Efter den respons jag fick på mitt förra inlägg om osäkerhetskonsulter, tänkte jag fortsätta min utläggning om vad vi egentligen sysslar med. Vi konsulter och mer specifikt säkerhetskonsulter.
Vi syns i tidningar, säger ”smarta” saker och verkar veta allt det som finns att veta om säkerhet. Men vad gör vi egentligen? Jag kan villigt erkänna att jag kan långt ifrån allt. Men jag kan en sak väldigt bra, att ställa frågor.
Låt oss jämföra oss med en annan yrkesgrupp, den jag tycker ligger närmast är läkare. Jag vet att jag sticker ut hakan nu men läkare är inte helt olika konsulter. En läkare lär sig inte allt om ALLA sjukdomar och skador som existerar i världen under sin utbildning. De lär sig att ställa grundfrågor, dessa grundfrågor hjälper till att få en förståelse och att utesluta sjukdomar. Är du en bra läkare ställer du sedan bra följdfrågor som leder dig till den bästa botemedlet för just det tillståndet och för just dig.
Människor är precis lika olika som företag. En bra säkerhetskonsult ställer grundfrågor för att skaffa sig förståelse för det säkerhetsbehov som finns eller rättare en förståelse för den osäkerhet som finns i företagets lösningar utifrån företagets verksamhet. Jag vet, det låter som årets floskel, men det är så det är.
En annan likhet med läkargruppen är relationen mellan oss säkerhetskonsulter och IT-brottslingar. Den är likadan som den mellan läkare och nya åkommor. De kommer alltid ligga steget före. Åter igen så är svaret följdfrågor. Med rätt följdfrågor kan vi förstå attacker eftersom de liknar sådant vi sett tidigare. Läkare lika så, sjukdomar liknar varandra.
Ska vi ta detta till en mer praktisk nivå. Ett säkerhetstest ska utföras. Det som gör testaren duktig är inte dennes tekniska kunskap, utan dennes förmåga att ställa rätt frågor innan han/hon börjar. Spelar ingen roll hur tekniskt kompetent du är, med fel frågeställning kommer du att göra ett dåligt jobb. Vad som är viktigt för en kund behöver inte vara viktigt för en annan även om de har liknande tekniska lösning. Det är verksamheten vi måste förstå. Våga ställ frågor, våga ställa rätt frågor även om de är obekväma för kunden.
/Patrick Gustavsson