- THOMAS TØMMERNES, leder for sikkerhet i Atea Norge
Kravet til sertifiseringer i offentlige anbudsprosesser er i mange tilfeller et uttrykk for manglende teknisk kunnskap og kompetanse, og fører ofte til svakere leveranser.
Vi som jobber med salg og besvarelser av anbudsforespørsler innenfor IT-sikkerhet opplever at flere og flere relativt generelle utlysninger fra det offentlige inneholder krav om CVer med diverse sertifiseringer. Dette høres i utgangspunktet fornuftig ut når man ønsker å få en jobb gjort.
Særlig i tilfellene der det som kreves er såpass enkle sertifiseringer som førerkort med tillatelse til å kjøre med tilhenger, kunnskap om våtromsnormen eller stempel på at man kan rutinene for å håndtere kjemisk avfall, så er jeg helt enig.
Men i mange av utlysningene etterspørres det jeg kaller fabeldyr – personer med urealistiske kvalifikasjonskombinasjoner. Enten bes det om sertifiseringer for produkter og teknologier som en person ikke naturlig sertifiserer seg innenfor, eller så er antallet sertifiseringer ikke mulig for noen å inneha.
Når man skal få bygget hus eller på annen måte bruker håndverkere så tror jeg det er de færreste som spesifiserer at én av håndverkerne skal ha liftsertifikat, én må være utdannet innenfor muring og én må kunne håndtere en slagdrill, for å sette det på spissen.
Prosjektleder hos leverandøren sørger derimot for at han eller hun har kompetente ressurser med tilhørende sertifiseringer som utfører installasjoner etter gjeldende regulativer og lovverk, mens det for deg som forbruker er sluttresultatet som teller.
I mine øyne vitner det om at de som utformer utlysningen ofte ikke har den tekniske kunnskapen som skal til for å vite hva de skal spørre etter – eller hvordan dette skal implementeres. Derfor prøver de å kvalitetssikre leveransen gjennom på be om sertifiseringer, og blir trolig skuffet når tilbudene kommer inn.
Dersom det ikke er en helt konkret oppgave man skal ha utført, så er det etter min mening langt mer fornuftig å beskrive prosjektet og hva man ønsker å oppnå i detalj.
Spør deg selv «hva er behovet vårt og hvorfor har vi dette behovet?», og be leverandøren om å komme opp med en leveranse som understøtter dette, fremfor å be om én eller flere personer med spesifikke egenskaper og sertifiseringer.
De aller fleste virksomheter vet hvor de vil og hvordan de ønsker å bruke teknologien i hverdagen, men om man er usikker på hvordan dette bør formidles når man sender ut anbudsforespørsler, kan det være fornuftig å engasjere en ekstern konsulent til å hjelpe til med å utforme prosjektets rammer.
En godt utformet prosjektbeskribelse vil i neste omgang føre til at de som besvarer utlysningen kan jobbe direkte opp mot kundenes ønsker, som gir en mye større fleksibilitet i leveransekapasitet og leveransetid og som flytter ansvaret for kvalitetssikringen fra bestiller til leverandør.
Målet bør være å få leverandørene til å legge frem hvordan de vil gjøre leveransen, hvilke teknologier de vil benytte seg av og den tidsrammen, økonomien og kvalitetssikringingen dette vil innebære.
Husk at alle kommersielle tilbydere av IT lever av å selge løsninger, og skal vi lykkes i denne bransjen må vi kunne forstå kundenes behov, holde oss oppdaterte, være konkurransedyktige på både kompetanse og pris og ikke minst levere i henhold til avtale.
Man kan si at IT-sikkerhetsbransjen er en omdømmebasert bransje, som på lik linje med advokater og revisorer lever av ryktet vårt. Derfor er vi akkurat som håndverkere på «Mitt anbud» avhengig av gode tilbakemeldinger for å opprettholde arbeidsmengde og annerkjennelse.
Jeg skjønner at denne tilnærmingen vil kunne være en annerledes måte å gjøre utvelgelser eller kvalitetssikre leveransene på, men man vil kunne få både større fleksibilitet til valg av løsning og ikke minst vil det stille større krav til resultatet fra utførende samarbeidspartnere.
Inntil skrivelysten tar meg igjen, jobber jeg fortløpende i flere prosjekter, både med og uten etterspurte sertifiseringer.
Følg meg gjerne på Twitter @TTmmernes for dagsferske innspill rundt IT sikkerhet.
