2019-02-20

Lomma full av IT-penger – men uten retningssans

Regjeringens bevilgning på 800 millioner kroner til arbeidet med økt digital sikkerhetskompetanse er blottet for føringer og krav til studieinstitusjonene om å være relevante. Jeg er redd det forsinker prosessen med å møte det skrikende behovet for IT-sikkerhetskompetanse i Norge.

Thomas Tømmernes IT-sikkerhetsekspert
Denne saken har tidligere vært publisert på Digi.no

 

Monty Python er et kollektivt navn på skaperne og stjernene i Monty Python's Flying Circus, en legendarisk britisk TV-komedie som hadde premiere helt tilbake i 1969. Av mange hysterisk morsomme sketsjer er min desiderte favoritt sketsjen om idrettsutøverne som løper 100-meter uten retningssans.   

Profesjonelle idrettsfolk får altså alle forholdene lagt til rette av arrangørene for å gjennomføre et profesjonelt løp. Men til tross for utallige timer med trening er det ingen av løperne som oppnår noe som helst. Når arrangøren skyter med startpistolen løper samtlige løpere i ulike retninger. Det blir dermed vanskelig å utrope en vinner eller avgjøre hvem som har gjort et godt løp.

På samme måte frykter jeg at det i min bransje i fremtiden bli en stor utfordring å identifisere de beste kandidatene med den rette kompetansen, når man skal ansette. 

Kan løpe hurtigere

Som IT-sikkerhetsmann applauderer jeg selvfølgelig myndighetenes økte fokus på å styrke landet gjennom allokering av hele 1,6 milliarder kroner til tiltak innen digital sikkerhet. Til Computerworld opplyser Justis- og beredskapsdepartementet at halvparten, omlag 800 millioner kroner, skal gå til «arbeidet med økt digital sikkerhetskompetanse i form av økte studieplasser, forskningsprosjekter, bevilgninger til kompetansemiljøer og så videre.»

Myndighetene har også gjort et godt stykke arbeid med Nasjonal strategi for sikkerhetskompetanse, og det er ingen tvil om at stortingsmeldingen IKT-sikkerhet - Et felles ansvar har gitt fokus, penger og vilje som vil gjøre oss i stand til å løpe 100-meteren hurtigere og hurtigere de kommende årene.

Det store spørsmålet er om de som skal håndtere IT-sikkerheten i det offentlige og private Norge i fremtiden vil løpe i samme retning.

Et steg i riktig retning

I min rolle som leder av IT-sikkerhetssatsningen til et av Norges største IT-selskaper blir jeg kontaktet av flere «fagråd» innenfor både offentlig- og privat opplæringssektor. Dekaner, kompetanseråd og private studietilbydere ønsker å intervjue og samhandle med representanter fra privat næringsliv for å høre hvilke ferdigheter vi ser at markedet etterspør hos studentene.

Det mener jeg er et steg i riktig retning, for det er klart at vi som jobber profesjonelt med IT-sikkerhet kjenner markedet bedre enn noen andre. Vi i Atea har i mine øyne avlevert flere gode forslag til utvikling av IT-sikkerhetsstudier både innenfor privat og offentlig sektor. Følelsen er imidlertid at det er enklere å få aksept for gjennomføring av disse ved privatskolene. I offentlig sektor er man fortsatt låst opp i at man skal jobbe med overordnet strategi og teknologi i stedet for å jobbe mer praktisk med konkrete løsninger og produkter.

Jeg kan godt skjønne at man ønsker å være fristilt eller uhildet, men er det riktig vei å gå i 2019? Jeg frykter at denne innstillingen fører til at mange av dem som utdanner seg innenfor IT-sikkerhetsfaget i dag og i fremtiden ikke har den kompetansen som markedet etterspør etter endt studieløp.

Lange studieløp

Så tør jeg påstå at ingen annen IT-rolle er viktigere for forretningsvirksomheten enn nettverksadministratorene og ingeniørene. Til nå har også mange studenter startet med slike grunnleggende studier og deretter akselerert karrieren sin med produsentspissede ferdigheter og sertifiseringer.

Det kan være en vei å gå, men den måten å tilegne seg nødvendig kunnskap og kompetanse på er ikke nødvendigvis det som vil løse utfordringene i vår bransje med å få tak i nok av de rette folkene.

Jeg mener ikke å fraråde studenter lange studieløp, som for eksempel kryptografi og lignende – tvert imot. Men om målet er å komme seg i sikker jobb raskest mulig og samtidig være en kandidat som enkelt kommer med på intervjurundene, så ville jeg valgt studier som hadde gitt meg sertifiseringer og kunnskap rundt noen av de markedsledende teknologitilbyderne.

Attraktive kandidater

IT-bransjen har flere store produsenter av teknologi og produkter som nærmest er å anse som en standard i markedet, deriblant Cisco, Microsoft og IBM.

Studenter med sertifiseringer og «hands on»-kunnskap til disse produsentene er selvfølgelig meget attraktive kandidater. Dette både fordi bransjen kan sortere jobbsøkerne basert på sertifiseringer og således være nærmere kompetansen de trenger, og fordi de lettere kan estimere ROI dvs kalkulere tiden man sparer på produkt opplæring før man kan benytte nyansatte i betalbare oppdrag.

Alle store IT-sikkerhetsprodusenter har selvfølgelig også velutviklede opplæringsløp med tilhørende sertifiseringer. Cisco er en av disse, som med sitt Networking Academy gjennom 20 år har utdannet 9,2 millioner studenter i 180 land ved å gi teknisk trening og mentorskap. Dette er også noe Cisco ønsker å bygge ut videre i Norge.

Slik jeg ser det kan slike opplæringsløp være vel så relevante for en karriere innen IT-sikkerhetsfaget som en tradisjonell utdannelse ved en offentlig studieinstitusjon i Norge.

Kvalitetssikret kompetanse

Men hvis myndighetene hadde laget et eget sertifiseringsløp for både eksisterende IT-sikkerhetskonsulenter og for IT-sikkerhetsstudenter, basert på NSMs grunnprinsipper, så mener jeg det ville vært enda et steg i riktig retning. Jeg har tidligere tatt til orde for at det med dagens komplekse og flyktige cybertrusselbilde, så er tiden overmoden for en slik nasjonal sertifiseringsordning.

Den vil gjøre det enklere for både studenter, studietilbydere og arbeidsgivere å vite hva man skal se etter. Samtidig vil virksomheter kunne stille krav til at de får utførende personell med kvalitetssikret kompetanse.

Når regjeringen har bevilget 800 millioner er det i mine øyne viktig å sette noen føringer og krav til utdanningsinstitusjonene, ikke minst at studiene legges opp i henhold til hva markedet trenger av ressurser, slik at vi raskest mulig får fylt opp der kompetansen trengs.

Det blir for drøyt å løpe 100-meteren med 800 millioner i lomma – uten retningssans.