Advarsel om mangel på it-sikkerhedsfagfolk: Sikkerhedsalarmer må ignoreres

Illustration: REDPIXEL.PL/Bigstock
Flere virksomheder formår ikke at vedligeholde sikkerhedsprocedurer på grund af mangel på it-sikkerhedsfolk, lyder advarslen fra Cisco-manager. De risikerer at drukne i sikkerhedsalarmer, der ikke bliver undersøgt.

Den globale mangel på it-sikkerhedseksperter og de betydelige udfordringer med at rekruttere medarbejdere indenfor it-sikkerhed i danske virksomheder udgør et sikkerhedsproblem.

Situationen fører bl.a. til, at sikkerhedsalarmer ikke bliver undersøgt, og sikkerhedsløsninger ikke vedligeholdes.

Sådan lyder det fra Christian Heinel, der er Manager, Cyber Security, for den nordeuropæiske afdeling af sikkerhedsvirksomheden Cisco, forud for Version2's it-sikkerhedsmesse, Infosecurity, der afvikles i 1. og 2. maj i Øksnehallen, København.

Christian Heinel påpeger, at der på verdensplan mangler omkring 2 millioner it-sikkerhedseksperter i 2019, og at tallet forventes at stige til 3,5 i løbet af de næste to år frem mod 2021.

De mange ubesatte job – både i Danmark og på verdensplan – går ud over sikkerhedsniveauet i den enkelte virksomhed, advarer Christian Heinel.

»Manglen på ressourcer betyder, at der er mange it-sikkerhedsprocesser, der skal operationaliseres, men som ikke bliver det. Ofte er der sikkerhedshændelser, der ikke undersøges,« siger han og tilføjer:

»Mange virksomheder investerer i sikkerhedsløsninger, men de tilpasser dem ikke i takt med, at deres eksisterende it-netværk ændres. Samtidig ignorerer mange virksomheder den daglige vedligeholdelse og brug af systemerne. De kigger eksempelvis ikke i logs med hændelser, hvilket ender i en situation med såkaldt ‘check box security’, hvor det fungerer på papiret, men ikke i praksis.«

Læs også: Manglen på it-arbejdskraft går hårdt ud over iværksættere

Ikke behov for flere trusler

Advarslen om sikkerhedsproblemer på grund af manglende it-eksperter kommer i kølvandet på en analyse fra Erhvervsstyrelsen, som tidligere i år konkluderede, at mangel på it-eksperter svækker danske virksomheders mulighed for produktudvikling og vækst.

Derudover viser tal fra brancheorganisationen for it-virksomheder, IT-Branchen, at lidt over hver tredje virksomhed efterspørger kompetencer indenfor it-sikkerhed og at omkring 60 procent af virksomhederne vil arbejde med it-sikkerhed i 2019.

Christian Heinel har dog også oplevet det modsatte, hvor virksomheder har fortalt, at man ikke har behov for at se flere trusler, fordi der ikke er tilstrækkeligt med ressourcer til at håndtere dem.

»Et eksempel på omfanget af problemerne var en nylig rapport, der viste, at 44 procent af alle hændelser ikke bliver undersøgt. Samtidig bliver næsten hver anden legitime it-sikkerhedshændelse simpelthen ikke løst,« siger han.

Læs også: It-uddannelser mangler penge til pladser: Rekordstor efterspørgsel i år

Manglen på it-folk i danske virksomheder kan ifølge Christian Heinel også betyde, at det går for langsomt med at rette op på sårbarheder i virksomheders it-systemer.

»Mens hackere allerede inden for 24-48 timer er i stand til at skrive ny kode til at udnytte sårbarheder, så tager det i gennemsnit virksomheder 4-8 uger at patche. Det er et åbent vindue, der bl.a. skyldes, at dem med ansvar for it-sikkerhed har alt for mange opgaver,« siger han og tilføjer, at det kan være særligt problematisk i eksempelvis den offentlige sektor.

