IT-sikkerhet i 2030: Hvilken kompetanse trenger vi - og hvem har ansvaret?

Hvilken kompetanse trenger vi i årene fremover?

Ifølge Skalberg og Mikkelsen er det tre hovedtyper kompetanse som blir avgjørende:

1. Teknisk kompetanse: Vi trenger folk med teknisk kunnskap innen IT som forstår infrastruktur, servere, skyløsninger, og sikkerhetsprotokoller. I tillegg trenger vi generalister innen sikkerhet, som evner å se helheten på tvers av teknologier, trusselbildet og forretningen.
   
   
2. Kompetanse om regelverket: En forståelse av sikkerhetsregler og hvorfor de er nødvendige er like viktig som teknisk kompetanse. Uten denne forståelsen vil ikke nødvendige sikkerhetstiltak, som multifaktorautentisering, bli riktig implementert.
   
   
3. Kompetanse hos enkeltpersoner: Alle ansatte må ha en bevissthet rundt cybersikkerhet, da én person kan skade en hel virksomhet. I 2030 må alle kunne gjenkjenne phishing og andre trusler.
   
   

Hvilken kompetanse trenger ledelsen for å håndtere cybertrusler i fremtiden?

Skalberg understreker at ledelsen må inneha spesifikk kompetanse for å effektivt håndtere cybertrusler:

Strategisk forståelse: Ledelsen må ha en dyp forståelse av hvordan IT-sikkerhet integreres i virksomhetens overordnede strategi. Dette inkluderer kjennskap til trusselbildet og de økonomiske og operative konsekvensene av sikkerhetshendelser. Å forstå den strategiske betydningen av cybersikkerhet hjelper ledelsen å allokere ressurser riktig og å prioritere nødvendige tiltak. 

Risikohåndtering: Kompetanse innen risikovurdering og risikohåndtering er kritisk. Ledelsen må kunne identifisere, evaluere og prioritere risikoer, samt implementere tiltak for å redusere disse. Dette innebærer å forstå de potensielle truslene, vurdere sannsynligheten for at de inntreffer, og bestemme hvilken innvirkning de kan ha på virksomheten.

Sikkerhetskultur: Evnen til å fremme en sikkerhetskultur i organisasjonen er essensiell. Dette innebærer å kommunisere viktigheten av sikkerhet til alle ansatte, og sørge for kontinuerlig opplæring og bevisstgjøring. En robust sikkerhetskultur sikrer at alle i organisasjonen forstår deres rolle i å opprettholde sikkerheten.

Krisehåndtering: Ledelsen må være forberedt på å håndtere sikkerhetsbrudd og andre kriser. Dette krever ferdigheter i krisehåndtering, inkludert beredskapsplanlegging og kommunikasjon under hendelser. Effektiv krisehåndtering reduserer skaden av sikkerhetsbrudd og bidrar til rask gjenoppretting av normale operasjoner.

Teknologisk innsikt: Selv om de ikke trenger å være tekniske eksperter, må ledere ha tilstrekkelig teknologisk innsikt til å forstå de teknologiske aspektene av IT-sikkerhet, samt å kunne ta informerte beslutninger basert på teknologirådgivning. Denne innsikten hjelper ledelsen med å vurdere de teknologiske løsningene og investeringene som trengs for å beskytte virksomheten mot cybertrusler.

Mikkelsen legger til at siden landskapet for cybertrusler er i konstant endring, må fremtidige ledere være tilpasningsdyktige og innstilt på å konstant oppdatere seg. Ved å dyrke den unike blandingen av teknisk ekspertise, strategisk tenkning, lederskap og dedikasjon, kan fremtidige ledere utvikle og utføre effektive strategier innen informasjonssikkerhet som holder virksomhetene trygge og motstandsdyktige overfor cybertrusler.

Uavhengig av om en leder er direkte involvert i informasjonssikkerhetsarbeidet eller ikke, må de involvere seg i arbeidet på en slik måte at riktige beslutninger tas. Derfor blir det enda viktigere å forstå hvordan trusler og hendelser innen informasjonssikkerhet påvirker organisasjonens evne til å levere sine tjenester. 

Mikkelsen forteller at følgende lederegenskaper vil være viktige:

• Forretningsforståelse: Å forstå forretningskonteksten og hvordan informasjonssikkerhet påvirker ulike avdelinger og prosesser er avgjørende. Informasjonssikkerhetsstrategier må være på linje med forretningsmål og prioriteringer.
  
  
• Ledelse: Evnen til å administrere og lede informasjonssikkerhetsarbeidet effektivt er avgjørende. Dette innebærer å sette klare mål, administrere ressurser og sikre rettidig ferdigstilling innenfor budsjettet.
  
  
• Forhandling og avtale forvaltning: Ledere må være dyktige til å forhandle med sikkerhetsleverandører for å få de beste løsningene og være en påvirker for nødvendige sikkerhetsinvesteringer i selskapet.
  
  
• Personalledelse: Å bygge og lede et høytytende informasjonssikkerhetsteam er avgjørende. Dette innebærer å fremme samarbeid, talentutvikling og sikre at teammedlemmene har de nødvendige ferdighetene og ressursene for å lykkes.

Hva blir den største utfordringen for IT-sikkerhet fremover?

Skalberg og Mikkelsen peker på flere utfordringer:

Økende krav til intern kompetanse: Bedrifter må holde seg oppdatert og forbedre sin sikkerhetskompetanse. Skillet mellom de som tar sikkerhet på alvor og de som ikke gjør det vil bli tydeligere.

AI og sikkerhet: Selv om mange bedrifter er ivrige etter å utforske AI, må de sørge for at disse teknologiene er sikre før de tas i bruk.

Kontroll over skytjenester: Bruk av flere skytjenester kan føre til tap av kontroll. Bedrifter må sikre at alle skytjenesteleverandører tar sikkerhet på alvor.

Hvem har ansvaret for å sørge for denne kompetansen?

Skalberg og Mikkelsen understreker at ansvaret ligger hos ledelsen, ikke leverandøren. Digitaliseringen gjør det essensielt at toppledere, organisasjoner og myndigheter ikke overlater sikkerhetsansvaret til leverandørene. NIS 2-direktivet som snart trer i kraft, vil gjøre styremedlemmer personlig ansvarlig for sikkerhetshåndteringen i deres virksomhet.

Hvilket ansvar har leverandøren?

Leverandører har ansvar for å levere sikre tjenester, men kunden må bruke tjenestene på en sikker måte. Leverandører bør stille strenge krav til kundene for å opprettholde sikkerheten. Skalberg sammenligner det med å ikke selge biler uten airbag - sikkerhet er en nødvendighet, ikke et valg.

Advania oppfordrer sine kunder til å samarbeide tett om sikkerhetstiltak og tilpasse disse etter behov. Sikkerhet handler om at alle deler av virksomheten fungerer trygt og pålitelig sammen.

Oppsummering

Fremtidens IT-sikkerhet krever en kombinasjon av teknisk kompetanse, regelverksforståelse, og bred bevissthet hos alle ansatte. Ansvaret for sikkerhet ligger hos bedriftens ledelse, som må sikre intern kompetanse og kontrollere sine leverandører nøye. Ledelsen trenger strategisk forståelse, risikohåndtering, evne til å fremme sikkerhetskultur, krisehåndtering - og teknologisk innsikt. Leverandører skal levere sikre tjenester, men det er opp til kundene å bruke dem riktig. Dette krever et tett samarbeid og klar ansvarsfordeling.