Selv om de fleste er enige om at sikkerhet er viktig, er det ofte krevende å få det til å fungere godt i praksis. Det må ofte vike for mer synlige leveranser, er vanskelig å måle og blir lett skjøvet på. Hvorfor er det sånn og hva betyr det for produktledere?
Dette er første del i en artikkelserie om sikkerhet for produktledere.
Sikkerhet er lett å ta for gitt. Når det fungerer, merker man det ikke. Når det ikke fungerer, kan det fort bli kritisk. Man kan sammenligne det med vann i springen. Vi forventer at det er der, og vi bruker det uten å tenke over alt som må fungere i bakgrunnen for at det skal være trygt, stabilt og tilgjengelig. Det kan også sammenlignes med bremser på en bil: ingen kjøper en bil på grunn av bremsene, men alle forventer at de virker når det gjelder. Slik er det også med sikkerhet i digitale produkter - det er grunnleggende, men ofte usynlig. Derfor er det også vanskelig å prioritere.
Sikkerhet oppfattes ofte som tidkrevende og dyrt, og det er ikke så rart, siden denne typen arbeid ofte konkurrerer med features og gir mindre synlige resultater sammenlignet med nye funksjoner, bedre brukeropplevelse eller leveranser som kan vises fram i en demo. Mye av sikkerhetsverdien ligger i redusert risiko, men risikoen er ofte fremtidig og usikker. Kanskje skjer det ingenting. Kanskje skjer det noe alvorlig. Verdien ligger i det man unngår, og nettopp derfor er den vanskelig å synliggjøre.
Sikkerhet som produktrisiko
Sikkerhet er ikke noe som bare hører til teknologisiden. Det er også en produktrisiko. Hvis et produkt ikke beskytter data godt nok, ikke tåler misbruk eller ikke håndterer sårbarheter raskt nok, påvirker det ikke bare den tekniske kvaliteten. Det påvirker tillit, omdømme, etterlevelse og i noen tilfeller hele produktets levedyktighet. Derfor bør sikkerhet behandles på linje med andre sentrale produktrisikoer og være en del av vurderingene som avgjør om produktet er bærekraftig over tid.
«Sikkerhet som risiko er like viktig som andre produktrisikoer»– Jarle Svendsrud Hagset, konsulent i Bekk og produktcoach
Samtidig er ikke ansvaret for sikkerhet alltid tydelig plassert. Det er heller ikke nødvendigvis produktlederens ansvar å definere sikkerhetsrammene, siden de ofte er satt av virksomheten, gjennom arkitekturføringer eller av sikkerhetsmiljøer. Som produktleder bør du likevel kunne forvente at disse rammene finnes, og at det er tydelig hvem som eier risikoen i praksis. Hvis det for eksempel er en forventning om at kritiske sårbarheter skal håndteres innen et gitt tidsrom, blir det mindre rom for tilfeldige vurderinger i det daglige. Hvis slike rammer mangler, blir det vanskeligere. Hvis et team oppdager en alvorlig sårbarhet mens de jobber mot en deadline, hvem avgjør hvordan den skal prioriteres? Hvis svaret er uklart, blir sikkerhet fort alles ansvar og ingens ansvar, og arbeidet blir lett personavhengig og tilfeldig. Da blir det også vanskeligere å ta gode beslutninger når det faktisk gjelder.
Produktledere har en krevende rolle
Produktlederrollen er krevende nettopp fordi den handler om å balansere mange hensyn samtidig. Brukerbehov, forretning, kapasitet, leveranser, tekniske avhengigheter og langsiktig retning trekker ofte i ulike retninger, og må vurderes samtidig. I den virkeligheten er det ikke rart at sikkerhet kan være vanskelig å få grep på. Man starter sjelden med blanke ark, og må jobbe videre på det som allerede finnes, med de ressursene man har.
Det er heller ikke nødvendig at produktledere er sikkerhetseksperter, men en viss teknisk forståelse er en stor fordel. Det er vanskelig å si noe fornuftig om kapasitet uten å forstå hva arbeidet faktisk innebærer, og vanskelig å prioritere godt uten å kunne skille mellom en liten oppgave, en større endring og en reell arkitekturutfordring. Det er fristende å outsource sikkerhet til tech lead, og noen ganger er det også riktig. Men hvis sikkerhet bare blir “det tekniske teamet tar seg av”, mister man også muligheten til å gjøre gode produktmessige avveininger. Produktledere trenger ikke kunne alt, men man bør kunne stille gode spørsmål som avdekker risiko, hva som haster og hvilke konsekvenser valgene har.
Kapasitet og prioritering
En annen grunn til at sikkerhet er vanskelig å få til, er hvordan vi planlegger. Vi planlegger ofte som om team har mer kapasitet enn de faktisk har. Team trenger tid til leveranser, men også til sikkerhet, forbedringer, innovasjon og kompetanseheving. Hvis all planlagt kapasitet går til funksjonsleveranser, vil sikkerhet nesten alltid komme på etterskudd. Derfor er det viktig å være ærlig om reell kapasitet og planlegge med det man faktisk har, ikke det man håper på. Uten rom for uforutsette ting, teknisk opprydding og nødvendige sikkerhetstiltak, kan man ende opp med å skyve risiko foran seg i stedet for å håndtere den.
«Man må alltid som produktleder si hvor mye kapasitet man egentlig har. Vi setter av 20 % til fleksibel tid.»– Henrik Sivertsgård, konsulent i Bekk og produktleder hos Gjensidige Pensjon
Sikkerhet er vanskelig å få til fordi det sjelden handler om én dårlig beslutning eller én person som ikke bryr seg. Det handler oftere om at mange fornuftige hensyn kolliderer. Sikkerhet er usynlig når det fungerer, vanskelig å måle og konkurrerer med mer synlige leveranser. Ansvar kan være uklart, og arbeidet krever både forståelse, kapasitet og vilje til å prioritere noe som ikke nødvendigvis gir umiddelbar gevinst. Nettopp derfor må sikkerhet håndteres smidig – ikke som noe som gjøres én gang, men som en kontinuerlig del av hvordan man jobber.
Det er også viktig å huske at målet sjelden er perfekt sikkerhet. Det sikreste man kan gjøre er tross alt å skru av en tjeneste. Målet er å finne riktig nivå ut fra risikoen i produktet og gjøre bevisste valg underveis: hva må tas nå, hva kan vente og hva er ikke godt nok. For en produktleder handler det ikke om å eie alle sikkerhetsbeslutninger, men om å bidra til at risiko blir synlig, forståelig og mulig å prioritere.