»De har ofte en række ældre legacy-systemer med kritiske processer, de vælger ikke at opdatere, fordi det kræver særlige certificeringer og ligeledes kræver mange ressourcer at vedligeholde efterfølgende.«

Ingen enkel løsning

Der er ikke nogen enkel løsning på udfordringen med manglende it-sikkerhedseksperter, men der er behov for handling, hvis man skal det stærkt opadgående lønpres til livs, som ifølge Christian Heinel kun blive større i de kommende år.

Han påpeger, at lønpresset særligt vil kunne mærkes for de brancher, der ikke kan tilbyde samme lønvilkår som resten af markedet såsom det offentlige eller mindre virksomheder med begrænsede it-sikkerhedsbudgetter.

»Det ligger naturligvis ligefor at uddanne flere mennesker indenfor it-sikkerhed, men udover at det tager tid og koster penge, så skal vi motivere både unge og ældre, så de fatter interesse for området og søger uddannelserne og efteruddannelserne. Her har it-branchen også et ansvar,« siger han.

Læs også: Mangel på 1,8 millioner ansatte indenfor IT-sikkerhed om 5 år

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Nenad Dragic

Jeg er en af dem som efter knap 20 år som professional inden for it er i gang med at sadle om til IT-sikkerhed ved at tage uddannelsen "Diplom i IT-sikkerhed". Ikke grundet pengene, men de spændende opgaver som ligger i det.

Men det lader til at dem med behovet kun vil have dem med 5+ års erfaring. Dem er er i gang med at få pudset deres viden og i gang med at få papir på deres viden er ikke gode nok.

Virksomhederne skal til at tænke anderledes og være hurtige på aftrækkeren. Behovet er ikke kun i Danmark, derfor kan det være svært at lokke andre til, de har oftest familie og et liv, så de flytter ikke så nemt længere.

Jeg ser personligt frem til Infosecurity 2019 og at få udleveret mit CV til dem som søger.

God dag derude,
Nenad

Povl H. Pedersen

Problemet er, at der ikke kommer nogen færdiguddannede ud fra nogen institutioner. IT Sikkerhed er typisk noget hvor man skal rende rundt i "lære" minimum et halvt til et helt år, og forstå virksomhedens kultur såfremt man skal komme med aktive tiltag.

Christian skriver lige så meget om dem der skal sidde og overvåge produkterne, og deres output. Og dem som skal patche komponenter. Dette er ikke noget der kræver specialister før det eventuelt går galt. Men selv den bløde mellemvare kan ikke findes i Danmark, og der er også ansat ikke særligt dygtige folk rundt omkring.

Når vi ansætter nogle gode folk der stikker ud til at løse opgave A eller B, og man konstaterer deres talent, så flytter man dem til hvor de giver mere værdi. Men det er et lille rekrutteringsgrundlag.

Da jeg startede ansatte man med få års mellemrum en 10-15 gode EDB-assistenter, som kom ind på en blanding af skolebænk og praktiske opgaver, og efter 1 årstid beholdte man de bedste, og resten røg ud på arbejdsmarkedet, væsentligt bedre rustet end et år før. Og nole søgte så hurtigt videre. Men alle de store var med til at bidrage til denne pulje, så vi fik alle noget ud af det.

Men jeg ved ikke engang om man kunne rekruttere folk med en kortere videregående uddannelse til mindstelønnen i dag, eller om alle ville forvente at starte med 30k eller mere.

Hans Nielsen

rekruttere folk med en kortere videregående uddannelse til mindstelønnen i dag, eller om alle ville forvente at starte med 30k eller mere.


ER det ikke mindste løn for det arbejde, hvis vi regner pention og andet med.

Og hvis man tager 1 år eller 3 år ydeligere så.

Den vejledende minimalløn for nyuddannede civilingeniører (2018) er kr. 38.700, og den vejledende minimalløn for nyuddannede diplomingeniører er kr. 37.400.

Thor Kristiansen

"De mange ubesatte job – både i Danmark og på verdensplan – går ud over sikkerhedsniveauet i den enkelte virksomhed, advarer Christian Heinel."

