David Jacoby
David Jacoby.
Många företag och organisationer som anlitar säkerhetskonsulter för att analysera sin säkerhet blir besvikna både över kostnaden och resultatet av penetrationstest till exempel.

– Ofta är bristerna eller sårbarheterna ofta kända redan, säger David Jacoby, som är chefsforskare på Kaspersky Lab.

Han har utvecklat en metod inspirerad av den just nu heta trenden som går under det svengelska namnet "gameficiation". Just nu testas hans metod ute på en statlig myndighet och flera företag. Metoden är att lita till den kunskap som redan finns inom organisationen.

– Säkerhetsbranschen generellt kör med skrämseltaktik och ofta blir rådet att köpa en magisk produkt som löser dina problem. Mitt förslag är att återvinna kunskapen du redan har.

Läs mer: Spel – ett nöje som kan bli till nytta

Hans uppskattningar är att en genomsnittlig säkerhetskonsult kostar omkring 1 500 kronor i timmen. En veckas konsultjobb går därmed på 60 000 kronor.

– Det blir snabbt mycket pengar och om resultatet är något du redan vet, blir det mycket dyrt.

Han vill slå hål på myten om att säkerhet är något mycket svårt – och tråkigt.

– Samla en grupp med medlemmar från olika funktioner inom it-avdelningen och låta den göra säkerhetsanalysen under lättsamma former. Gärna på kvällstid med öl och pizza.

Läs mer: Så blir it-säkerhet roligare med spelifiering

Spelmomentet består i att dela ut belöningar till dem som upptäcker brister eller sårbarheter. Det kan vara belöningar i form av en extra semestervecka till biobiljetter, beroende på vad som upptäcks.

– Det här blir betydligt billigare och nästa gång en säkerhetskonsult anlitas, så blir hans uppdrag att visa saker som inte redan är kända.