Ud fra en informationssikkerhedsmæssig synsvinkel er corona-krisen interessant.
Her taler jeg ikke om beskyttelse af informationers fortrolighed, integritet og tilgængelighed, men om den styringsmæssige del af sagen. Hvad kan vi lære af situationen?
Overblik over forretning
Forudsætningen for ledelse er, at man kender sin forretning. I en informationssikkerhedsmæssig tilgang kaldes det forretningsoverblikket eller organisationens kontekst. Det handler om at kende de kritiske aktiver, forretningsprocesser, vigtigste systemer og interessenter.
I den seneste måned har de fleste af os forstået, at de ældre, sundhedspersonalet, respiratorer og iltapparater har været kritiske aktiver for Danmark i forhold til den umiddelbare håndtering af krisen.
Forretningsprocesser i samfundet er blevet overvejet, for eksempek er syge borgere blevet bedt om ikke at møde op hos egen læge af frygt for smittespredning, fysiske møder og skolegang er afløst af videomøder. Visse offentlige systemer (det vil sige arbejdspladser) lukket ned, mens andre er blevet styrket (intensivpladser).
Mange interessenter er blevet taget med på råd, DI, Dansk Erhverv, arbejdsgiver- og lønmodtagerorganisationer i forhold til håndtering af den anden del af krisen, nemlig sikring af danske arbejdspladser og samfundsøkonomien. Folketingets partier har også været inddraget både i første del og anden del af krisehåndteringen.
Det er sket med udgangspunkt i sikkerhedspolitikken, der har haft som mål at sikre at færrest muligt blev syge, så vi kunne undgå, at sundhedsvæsnet blev overbelastet, samtidig med at mest muligt af samfundet kunne drives videre. Vores tillid til samfundsmodellen har været på spil, som Mette Frederiksen formulerede det på pressemødet 30. marts.
Lederskab og engagement
Der er ingen tvivl om, at statsminister Mette Frederiksen (S) har styret biksen.
Hun har tegnet en klar retning og udvist tydeligt lederskab i ledelsessystemet for sikkerheden. Ministre og embedsmænd har haft klare roller, kompetencer og ressourcer. Søren Brostrøm, Kåre Mølbak og Thorkild Fogde har haft de faglige indsigter, mens ministrene har truffet de svære, politiske valg. Hver har kendt sin plads og fulgt den, dog med enkelte svipsere undervejs.
Det har sammen med beredskabsplanen understøttet beslutningskraften, hvilket jeg skrev om i min seneste klumme, som du kan læse her.
Risikovurdering
Særligt i starten hørte vi om risikovurdering og Sundhedsstyrelsens opgave med at forholde sig til risici i forhold til de kritiske aktiver.
Det har Søren Brostrøm som Corono-krisens sikkerhedskoordinator gjort dagligt på alle områder, når udviklingen i smittespredningen blev gransket og modelleret hos Statens Seruminstitut.
Der er lavet en risikovurdering, som baserede sig på prioritering af aktiverne, sandsynligheden for at aktiverne blev sat ud af spillet og konsekvenserne ved det.
Dette blev forelagt for ledelsen, det vil sige regeringen, der har brugt det til sin overordnede risikostyring, truffet de strategiske og politiske valg om lukning af samfundet.
Dette blev understøttet af en kontrolmekanisme i form af lovgivning, som gav politiet hjemmel til at hive bødeblokken frem.
Til- og fravalg
At træffe valg er et udtryk for aktive til- og fravalg af værktøjer fra Søren Brostrøms værktøjskasse.
Da ledelsen besluttede at forbyde arrangementer med over 100 deltagere, og alle idrætsforbund fulgte op og aflyste kampe, konkurrencer og sportsbegivenheder, var det et resultat af et aktivt tilvalg af en sikringsforanstaltning, som på baggrund af tydeligt lederskab forplantede sig ned i virksomheden Danmark.
