Friday, February 12, 2010

Til Henriette, fra Per

Hei Henriette!

Her er blogginnlegg fra meg, ref vår dialog på Twitter. Jeg antar at dialogen fra din side er på vegne av din arbeidsgiver. Mitt svar er mine meninger, punktum.

Uansett, jeg skulle skrive litt i forhold til mine erfaringer, ref din tidligere artikkel "Hvordan selge inn sosiale medier internt". Jeg svarte deg på Twitter med "Nå om dagen er det ikke mye behov for å selge det inn, men å holde det tilbake i kontrollerte former". Jeg følte meg vel litt stemplet da du svarte "the security guy", riktignok med smiley vedlagt. Derfor dette innlegget fra meg. :-)


Du har kanskje ikke googlet meg enda. Jeg innrømmer glatt at jeg har googlet både deg og din arbeidsgiver. Ikke bli overrasket over at dette søket var noe av det første jeg gjennomførte, mens søk nummer 2 bekreftet inntrykket fra første søk. Et åpent spørsmål fra meg til dere blir naturlig nok hvordan ivaretar dere sikkerhet i de tjenester og produkter dere leverer? Det står jo ingenting om det på nettsidene deres.

Dersom du så langt skulle sitte med et inntrykk av at jeg er "the security guy", la oss her oversette det til "festbrems" som en kobling mot "Kjøkkenfesten" deres, så vil mange kanskje humre litt. La meg i så fall forsøke å rette opp i inntrykket litt:

Min første fulltidsjobb var i grafisk bransje høsten '92, samme høst begynte jeg å bruke Internett for alvor. Det var ikke noe world wide web da, men dette vet du like godt som meg. Jeg var blant de aller første i Norge som jobbet med Kodak PhotoCD - scanning av film til cd i høy oppløsning for digital bruk. Jeg startet en gang i tiden firma med noen kamerater (vi måtte jo prøve oss...). Bl.a. laget jeg de første websidene for Hotel Augustin i Bergen. De sidene kom på andreplass i en kåring hos Kampanje, over nettsider i kategorien reiseliv. Ikke verst for en jobb vi tok Kr 2000,- for å gjøre. Forøvrig ikke noe rart firmaet ikke gikk rundt, men det er en annen historie.

Jeg møtte Fredrik Græsvik i en bar høsten '94, fikk et tips, tok en telefon, noen dager etterpå jobbet jeg tilnærmet fulltid i TV2, med ansvar for å lære alle å bruke Internett. Jeg laget TV2s første "intranett", samt  deres aller første websider på Internett. Kode HTML i Windows notepad var enkelt den gang. Jeg hjalp Anders Magnus med "PS" og "ValgPS" på Internett. (Anders sa til meg i etterkant at de beste spørsmålene til ValgPS kom inn via mail fra Internett). Henrik Færevåg var utenrikssjef den gang Kobe ble rammet av jordskjelv. Jeg jobbet døgnet rundt noen dager da, hadde blant annet kontakt med en kvinnelig student og en amerikansk økonomiprofessor ved universitetet i Kobe "kontinuerlig" via mail. Henrik smilte mye til meg de dagene der.

Jeg jobbet i Heath Comm i Bergen noen år, og solgte blant annet Internett til bedriftsmarkedet i Norge for Telenor. Det var vi som solgte Telenors aller første 2Mbit Internett forbindelse til noen utenfor deres eget konsern.

Håper dette kan endre eventuelt inntrykk av festbrems. Nok selvskryt, innhold skal jo være konge, ikke bare reklame. (usj, den ble litt dårlig. jaja.)
--

Først litt skryt. Jeg liker blogginnlegget ditt! Jeg er enig i det aller meste du har skrevet. Det jeg savner - skal jeg si ordet? - er sikkerhet. Hvordan ivareta sikkerheten når man gjør en såpass stor endring i virksomhetens risikobilde?

Her skal virksomheten snarest gå vekk fra de trauste websidene med halvslapp søkefunksjon, brødtekst, PDF skjemaer og bildebyråbilder av urealistiske mennesker. Nå skal de over i en interaktiv dialog hvor enhver ekstern person kan hudflette virksomheten din til alles fornøyelse (#drittunge), og enhver ansatt med en dårlig dag kan tvinge informasjonsavdelingen til å bestille pizza, blogge hektisk og satse på at ikke Trygve plukker det opp.

