Att mäta säkerhet igen

av Stefan Pettersson

I think information security is quite possibly the most intellectually challenging profession on the planet. -Dr. Dan Geer

För ett halvår sedan skrev jag om att mäta säkerhet. Jag berättade om chefen på banken som tyckte att vi var idioter som inte kunde besvara frågor som ”Hur säker är banken?” och ”Spenderar jag rätt mängd pengar på säkerhet?”. Otroligt nog var det här inte vilken chef som helst, det var informationssäkerhetschefen… Borde inte en sån lirare vara insatt i problematiken?

Förra inlägget handlade mer eller mindre bara om att vi säkerhetsfolk inte har ett bra sätt att mäta säkerhet. Chefen på banken tycker uppenbarligen att det här är synnerligen osedvanligt och förvånande. Det i själva verket är ett ganska alldagligt problem. Jämför frågan ”hur säker är jag?” med t ex:

  • Hur lätt är det att använda er nya DVD-spelare?
  • Hur hållbar är din armbandsklocka?
  • Hur nöjda är ni med er lägenhet?
  • Hur snygg är din flickvän?
  • Hur bra ljud har du i dina högtalare?
  • Hur länge håller min nya hårddisk?

Det finns, utan tvekan, lämpliga svar på de här frågorna; det är jättelätt, den klarar av ett fall från 10 meter sju gånger av tio, vi trivs bättre än i förra lägenheten, hon är snyggare än Liv Tyler, fylligheten i mellanregistret är fantastisk, mean-time-between-failure är fem år o s v. De är dock inga mätetal. Det är subjektiva uppfattningar, jämförelser, lösryckta exempel och statistik. Varför finns det inte bankchefer där ute som är upprörda över att Western Digital inte på förhand kan berätta när hårddisken ska gå sönder?

Vi är vana vid det här problemet och tänker inte ens på det. Varför kan vi inte hantera säkerhet på samma sätt?

Vad gör vi när vi behöver trovärdiga svar på liknande frågor? DVD-spelaren till exempel; vi tar in en eller flera experter som har studerat användbarhet, som har erfarenhet av de hundratals DVD-spelare som gjorts tidigare, som vet vilka symboler folk förstår, som vet hur stor en knapp borde vara, var de borde vara placerade, hur det ska kännas att trycka på en knapp, etc. Man gör användartester, låter dem fylla i formulär, filmar dem medan de använder spelaren; gamla människor, unga människor, kvinnor, män, handikappade, etc.

Vad skulle den här analysen som användbarhetsexperterna genomfört leda till? 4,8 eller något annat värde mellan 1 och 10? Knappast, det skulle resultera i ett antal så-här-borde-du-göra. Rekommendationer man tyvärr måste lita på eftersom det är deras jobb att kunna sånt här. Det är förstås fritt fram (och uppmuntrat) för dig att ifrågasätta en rekommendation, experterna ska kunna försvara och motivera dessa.

Varför tycker ingen att detta är upprörande; att användbarhetsexperter inte heller kommer med mätetal?

Vadan denna fixering vid mätvärden?
Jo, problem som kräver experter är komplicerade. Så pass komplicerade att beslutsfattaren inte förstår problemet och därför inte kan göra bedömningen själv. Av denna anledning räcker tydligen inte heller rekommendationerna som beslutsunderlag. Vad som är lätt för beslutsfattaren, däremot, är att använda en enkel skala från 1 till 10 som underlag i frågor denne inte behärskar. (”Jag betalar om det är mer än 7,5. Det känns lagom.”)

Det här måste helt enkelt betyda att beslutsfattaren inte litar på experten och lever i villfarelsen att siffror inte kan ljuga.

Annonser