Kategorier
Länkar

Säkerhetsexpertis saknas på företagen

Att kunna rekrytera it-säkerhetspersonal med rätt kompetens blir en stor utmaning för många företag. Det skriver både Verizon och Cisco i två separata rapporter där de försöker förutse vilka de största it-utmaningarna är under det kommande året.

Ett sätt att komma runt problemet är att lägga ut mer i molnet och låta leverantören ta ansvar för säkerheten. Men Tomas Djurling, säkerhetsexpert på Djurling Säkerhetsinformation, menar att det inte är någon heltäckande lösning.
 


Tomas Djurling

– Även om man lägger ut delar av it-driften behövs det fortfarande någon internt på företaget som kontrollerar vilka molntjänster som kan användas och vilka som inte fyller verksamhetens krav på säkerhet. Det går inte att slopa den egna säkerhetspersonalen bara för att man använder molnet, säger han.

Specialist betyder inte full kontroll

Att ha en egen it-säkerhetsansvarig betyder tyvärr inte att företaget har full koll på sin it-säkerhet. I många fall har den som ansvarar för it-säkerheten också andra uppgifter, som företagets säkerhetschef som får ta 10–20 procent av sin tid på att hantera it-säkerheten. Det inte är en så lyckad lösning, menar Tomas Djurling.

– För det första behövs någon som verkligen kan lägga tid på att skapa god it-säkerhet. Den uppgiften ska inte begränsas av tidsbegränsningar i en tjänst. För det andra ger det en signal om att it-säkerheten inte är så viktig. Och för det tredje kan det innebära att personer som inte kan it blir ansvariga för it-säkerhet.

Tomas Djurling har stött på många företag där den som ansvarar för säkerheten har en bakgrund som polis, väktare eller rent av låssmed. De tar med sin gamla kompetens till jobbet som säkerhetschef och fokuserar på det de kan bäst, vilket inte är it.

Inte medveten om luckorna

Ett annat problem med säkerhetschefer som inte kan it är om de inte är medvetna om sina kunskapsluckor. Vi kan ta en så enkel sak som styrande dokument för it-säkerhet.

– En enkel googling på säkerhetspolicyer och liknande dokument visar att många innehåller fina fraser men att de saknar något som är mätbart och som går att kontrollera om det verkligen fungerar. Då blir det ingen struktur på säkerhetsarbetet, och it-teknikerna och säkerhetsansvariga får springa som skållade råttor för att göra brandkårsutryckningar. Rätt person på rätt plats och med rätt kompetens är billigast i längden, säger Tomas Djurling.

När det saknas it-kompetens på säkerhetsavdelningen kan resultatet i stället bli att it-teknikerna i praktiken får ansvaret för it-säkerheten.

– It-tekniker är duktiga på tekniken, men de vill gärna ha den senaste utrustningen oavsett vad som är bäst för företaget. Därför behöver företaget en säkerhetschef som både har en helhetsbild över verksamhetens behov och som kan it. Det måste finnas någon som kan säga ifrån om resurserna gör bättre nytta någon annanstans i verksamheten, menar Tomas Djurling.