CIO – den felande länken

Utan vatten klarar vi oss högst ett par dagar. Utan information klarar vi oss inte heller särskilt länge. Vatten är liv, inte kranar och rör. Information är fortfarande till stor del teknik. Det behövs någon som förstår sig på både vatten och kranar. Det är en Chief Information Officer (CIO). Västeuropas enda certiferade CIO är Christer Kjellkvist.

Av Jan-Ivar Askelin

För inte så många år sedan var Christer Kjellkvist flygtekniker. Idag är han Västeuropas förste certifierade Chief Information Officer (CIO) och kan ta jobb på vilken amerikansk myndighet som helst.

Flygtekniker vet man ju vad det är, men en CIO? Jo, det är gummibandet mellan organisationens ledning och IT-teknikerna. En CIO ska förstå organisationens mål och se till att informationen skapar ett mervärde. Han – eller givetvis hon – ska se till helheten och inte enbart till tekniken. En CIO måste förstå de strategiska målen, de operativa kraven, föreslå organisationsförändringar och sedan skapa tekniken. Insikten ska vara att informationen inte enbart stödjer verksamheten utan även är en förutsättning för att genomföra beordrad verksamhet. En CIO måste vara förändringsbenägen, ha social kompetens, en förståelse för helheten och inte minst vara en stark ledare.

– Vid frågor som berör informationshantering, svarar ofta företagsledare att IT är så komplext att det får IT-chefen svara på, säger Christer Kjellkvist. En CIO ska kunna förklara för ledningen hur informationen kan skapa mervärde.

Viktig sammanvägning

Att vara CIO är att vara riskmanager vad avser nyttjande av information versus säkerhet. Det ena benet är att nyttja information i en informationsinfrastruktur. Det andra är att vara Chief Information Assurance Officer (CIAO). Information Assurance (IA) är inte ett betongsäkert skydd utan mer av en riskhantering. Målet med Information Assurance är att endast acceptera kända risker.

– När informationen ska användas för att skapa mervärde måste man släppa på den absoluta säkerheten, säger Christer Kjellqvist och gör en liknelse med utvecklingen av skyddet av ammunitionsförråd.

– Skyddet var förebyggande. Man hade tjocka väggar, men busarna blev bättre och då gjorde man väggarna tjockare. Och till slut insåg man att det inte gick längre att bygga in fullständig säkerhet och tänkte om. Man byggde upp en förmåga att detektera. När larmet gick hade man en skyddsstyrka som var på plats inom den tid det tog att ta sig igenom väggen. Så måste vi göra med skyddet av informationsresurserna också. Man ska märka om någon knackar på och kunna agera.

Gamla krav lever vidare

Christer Kjellkvist menar att vi fortfarande lever med säkerhetskrav från kalla kriget. Konsten är att göra rätt avvägning mellan att använda och skydda informationen. När man nyttjar informationen är det inte längre enbart kraven på sekretess som ska uppfyllas. Kraven på riktighet, tillgänglighet och att kunna identifiera och spåra avsändare och mottagare kan vara minst lika viktiga.

– IT-säkerhet betraktas ofta som en teknisk kostnad. Att skapa tillräcklig säkerhet är en naturlig balansgång mellan att skydda informationen och skapa tillgång till information som möter operatörens krav. Inlåst information stoppar organisationen. Helt frisläppt information skadar.

Det viktiga är, säger Christer Kjellqvist, att den som är CIO och är ansvarig för information management också har hand om IA. 

– Information har blivit en avgörande faktor. Ett modernt flygplan kan inte lyfta utan tillräckligt med bränsle men inte heller utan att vara laddat med rätt information. Och så är det med många av våra nya system, säger Christer Kjellqvist.

Det här har gått fort. Vi använder information på ett nytt sätt därför att vi har en ny informationsteknologi. Den dumma datorn på skrivbordet har blivit vägen ut till nätet som i sig bara är tio år gammalt. 1971 var det stor succé när 23 datorer kunde byta information, 1984 fick Sverige sin första e-post, 1995 startade www. Efter det är informationsinfrastrukturen global.

– När det blir nätverk kommer kraften. Det gäller ju människor också. 1985 fick jag min första dator som ett stöd för verksamheten. Nu är vi helt beroende av information via datorer och nätet. Frågan är hur vi skyddar något som är så viktigt för oss.

Global infrastruktur

Försvarsmakten måste kunna skydda resurser på informationsarenan. Enskilda, företag och nationer sitter i samma båt, man kan tala om ett nätverksbaserat samhälle. Allt hänger samman i en global informationsinfrastruktur. En infrastruktur som är gemensam för delar av samhället och på alla nivåer.

