At være eller ikke være certificeret
Læsetid i minutter: 3
FXA DK - Artikler 11. september 2024 10:52:06 CEST
Af Martin Kofoed, Partner & Chief Cyber Security Officer hos itm8 Cyber Security Division
I IT-sikkerhedsbranchen står man i øjeblikket over for to store udfordringer: Den ene er at tiltrække nok dygtige medarbejdere. Den anden er at holde på dem, man har. De medarbejdere, der holder sig skarpe og opdaterede, bliver automatisk dygtigere og dygtigere. Og de er guld værd for deres arbejdsgiver og de kunder, de rådgiver. Fordi de er specialister frem for generalister.
Passion for IT er ikke nok
Det er efterhånden mange år siden, at IT-branchen primært bestod af glade amatører med stor passion for IT, sikkerhed og gaming.
Passionen er der stadig, men udviklingen inden for både digitalisering og cybersikkerhed går så rivende hurtigt og har indhentet – ja endda overhalet – det faglige niveau, man kan nå med selvstudie alene. Uddannelse og konstant dygtiggørelse er i dag et konkurrenceparameter overfor medarbejdere såvel som kunder.
Højere vidensniveau og flere krav
Hos itm8 kan vi mærke, at videns- og kompetenceniveauet hos vores kunder er på et langt højere niveau end tidligere.
Kunderne kender de forskellige kurser og certificeringer, ved hvilke lovkrav der findes, og stiller derfor tilsvarende krav om dokumentation for, at vores konsulenter holdes opdaterede og besidder de nyeste certificeringer.
Certificeringer er konsulentens kørekort
For vores sikkerhedskonsulenter er certificeringer, hvad kørekortet er for en chauffør. Derfor har det også en afgørende betydning, at de kan vedligeholde deres faglige, tekniske niveau og løbende tage nye certificeringer.
Det er ikke alene et spørgsmål om interessen i at holde sig ajour og blandt de bedste på deres felt. De rette certificeringer er også karrierefremmende og kan være en adgangsbillet til de mest spændende opgaver eller måske det næste job.
Uddannelse og certificeringer er derfor også en af de helt store poster på vores budget. Hos itm8’s Cyber Security division bruger vi hvert år et anseligt beløb på at holde vores medarbejderes kompetencer helt i top. Det gør vi af ovennævnte grunde, men også fordi vi vil have de bedste af de bedste profiler i markedet. Vi har desuden den indstilling, at uddannelse, tid til træning og arbejdsgiver betalte certificeringer er et medarbejdergode, der kan bidrage til at holde på vores medarbejdere. Og strategien har givet pote.
Gå efter guldet
Et eksempel er Frederik Bech Kudahl, der er Security Advisor og Incident Responder. Han sætter stor pris på, at vi holder hans faglige profil opdateret og giver ham mulighed for at dygtiggøre sig på nye områder.
Frederik sætter ligesom sine kolleger en ære i at gå efter guldet. I de tilfælde hvor kurset afsluttes med en test, er der ligefrem gået sport i at komme hjem med en medalje for den bedste præstation på kurset; en challenge coin. Og Frederik og hans kollegaer har efterhånden en rigtig pæn samling af disse medaljer.
En kostbar affære at holde sig ajour
Den negative side af dette er dog, at man som IT-konsulent er konstant afhængig af at holde sig opdateret. En IT-konsulent, der ikke vedligeholder sin viden, mister med tiden sin værdi – i IT-sikkerhedskredse taler man om under to år. Og det er ikke nogen hemmelighed, at certificeringer er dyre, og det er en kostbar affære at holde sig ajour.
Nogle certificeringer er dyrere end andre, men en certificering kan nemt koste op mod 50.000 kr. eller mere. De mest anerkendte konferencer findes ofte i udlandet, særligt USA hvor store konferencer som ”BlackHat” og ”DefCon” hvert år afholdes i Las Vegas, og tiltrækker i tusindvis af deltagere herunder toppen af feltet inden for cybersikkerhed.
På niveau med udviklingen
Men certificeringerne varer ikke for evigt. Alle uddannelser bliver med tiden forældede. Det siger nok lidt sig selv at i en verden, der forandrer sig med lynets hast, og hvor udviklingen inden for IT går vanvittig hurtigt. Her kan man ikke forvente, at den uddannelse, man tog for ti år siden, stadig er fuldt dækkende.
Tidligere kunne man måske vedligeholde og opdatere sin viden alene ved at være tilknyttet arbejdsmarkedet. Det er ikke længere tilfældet. Efteruddannelser er nødvendig inden for stort set alle brancher. I nogle brancher, som for eksempel IT- og medicinalindustrien, sker udviklingen hurtigere end i andre brancher. Faktisk kan jeg ikke i skrivende stund komme på en branche, hvor man uddanner sig til et job på livstid.
Når du går til lægen, forventer du, at din læge er helt ajour med det seneste inden for medicin og behandlingsmetoder, så du kan få den bedste behandling. På samme måde er det vel også forventeligt, at din IT-sikkerhedskonsulent er – om ikke foran – så på niveau med de nyeste og mest avancerede hackeres angrebsteknikker, -taktikker og værktøjer.
Mange krav til IT-sikkerheden
Inden for IT-sikkerhed taler vi ikke kun om forventninger – men mere om krav. Både i NIS2- og i DORA direktiverne stilles der krav til træning af ledelse og medarbejdere.
Der stilles krav om løbende awareness-træning af medarbejderne, krav til ledelsen om uddannelse i deres rolle og ansvar i forbindelse med cybertrusler, og sidst men ikke mindst stilles der krav til, at der gennemføres løbende sikkerhedstests, og at er et vist anciennitets- og kompetenceniveau hos de konsulenter, der gennemfører de avancerede tests.
Generalister kan ikke længere følge med
Vi kommer ikke udenom, at i rigtig mange tilfælde handler IT-sikkerhed ikke kun om at sikre virksomhedens egne værdier og måske endda overlevelse. Det handler i lige så høj grad om at sikre alle de kunder, leverandører og partnere, der risikerer at blive påvirket af et potentielt angreb. Blandt andet af den grund skærpes kravene til uddannelse og certificeringer i takt med, at trusselsniveauet stiger. De skærpes til et niveau, hvor det kan være vanskeligt for en IT-afdeling bestående af generalister at følge med.
Udviklingen inden for digitalisering og IT-sikkerhed har i dag nået et kompleksitetsniveau, hvor generalisterne ikke længere kan være med. Ligesom ingen længere selv reparerer deres bil, fordi den i dag ikke er et mekanisk transportmiddel men et højteknologisk vidunder, så kræves der også højt certificerede specialister til at løse IT-sikkerhedsopgaverne.