Ska man försöka bli bättre på att göra saker som inte fungerar? Det undrade utvecklingsexperten Woody Zuill när jag träffade honom nyligen. Det har jag gått och funderat på under några dagar, liksom på den egenuttänkta devisen ”om man inte ändrar på något så blir det ingen förändring”. Jag tror i alla fall jag kommit på den själv.

Man kan med fördel tillämpa de här tankegångarna på it-säkerhet. Är lösningen på säkerhetsproblemen verkligen att bygga starkare brandväggar eller större databaser med virussignaturer?

Låt oss göra ett tankeexperiment. Borde inte trefaktorsautentisering vara bättre än tvåfaktorsautentisering? Och i så fall, varför stoppa där, varför inte använda fyrafaktorsautentisering?

Läs också: 5 sätt att avväpna nätfiskarna

Under en snabb sökning på Google hittar jag länkar till ”five factor authentication”, sedan är det stopp, i alla fall på den första sidan med sökresultat. ”Multi-factor authentication” är dock ett etablerat begrepp.

Men inkräktare lär ta sig in på andra sätt än genom fem, eller sex, lager av inloggning. Här behövs verkligen nytänkande för att förbättra säkerheten för it-lösningar. Man kanske ska börja från motsatt håll, jämfört med vad majoriteten av världens säkerhetsexperter verkar göra. De är oftast, enligt min erfarenhet, fokuserade på hoten i första hand, eller på säkerhetshålen.

Men hur ofta ifrågasätter säkerhetsexperter och andra vad som lagras i it-lösningar som är åtkomliga från omvärlden? Behöver verkligen ett företags alla data, oberoende av hur känsliga de är, lagras på ett sådant sätt?

Det är klart att det är enklare, billigare och snabbare, kort sagt mindre komplext, att hantera alla data i en och samma arkitektur. Eller i alla fall i flera arkitekturer med stora kontaktytor. Men då får man acceptera sårbarheter.

Läs också: 9 goda råd för att ta fram en perfekt plan mot cyberattacker

Den som vill ha maximal informationssäkerhet, på ett tekniskt plan, får finna sig i att hanteringen av data blir krångligare, dyrare och långsammare, kort sagt mer komplex. Jag ser ingen annan lösning.

Visst känns det bittert att inse det här. Men tills några smarta personer skapar verkligt säkra it-system är det så det ligger till.