Att förena informationssäkerhet med verksamhetsnytta har varit min målsättning när jag jobbat med sjukvård, med kommuner, med myndigheter eller med privata företag.

Två viktiga slutsatser har jag dragit. Den första är att informationssäkerhet alltid kostar men att det finns ett val. Antingen kan pengarna läggas på panikåtgärder vid incidenter och på bristande funktionalitet. Eller så kan de läggas på ett systematiskt och kvalitetshöjande arbete som ger organisationen ordning och struktur även i andra avseenden. Den andra är att de åtgärder som vidtas för att förbättra säkerheten aldrig fungerar bra om de inte vilar på engagemang och medvetenhet i organisationen.