Sluta obfuskera och gå vidare

Att lyckas med sitt informationssäkerhetsarbete handlar i hög grad om att kommunicera. Att kommunicera handlar i sin tur i hög grad om att skapa förståelse och samsyn. Detta är nödvändigt för att få människor och organisationer att agera. Banala sanningar kan tyckas men tyvärr är dålig kommunikation en ständig ledsagare för de som arbetar med informationssäkerhet. Ibland känns det som folk i branschen oavsiktligt använder obfuscation som sin normala kommunikationsform, här i Wikipedias definition:

Obfuscation is the obscuring of the intended meaning of communication by making the message difficult to understand, usually with confusing and ambiguous language. The obfuscation might be either unintentional or intentional (although intent usually is connoted), and is accomplished with circumlocution (talking around the subject), the use of jargon (technical language of a profession), and the use of an argot (ingroup language) of limited communicative value to outsiders.

Själva begreppet informationssäkerhet saknar en tydlig och accepterad uttolkning. Detta leder till problem både för dem som anser sig arbeta med ”informationssäkerhet” och för dem som avser att anställa eller anlita vad de tror är en definierad kompetens. Det blir inte enklare då man slänger in nya spännande beteckningar som ”cybersäkerhet”.

Jag tror att det finns en olycklig tendens att de som arbetar med informationssäkerhet (i någon form) är mer intresserade av att bekräfta varandra i gruppen än att skapa en relation med omvärlden, d.v.s. en relation byggd på ömsesidig förståelse. Därav obfuscation.

Ta exemplet med titeln ”CISO” som fått en snabb spridning i svenska myndigheter inklusive regioner och kommuner. Uttytt står CISO för chief information security officer vilket låter flott men titeln leder enligt min mening till mer oförståelse och förvirring än klarhet. När  informationssäkerhet  i sig ännu inte är ett hushållsbegrepp så min fråga är varför man i Söpple kommun väljer att höja svårighetsnivån ytterligare och införa en titel som är helt ogenomtränglig för alla utanför skrået.Vad man chiefar över är även det höljt i dunkel.

Särskilt märkligt blir detta titulerande sett i ljuset av den svenska språklagen som uttryckligen skriver:

Språkanvändningen i offentlig verksamhet

10 §   Språket i domstolar, förvaltningsmyndigheter och andra organ som fullgör uppgifter i offentlig verksamhet är svenska.

I annan lag finns särskilda bestämmelser om rätt att använda nationella minoritetsspråk och annat nordiskt språk.

När det gäller skyldigheten för domstolar och förvaltningsmyndigheter att anlita tolk och att översätta handlingar finns det särskilda bestämmelser.

11 §   Språket i offentlig verksamhet ska vara vårdat, enkelt och begripligt.

12 §   Myndigheter har ett särskilt ansvar för att svensk terminologi inom deras olika fackområden finns tillgänglig, används och utvecklas.

Detta har alltså svenska myndigheter att följa vilket jag finner som ett rimligt krav. Jag har funderat över varför så många väljer att bryta mot detta när det gäller CISO-begreppet, vad vill man uppnå på bekostnad av att varken den egna organisationen eller de invånare man är satt att tjäna begriper vad man sysslar med? CISO är ju inte heller på något sätt en skyddad yrkestitel eller resultatet av en specifik utbildning utan kan stå för litet vad som helst. Jag är den första att förespråka en klassisk professionalisering av vår yrkesgrupp, vilket jag skrivit om bland annat här, men då är det helt andra och mer seriösa åtgärder som krävs än en flashig titel. Vi borde vilja nå ut, inte spinna in oss i en allt tätare skråkokong.

Återigen; CISO-begreppet är bara ett exempel men jag tycker det är signifikativt för en attityd som jag menar är till nackdel både för professionen och för uppdragsgivare. En episod som ofta återkommer i mitt minne är när en medarbetare för ett antal år sedan argumenterade för sin linje (som inte var min) med fritt citerat:” well, det är så vi i communitiet ser det.”. Tyvärr fann jag mig inte tillräckligt snabbt för att fråga exakt vad ”communitiet” egentligen var och vilka som ingick i det men jag misstänker att det var någon slags informell och självutnämnd kommitté av människor som såg sig som ägare av informationssäkerhetsfrågan i Sverige. Eftersom jag själv alltid skytt den här typen av gemenskaper är jag partisk. Ändå vill jag säga jag uppfattar den här kårandan som ett problem som gestaltas bland annat genom lanserandet av CISO-titeln.  Istället för att rikta blicken på den egentliga målgruppen, det vill säga de som inte arbetar med informationssäkerhet, spelar vi för vårt eget galleri. Den skapar också osunda lojalitetsband eftersom det saknas objektiva och accepterade krav på den som ska ses som en kompetent yrkesutövare.

Låt oss skingra dimman och inrikta oss på att nå ut till de som vi egentligen ska tjäna och skapa förutsättningarna för en seriös utveckling mot en profession. Detta kan också en etablerad titel med ett tydligt kompetenskrav som på sikt till och med skulle kunna bli en skyddad.

2 reaktioner på ”Sluta obfuskera och gå vidare

  1. Hej Fia,

    Hur översätter du en svensk informationssäkerhets”titel” till engelska, så att den ska kunna förstås av gemene man?
    Här är nog ändå CISO ett användbart begrepp (åtminstone utskrivet), eller vad tycker du?
    Vad anser du om de svenska titlar som används, vad är skillnaden och vilken bör användas (enligt ditt tycke)?

    • Hej!
      Min litet tråkiga syn är att merparten av kommunikation som sker rörande informationssäkerhet i svenska organisationer (som inte är multinationella företag) sker mellan svensktalande. Därför bör man man kanske välja titlar av typen informationssäkerhetsspecialist, informationssäkerhetsansvarig eller informationssäkerhetschef beroende på organisationens övriga nomenklatur. Vid internationella kontakter kan det självklart vara lämpligt att använda CISO som titel.
      Blogginlägget kanske var litet otydligt men jag har tidigare skrivit om skillnaden mellan yrke/profession och befattning där CISO är en befattning. När det gäller professionen, låt oss kalla det informationssäkerhetsspecialister, finns en bristande mognad vad gäller yrkesgruppens professionalisering. Thomas Brante är ett exempel på forskare som skrivit intressant om detta. han beskriver bland annat socialiseringsprocessen för professioner där steg som tydlig definition av professionens kompetens och verksamhetsområde, legitimiteten i att besitta en unik kunskap som verifierats, förtroende för denna kompetens i det omgivande samhället samt viss autonomi i utövandet. Vanligt är att professioner också skapar sig en kontroll över vilka som får utöva yrket exempelvis genom legitimationen eller krav på specifika examina med bestämt innehåll. Genom socialiseringsprocessen får yrket i bästa fall även status.
      En av mina poänger, bortsett från kommunikationen, är att det inte går att gena genom flashiga titlar på befattningar utan att man istället bör satsa på socialiseringsprocessen. En del i detta är att tydliggöra skillnaden på att vara informations- respektive it-säkerhetsspecialist. Det skulle behövas en tydlig beskrivning av vilken kompetens en informationssäkerhetsspecialist ska besitta samt att se till att utbildningarna inrättas för att motsvara detta krav.

Lämna ett svar

E-postadressen publiceras inte. Obligatoriska fält är märkta *