Afgørende for ledelsen var, at Sundhedsstyrelsen kunne levere beslutningsoplæg med en pallette af forslag, som ledelsen aktivt kunne vælge til eller vælge fra.
”Hvis du vælger dette værktøj, får det denne sundhedsmæssige effekt, hvis du vælger et andet får det en anden effekt”. Beslutningsoplæg, som blev dokumentet og kommunikeret videre.
Bevidsthed
Nøglen til at komme over denne sundhedskrise har som bekendt været at minimere sandsynligheden for hurtig smittespredning. Konsekvenserne ved mange smittede på samme tid var helt uoverstigelige ift. sikkerhedspolitikken.
Smittespredning kan dybest set kun helt undgås ved at spærre folk inde, men i erkendelse af at det ikke var en vej frem, havde vi alle sammen brug for at lære nogle adfærdsregler om håndvask, afstand og nys og hosten i albuen.
Den øverste ledelse fremstod som det gode eksempel ved have afstand ved pressemøder, ved at journalister stod i andre rum og appellere til vores samfundssind.
DR’s platforme, aviser, butikker og parker blev fyldt med kommunikation for at øge vores bevidsthed om retningslinjer og gode råd. Vi er blevet stopfodret med awareness. Det har virket så godt, at Danmark har kunnet åbne mere end først antaget.
Evaluering
Da smittespredning inden for Danmarks grænser blev en realitet, skiftede man strategi fra inddæmning til afbødning. Det var et udtryk for, at man hele tiden evaluerede situationen, risici, interessenters forhold, omverdenens forventninger, befolkningens efterlevelse af opfordringer og anvisninger.
På den måde kunne man løbende planlægge nye tiltag, træffe beslutninger, evaluere og justere. Plan-do-check-act.
Historien har foreløbigt vist os, at strategien i al fald ikke var forkert ud fra en sundhedsfaglig synsvinkel i forhold til at begrænse smitten her og nu, mens det samfundsøkonomiske regnskab stadig ikke er gjort op. Når regnskabet foreligger, vil det vise sig, om beslutningerne var de rigtige.
Med til evalueringen hører også, om beredskabsplanen var god nok og værktøjskassen fyldt op med de rigtige redskaber. Det skal også evalueres, om kommandovejene fungerede, om myndighederne udfyldte deres rolle, hvordan det kan forbedres. Altså om ledelsessystemet fungerede.
Hvad har dette så med informationssikkerhed at gøre?
Intet.
Men alle de ord, jeg har fremhævet i min klumme kan alle sammen findes i den internationale ledelsesstandard for informationssikkerhed, som hedder ISO27001.
På Dansk Standards hjemmeside står der blandt andet:
”ISO27001 er et styringsværktøj, der hjælper virksomheder med at beskytte værdifulde informationer på en sikker og troværdig måde. ISO27001 opstiller bl.a. krav til risikostyring, dokumentation af processer samt fordeling af roller og ansvar for informationssikkerhed. Formålet med ISO27001 er at opnå effektiv informationssikkerhedsledelse, der passer til en virksomheds særlige behov, samt sikre at denne effektivitet fastholdes gennem en proces for løbende forbedring. Det betyder, at informationssikkerheden hele tiden opdateres, således at virksomheden er i stand til at håndtere udfordringerne i en forretningsverden under konstant forandring.”
Prøv at skifte ’informationer’ ud med ’aktiver’ og indsætte ’et land’ i stedet for ’virksomhed’. Læs så ovenstående afsnit igen.
Så har du svaret på, hvad vi der arbejder med informationssikkerhed kan lære af håndteringen af Corona-krisen i Danmark.
For at beskytte informationer i en virksomhed mod brud på fortrolighed, integritet og tilgængelighed skal man nemlig også have overblik over forretningen, informationssikkerhedspolitikken, ledelsessystemet, lederskab og engagement, risikovurdering, awarenessaktiviteter og evaluering og opfølgning.