Når teknisk sikkerhet innføres på en så streng måte at brukervennligheten blir sterkt redusert, da har det kanskje gått litt langt. Rammeverk og beste praksis anbefalinger som følges “blindt” for å få høy score, kan ha en veldig uheldig bakside.
Er man underlagt lover og regler, må man følge disse, men de sier sjelden noe om hvordan man teknisk skal gjennomføre ting. Mennesker må tenke selv for å finne en gyllen middelvei.
Restrisiko
Kjært barn, mange navn. Restrisiko. Risikoapetitt. Men om risikovurderingen knapt nok er gjort, og tiltak primært gjøres basert på generiske rammeverk, uten å linke det mot risikovurdering kan man få en del uheldige situasjoner.
Shadow IT
Hva skjer når brukere blir frustrert av å ikke kunne gjøre jobben sin? Mye kan skje, men en ting er at man blir kreativ. Og da finner man veier rundt sikkerheten, og er man heldig kommer man i mål, og man har skygge IT, altså metoder som går under radaren hos de som forvalter systemer og løsninger.
Skulle omveien ikke fungere skapes frustrasjon. Tid brukes unødvendig, og jobber blir ikke gjort.
Kommunikasjon
En ting er riskovurdering, en ting er sikkerhetstiltak, men kommunikasjon må forekomme. Uten kommunikasjon med brukere vil man skape forstyrrelser, som igjen vil skape frustrasjon, koste tid og ting blir forsinket.
Hva er god sikkerhet vs god nok sikkerhet?
Man kan lage god teknisk sikkerhet som i praksis er ubrukelig, og er det da god sikkerhet? Det handler om balanse. Det er mye bedre å lage god nok sikkerhet, der ting faktisk fungerer, noen ganger ved å kommunisere til brukere at noen ting må utføres på en litt annen måte, men allikevel ganske brukervennlig.
Risikoapetitt. Restrisiko. God nok sikkerhet.
Leave a Reply