Sikkerhetsyrket er i ferd med å forandre seg

Sikkerhetsekspertene må tilpasse seg: De står ikke lengre øverst på toppsjefenes agenda.

Sikkerhetsjobben er i ferd med å forandre seg ifølge analyseselskapet Gartner. digi.no er Sikkerhetsjobben er i ferd med å forandre seg ifølge analyseselskapet Gartner. digi.no er til stede på Gartners konferanse i Barcelona, der Tom Scholtz, en av Gartners cirka 30 analytikere med fokus på sikkerhet og risikoledelse, forklarte hvordan analyseselskapet ser for seg at sikkerhetsjobben utvikler seg.

– Sikkerhet faller nedover på listen over hva toppsjefene prioriterer å jobbe med. Det har nå falt ut av deres topp 10 liste, sier Scholtz.

Det betyr på ingen måte at det ikke lengre anses som viktig å jobbe med å forbedre sikkerheten i bedriftene, men det betyr at toppsjefene mener at de har gjort sin del av jobben.

– Det betyr at toppsjefene har delegert sikkerhetsoppgavene og at de har gitt sikkerhetsekspertene budsjettene de trenger. Nå forventer de at de sikkerhetsansvarlige klarer å levere, sier Scholtz.

Det er derfor viktig at sikkerhetsekspertene ikke bare gjør jobben sin, men at de også blir flinkere til å kommunisere hva de har gjort, hva de gjør og hva som er resultatet av jobben som gjøres. Dette er et område der svært mange sikkerhetssjefer feiler, ifølge Gartner. Scholts forteller at det ikke er uvanlig at bedrifters sikkerhet tar et skritt tilbake på modenhetskurven etter at sikkerhetssjefen har gjort en god jobb og løftet selskapet opp et nivå.

– Ofte faller de tilbake, fordi de ikke forteller toppledelsen hva de er i ferd med å gjøre. Dermed forsvinner budsjettene de trenger for å fortsette å utvikle bedriftens modenhet på sikkerhet. Det er viktig å forklare ledelsen hva pengene brukes på, sier Scholtz.

– Problemet med sikkerhetsjobben er at hvis du gjør jobben din ordentlig, er det ingen som vet om deg. Du må bli flinkere til å kommunisere hva du gjør og hvorfor det fungerer så godt, sier Scholtz.

Gartner ser for seg at sikkerhetsarbeidet går gjennom en videreutvikling og blir en det av det som kalles risikoadministrasjon. Dette for å bedre kunne spille sammen med forretningsbehovene i bedriftene, og for å kunne gå fra en reaktiv jobbing til å kunne tenke mer proaktivt.

IT-bransjen er glad i å legge versjonsnumre på produkter og trender, og Gartner er ingen unntak. De har delt opp sikkerhetsjobben i tre versjoner: 1.0, 2.0 og 3.0.

– Sikkerhet 1.0 var de gode stormaskindagene, da sikkerhet var en relativ enkel oppgave, sier Scholtz.

Sikkerhet 2.0 er stadiet vi er i nå, med distribuerte PC-er og internett. Kjennetegnet her er at det var raske og hyppige endringer og at mye av jobben besto i å reparere problemene etter hvert som de oppsto.

– Security 3.0 er fasen hvor vi må være mer proaktive til sikkerhetsproblematikken, sier Scholtz.

For å være det, må sikkerhet bli en mer integrert del av bedriftens organisasjon og infrastruktur.

– Sikkerhet utvikler seg til å bli en risikohåndteringsjobb, sier Scholtz.

Dermed åpnes det opp for en ny såkalt C-level tittel: CRO – Chief Risk Officer, som kommer i tillegg til eller istedenfor CISO – Chief Information Security Officer.

Til toppen