David Craelius är CTO på betallösningsbolaget Klarna. Här har man klassificerat informationen utifrån skyddsbehovet – vilket i sin tur får styra valet av säkerhetslösning.
– Det låter enkelt men är svårt i praktiken, säger han och konstaterar att felanpassad säkerhet är ett klassiskt sätt att skapa osäkerhet.
– Om säkerheten är felanpassad förstår inte människor varför det är viktigt att skydda informationen, och då börjar de kringgå rutiner.

På Klarna väljer man att lägga enorma resurser på att skydda kunddata i sina produktionssystem. Men för sin egen kontorsinformation har man valt en annan skydds­nivå och outsourcat säker­heten till Google.
– Vi har ett avtal och använder Gmail och Google Docs. I och med att det är webbaserat minskar spridningen av dokumenten, du laddar inte ner kopior till varje enhet. Det gör oss inte helt kvitt problemet, men det underlättar.

Som CIO gäller det att hitta en balans i säkerhetsarbetet, anser David Craelius. Du måste vara lyhörd och får inte göra säkerheten för krånglig. Men du måste också säga ifrån på skarpen om information som det är verkligt viktigt att skydda.
– Det är därför såna här diskussioner ska föras i ledningen. Det är inte de säkerhetsansvariga som ska avgöra vilken information som ska skyddas, det är bolagsledningen – sedan bygger man upp en säkerhets­struktur utifrån det.

Säkerhet är ett av de svåraste områdena för en CIO, anser David Craelius, och ett område som växer.
– Det är först nu det börjar dyka upp riktiga digitala hot i form av riktade angrepp. Det i kombination med att an­vändare vill välja sina egna arbetsverktyg gör att be­hovet av fungerande säkerhet är enormt idag.

Samtidigt är många säkerhetsverktyg trubbiga. Exempelvis genom krav på krångliga lösenord som man måste byta ofta. Och som man kanske inte heller får välja själv, och därför skriver upp.
– Detta är otroligt frustrerande både för användaren och för dem som ska skydda systemet. Det blir en negativ spiral, säger han.