke ha tilgang? Hvordan sikre? Hvordan verifisere? Hvordan håndtere ved en eventuell hendelse? Osv.
Integritet
Kan man stole på løsningen? Kan man stole på datene og innholdet? Hva kan skje? Hvordan sikre? Hvordan verifisere? Hvordan håndtere ved en eventuell hendelse? Osv.
Dette er kjernen av saken i artikkelen.
Tilgjengelighet
Dette ligger i ryggraden til alle IT avdelinger og skjer nærmest av seg selv. Men. Den aller største trusselen på internett om dagen er Ransomware som vil få enorme konsekvenser for tilgjengelighet. Hvordan er dette risikovurdert, for man MÅ anta denne hendelsen for å kunne forberede seg på den. Ransomware er ikke bare nedetid, da det i tillegg er ødeleggelse som må håndteres.
Konklusjon
Ledelsen har ansvaret. Ledelsen må delta mye mer på risikovurderingen også innen det digitale selv om de ikke «kan» det, for det er til slutt ikke det digitale det handler om.
Leave a Reply