– Försvaret är en av många nyttjare. Vi har inte längre monopol. Går nätet ner måste någon  prioritera. Ska försvaret gå före eller börsen? Förr ägde staten telenätet och svarade för säkerheten. De som är beroende av informationsinfrastrukturen är inte de som äger den. Det blir den säkerhet som kunderna är villiga att betala för. Vem svarar för riskgapet mellan en organisation på regional nivå och upp till den nationella nivån? Samhället vilar på en informationsstruktur som den är beroende av. På denna står det fyra pelare: ekonomi, försvar, diplomati och information som den nya pelaren.

Christer Kjellkvist hamnade i informationsbranschen via ett par nedlagda flygflottiljer. Det blev jobb som IT-säkerhetschef och med tiden hamnade han i utvecklingen av det nätverksbaserade försvaret (NBF) för att arbeta med säkerhet.

– Vi hade idéer om hur information skulle hanteras säkert. Vi samarbetade bland annat med National Defense University i USA. Efter en tids samarbete erbjöds jag en plats som elev vid National Defense University. Överbefälhavaren gav klartecken och jag kunde börja hösten 2004. Endast 16 elever per termin får gå denna utbildning. Dessa ska försörja myndigheter på alla nivåer i USA. Det var stenhårt och jobb dygnet runt. Missade man en tenta var det över. Kursen avslutades med en resa till Las Vegas.

Där frågade eleverna CIO:s vid universitet, sjukhus, en flygbas och företag om de jobbade som eleverna fick lära sig i skolan.
På våren 2005 gick Christer Kjellkvist kursen för att bli Chief Information Assurance Officer. Nu har han certifikat på att han behärskar hela processen när det gäller att skapa tillräcklig säkerhet. Från att ta temperaturen på en organisation, föreslå förändringar, införa dem och följa upp.

Påvisa mervärde

Idén med CIO har sina rötter i Clinton­administrationen som tröttnat på att myndigheterna satsade på IT utan att kunna påvisa ett mervärde. Det skrevs ett regelverk 1996. Det skulle finnas en CIO på varje myndighet. Utan mervärde inga mer IT-pengar.

– Det är naturligtvis svårt att stoppa in hårdvara i ena ändan och mäta mjuka resultat i den andra. Men det är det en CIO är utbildad för.
Även i Sverige finns det CIO på en del ställen, men i många fall är det IT-cheferna som bara fått en ny titel. Det är en stor skillnad på en IT-chef och en CIO. En CIO jobbar med människor, processer och teknik för att skapa bästa hantering av informationen för att stödja organisationens verksamheter och mål.

Christer Kjellqvist menar att i många fall talas det för mycket om teknik utan att man först funderat på hur denna ska stödja processer och utveckla förmågor. Ofta satsar man på IT utan att förstå det fulla värdet.

– I NBF blandas personal, processer och teknik i en helhet i ett system av system. Det synsättet borde sprida sig. Vi måste kanske till slut leva upp till det vi alltid har sagt – att tekniken ska anpassas till människan.

Sverige först i Europa

Nu tänker Försvarshögskolan starta en CIO-utbildning i Sverige som därmed också blir den första i Europa. Christer Kjellkvist säger att han efter utbildningen i USA såg saker i Sverige på ett nytt sätt.

– Jag tror att Försvarsmakten på den internationella arenan i första hand kommer att arbeta med krishantering. Då handlar det om att nyttja information och inte enbart kinetisk energi. Det tror jag att vi svenskar är lämpade för. Det gäller att påverka männi­skor i rätt riktning med rätt information.

Framtidens NBF ser Christer Kjellqvist mer som ett nätverksbaserat samhälls­försvar. I det ledningssystem som försvaret siktar på ska alla myndigheter kunna koppla in sig. Ledningssystemet ska inte bara stödja det svenska försvaret utan även andra myndigheter och vara interoperabelt med andra aktörers informations infrastrukturer.

– Det blir något helt nytt. Och vem ska skydda denna information? Var drar man gränsen för det svenska försvaret när vi är inkopplade i ett globalt nätverk? Var går gränsen? Försvaret behöver en CIO-organisation under ledningsinspektören. Det behövs någon som förstår verksamheten, tekniken och som kan bedöma risker och som inser hur viktig informationen är och hur viktigt det är att skydda den, för att den ska bibehålla sitt värde.