Heldigvis skal jo sosiale medier være så mye enklere å bruke nå - ipad'en skal visstnok gjøre det enda mer revolusjonerende enkelt. Faktisk skal det være så enkelt at man ikke trenger å lese manualen lengre - det har ihvertfall noen påstått overfor meg. Obligatorisk kurs hos sikkerhetsavdelingen før man får blogge er uansett ikke aktuelt, "det er alt for tungvint". Sykle uten hjelm var også gøy da jeg var liten, nå vet jeg bedre. Læring basert på andres erfaring er faktisk ikke så dumt eller kjedelig som det kan virke for mange.

Her kommer et viktig sikkerhetspoeng fra min side: skal du lykkes ift sikkerhet bør du gjøre (nesten) alt riktig på første forsøk. Her kommer jo dere inn i bildet - dere er jo også til for å hjelpe, ikke sant? I så måte har vi to akkurat samme jobb, bare ulike stillingstitler. Uansett ikke viktig, selv om tittelen Security Evangelist kan virke litt - tja - kul? :-) Merk deg forøvrig at Ryan Naraine også er "social media enthusiast". Det er ingen konflikt mellom det og sikkerhetstittelen.

Så til innsalget av sosiale medier og ikke minst de som stikker hodet i sanden. Jeg skal gi deg noen argumenter som du kan bruke når du skal selge deg inn til sistnevnte kategori:

1. Sperring av tilgang til Facebook, Twitter, Linkedin og tilsvarende tjenester er teknisk sett ikke mulig å få til uten å kappe av hele Internett forbindelsen. (Airwalk reklamerte i mange år i Wired med at de fortsatt ikke hadde noen hjemmeside. Jeg kjøpte skoene deres ene og alene av den reklamen.) Ethvert argument fra sikkerhetsfolk eller andre som påstår noe annet støtter seg til gamle teorier om it-teknisk sikkerhet og troen på at mennesker ikke er i stand til å finne omveier.

Det å straffe folk fordi de ønsker å kommunisere med eksterne via denne kanalen blir jo noe feil så lenge de bruker mail og mobiltelefon. Man kan like enkelt bli angrepet den veien, og informasjonslekkasje kan gå ut gjennom absolutt alle kanaler - det er bare å memorere, gå ut, og ringe DN fra lånt mobiltelefon.

Konklusjonen her altså: Det nytter ikke å forsøke å sperre tilgangen, folk finner omveier uansett.


2. En del har valgt å gå for en mellomløsning, nemlig opprettelsen av det jeg vil kalle "kvasi-sosiale medietjenester" internt. Microsoft Sharepoint, Socialcast eller yammer, samme ulla alle sammen sånt sett. Ikke misforstå, gode løsninger helt sikkert ift formål og funksjonalitet, men jeg tror selv at årsaken til at mange ansatte vil på Facebook, MSN og Linkedin er å oppnå faglig (og sosial) kontakt med eksterne.

Mellomløsningen, å oppnå bedre kontakt med egne kolleger i store bedrifter og organisasjoner, er jo en god ide for informasjon som uansett bør holdes internt. Selv mener jeg å være veldig dyktig på å finne eksterne ressurser når jeg eller andre skal ha noe gjort. Med fare for å få Jan Grønbech til å smile og Ole Tom Seierstad til å gi meg en kilevink neste gang jeg treffer ham, jeg har vanskelig for å se for meg min arbeidssituasjon uten Google tilgjengelig. For andre vil jeg tro at f.eks. Linkedin er minst like essensielt i deres arbeid - hvilke hodejegere er ikke å finne på Linkedin?

Oppsummert: mellomveien er altså bare det - en midlertidig løsning. Bruk den gjerne for den interne kommunikasjonen, men folk vil ut på internett. Da oppstår problemet - hvordan skiller du dem? To løsninger er jo dobbelt så mye som en, og der kan det jo ligge et kostnadsspørsmål. Som jeg har skrevet i tidligere bloggposter - tilstrekkelig sikkerhet på f.eks. Yammer eller Socialcast koster penger. Mye penger faktisk.

--

Huff. Nok en gang lager jeg "Wall of Text". Håper dette var et lite bidrag. Du kan jo kanskje stille på Nasjonal Sikkerhetsdag for å høre på når jeg sannsynligvis holder foredrag der? Skal også holde flere andre foredrag utover våren (her kommer min arbeidsgiver inn i bildet) - det vil garantert bli annonsert på Twitter. ;-)

La meg avslutte med en utfordring i retur. Skriv en bloggpost om "hvordan ivareta sikkerhet i et virksomhetsperspektiv når 'alle' vil ut på sosiale medier", basert på den bakgrunn og erfaring du har. Gitt din bakgrunn vet du nok hva TROLLING er. Venter spent på svar! :-D

No comments:

Post a Comment

All comments will be moderated, primarily for spam. You are welcome to disagree with my posts of course.