Enda viktigere enn før å øke kompetansen på informasjonssikkerhet

Skrevet av Berit Bekkevold, Senior Information Security Consultant. Innlegget ble første gang publisert av Digi 28.3.2021 - les innlegget her.

Mangel på kompetanse er det viktigste hinderet for digitalisering, og mangelen på spisskompetanse om IT-sikkerhet og IT-arkitektur er stor, ifølge Toril Nag, Konserndirektør Tele i Lyse i en artikkel for IKT-Norge. Nag har helt rett i sin kommentar om trusselbildet, og peker på en svært viktig, men ofte oversett, faktor i sikringen av data og verdier – mennesket.

En økning i den generelle kunnskapen og bevisstheten om informasjonssikkerhet vil gjøre hver enkelt av oss tryggere i en digital verden. Vi er enige med Toril Nag om at økt kompetanse gjør oss bedre rustet til å avsløre nettsvindel, verne om personopplysningene våre og avsløre falske nettsider, og dette vil i stor grad bidra til å styrke informasjonssikkerheten i virksomhetene.

Vi mener også at nettopp kunnskap og kompetanse glemmes litt bort i jungelen av tekniske løsninger. Mennesket må læres opp, og cybersikkerhet er ferskvare.

Spisskompetansen nøkkelpersoner bør besitte, for å finne de kritiske sårbarhetene i IT-systemene, til å identifisere truslene mot virksomheten og sette inn de viktigste tiltakene til rett tid, er avgjørende for virksomhetens informasjonssikkerhet. Personer med denne spisskompetansen kan utforme de nødvendige prosessene, rutinene og velge riktig leverandør i anskaffelsesprosessen, samt sette inn riktige tiltak når sikkerhetshendelser skjer. Kompetansen til slike nøkkelpersoner er også viktig for å lære bort og bevisstgjøre hele organisasjonen om betydningen av sikkerhetskultur for informasjonssikkerheten.

Kompetanse består av både kunnskap, ferdigheter og holdninger, og det inkluderer uformell og formell kompetanse. Uformell kompetanse innebærer stor grad av erfaring og ferdigheter, mens formell kompetanse inkluderer studiegrader og sertifiseringer. Innenfor fagfeltet informasjonssikkerhet bør nøkkelpersoner holde seg oppdatert og skaffe formell kompetanse på flere måter.

NTNU og Universitetet i Oslo kan tilby masterstudie for informasjonssikkerhet, og andre universiteter og høgskoler tilbyr ulike studieprogram der informasjonssikkerhet står sentralt. Formell kompetanse på informasjonssikkerhet kan også tilegnes gjennom kurs og sertifiseringer.

Høgskolene og universitetene legger til rette for deltakelse i et akademisk fagmiljø og fordypning i emner det ellers ville vært vanskelig å finne tid til i en travel arbeidshverdag.  Studiene er dessuten relevante og viktige da de er utformet for dagens arbeidsmarked og IT-utfordringer. Å studere informasjonssikkerhet gir derfor et godt faglig grunnlag for å ha en nøkkelrolle i informasjonssikkerhetsarbeidet.

For at studiene ikke skal bli et øyeblikksbilde på kunnskapsnivået, kreves faglig oppdatering med jevne mellomrom. For å sikre den formelle kompetansen hos nøkkelpersoner innen informasjonssikkerhet anbefaler vi faglig påfyll i form av universitetsutdanning og sertifiseringer, seminarer og konferanser. 

Digitaliseringen og dagens trusselbilde fører til at virksomheter må ha tilstrekkelig formell og uformell kompetanse til å implementere styringssystem for informasjonssikkerhet, ha inngående kunnskap om informasjonssikkerhetsprinsipper og gode metoder for å gjennomføre GAP-analyser og risikovurderinger.  

Kontinuerlig læring er det som skal til for å øke cybersikkerheten og skape et tryggere samfunn for folk og virksomheter.

Om du skal implementere styringssystem for informasjonssikkerhet, bli fortrolig med viktige informasjonssikkerhetsprinsipper og gode metoder for å gjennomføre GAP-analyser og risikovurderinger, utforme beredskapsplaner og sikre at styringssystement for informasjonssikkerhet blir en del av daglig drift har vi flere kurs som gir sertifisering etter ISO27001 standarden.

Det korteste kurset hos oss i Watchcom er ISO 27001 Foundation. Dette er nyttig for deg som skal delta i et prosjekt for å implementere et styringssystem, og gir en oversikt over oppbygningen av ISO27001, og de aktivitetene som kreves i implementeringen.

ISO 27001 Lead Implementer er et 5-dagers kurs som går mer i dybden på de forskjellige aktivitetene og prinsippene, og skal gjøre deg i stand til å lede prosjektet med å implementere et styringssystem for informasjonssikkerhet.

Om du ønsker å gå mer i dybden på enkelte temaer tilbyr vi også kursene ISO 27005 Risk Manager som tar for seg forskjellige metoder og beste praksis for å gjennomføre risikovurderinger, samt ISO 27032 Lead Cybersecurity Manager som fokuserer mer på sikkerheten i nettverksstruktur, datalagring og andre tekniske aspekter for å ivareta sikkerheten ved deres virksomhet.