Vi trenger ikke mer fokus på sikkerhet

- Hvordan skal vi løse problemet?

Det var min næremeste sjef i et selskap jeg jobbet i for over ti år siden som spurte på et avdelingsmøte.

- Vi må fokusere på det, prøvde en kollega.

Det gnistret i øynene på avdelingslederen. Dette var svaret han hadde håpet å få.

- Fokusere?!, spurte han konfronterende.

- Jeg hater ordet fokusere! Du kan stå og fokusere til du blir grønn; mens vi; vi handler, sa han sarkastisk.

Han hadde et poeng, et poeng som atpåtil har brent seg fast i minnet.

Fokus er en uting, med mindre man tar bilder, titter gjennom en kikkert eller forsøker å myse uten briller.

Likevel har fokus blitt et moteord, det er mer fokus på fokus nå enn det var for ti år siden.

Med all viten om at intensjonen til Mørketallsundersøkelsen er redelig, jovial og hyggelig, må det av denne årsak rettes litt konstruktiv kritikk.

«Datakrimutvalgets viktigste anbefalning er å fokusere på sikkerhetskompetanse, holdninger og informasjonsinnhenting om sikkerhetshendelser», kan man lese innledende blant hovedanbefalningene.

Datakrimutvalget kunne med fordel spesifisert hva de ønsker at bedriftene skal gjøre når det gjelder sikkerhetskompetanse og holdninger.

Områdene skal vel bedres, rett og slett.

En spade er stadig en spade, selv om den også kan kalles både "graveredskap" og "treskaft med fokus på vedhengt jernplate".

Det er mye fancy ord i retorikken som omgir informasjonssikkerhet. Intensjonen bak budskapene er forståelig, om man setter seg inn i det og fokuserer på å forstå.

Det er fokus på prosesser og rutiner.

Det er problemer (eller utfordringer som det gjerne kalles, mer om hva som er galt med dette ordet

Man snakker om riskoanalyse og verdivurering.

Og noen ganger brukver vi engelske ord og forkortelser som «Advanced Persistent Threat» og DMZ.

Sikkerhetsmenigheten forstår. Ledelsen forstår forhåpentlig også. Men klarer egentlig John Doe, mauren på gulvet, å forstå hva en riskoanalyse er? Hva dette maset med rutiner og prosesser er? Hvorfor det er viktig? Eller blir det bare ord for ham? Ord han kan fokusere på på arket, men som ikke får frem noen handling i hverdagen?

Jeg tror vi må stramme inn på både prosesser og rutiner. For å si som en garvet journalist her på bygget pleier å si: Ordbruken er presis og korrekt, men gir ikke akkurat løft i loffen.

Reflekser er fint. Kanskje det er det som trengs. Faller du, tar du deg imot. Uten å først fokusere. Du bare gjør det, det er en innlært handling. Så kanskje du sjekker om skolissen er åpen. Uten å fokusere på å sjekke om skolissen er åpen, du gjør det på innstinkt. En godt innarbeidet kultur, som egentlig strengt tatt handler om selvforsvar.

Kanskje må vi egentlig gå i vår egen språkkultur først. Kanskje har det vært for mye fokus på fokus.

Kanskje det må nye og mer attraktive opplæringsmetoder til for å folk til å forstå it-sikkerhet?

Sikkerhet må gjøres like hipster som militærjakke, like hipt som kaffe latte, like jovialt som Asbjørn Brekke og like selvsagt som prikken over i-en.

En løs og spontan tanke ut fra luften - hva med å sende de ansatte på selvforsvarskurs, med innlæring av forsvarsreflekser?

Kanskje de åpner tankene der og da og blir klare for å få svart belte i it-sikkerhet.

I et kurs uten ord som «fokus» - «i forhold til» - «risikoanalyse».

Meningsinnholdet i kurset kan for all del godt være fokusert på det samme, bare i en mer tabloid og hverdagspraktisk innpakning.

Den moderne bedriftsleder må tørre å gå ned fra sin hest, ta av seg dressen og demonstrere at også sjefer evner komme seg inn i overlevelsesdrakt. Jeg mener en ekte en, rett fra nordsjøens oljeplattformer. Går sjefen rundt i overlevelsesdrakt på kontoret en hel dag, vekker det garantert oppsikt. En sjef i en knæsj oransj overlevelsesdrakt oppnår garantert fokus.