Det passer overhovedet ikke. Gå ind på IT jobbank eller andre steder her i DK og du finder ikke et eneste af jobbene. Jeg har selv kigget efter job i 3 mdr nu og har endda erfaring. Kender andre i samme situation. Skulle nogle mangle en medarbejder så skriv til mig. Jeg kan starte i morgen.

Er i øvrigt enig i hvad Nedad skriver ovenfor."De mange ubesatte job – både i Danmark og på verdensplan – går ud over sikkerhedsniveauet i den enkelte virksomhed, advarer Christian Heinel."

Troels Arvin

Det er muligt, at der mangler it-sikkerhedsfolk, som kan revidere politikker, politik-efterfølgelse og opsætte/overvåge systemer til detektion af sikkerhedsproblemer.

Men hvad værre er: Der mangler dygtige folk til at gøre kernesystemerne sikre, dvs. holde infrastuktur og applikationer tilpas opdaterede og hærdede. - Samt til at få udfaset uddaterede systemer.

Man kan ansætte nok så mange sikkerhedsfolk, men det hjælper ikke noget, hvad det blot betyder, at der kommer endnu flere ubehandlede røde lamper.

Det svarer til, at det ikke er nok, at éns bil kommer til syn. Det, som opdages i synshallen, skal jo håndteres uden for synshallen (og i virkeligheden helst før besøget i synshallen).

Med andre ord: Det er tidsspilde at betragte it-sikkerhed løsrevet fra den normale infrastruktur- og applikationsdrift.

Martin Mathiassen , CISSP

Jeg har været i it sikkerheds branchen i over 20 årsom fastansat og som konsulent og det jeg har set er mange arbejdsgivere vil ikke efteruddane sine medarbejdere fordi det koster mange penge og dem der vil tvinger medarbejder under ringe vilkår så som du skal læse i din fritid du får en bog og betalt eksamen men nu er det desværre ikke alle der lære fra en bog da der er flere forskellige lærings metoder.
Hvis en stor del af arbejdsgivere har den indstilling vil der af sig selv komme en mangel på kompetent arbejdskraft man er nød til at tage ansvar for at der uddanes nye samt gamle medarbejdere.
Det er som en svamp med vand og når vandet er tørret ud smides den ud og så finder man en ny svamp der kran drænes og sådan bliver de ved og der ved er man så en del af problemet og ikke løsningen.
Arbejdsgiverne er i min optik en stor del af årsagen til den store mangel på kompetent arbejdskraft der til har arbejdsgiverne og nogle krav der er umulige at opfylde de vil havde en ung medarbejder på 25 år med +10 års erfaring. Men dette er bare min optik der kan være andre meninger men det er det jeg har set i gennem de sidste 20 år.

Hans Nielsen

men det er det jeg har set i gennem de sidste 20 år.


Prøv 40 år

Der er ikke mange, som mere tager ansvar for uddanelse og pratikpladser.

Men det betyder jo ikke at de mister dere ret til at råbe op om at " vi mangler kvalifiseret medarbejder, sænk kravet så vi kan hente i udlandet, eller uddane nogle flere"

Samtidigt med at de ikke ønsker at betale skat, ansætte nyuddannet eller laver praktikpladser. Men sådane firmaer har normalt også dårligt arbejdsmiliø, eller images. Så de komme jo også tit sidst i rækken ved jobsøgeren.

At man ikke kan finde kvalifiseret arbejdskraft, betyder vel ikke at de ikke findes. Men at de forhold, som virsomhedere tilbyder er for dårlige.

Som når Vestjyske firmaer ikke kan finde dygtige ingeniøre, men på samme tid anser en løn på under 30.000 for passende. "for løningerne er jo ikke så høje herover"

Hans Nielsen

Så virksomheder som ikke kan finde medarbejder, skal bare lukke deres keje, og gøre noget ved det selv.

Hvis ikke må de bare betalte det en medarbejder koster.
Så nej der mangler ikke hænder, der mangler villighed til at uddanelse og villighed til at betale det en medarbejder koster.

Så enten må man finde en andet land at drive firma i, eller klape keje.

https://www.dr.dk/nyheder/regionale/syd/paradoks-firmaer-mangler-it-meda...

Log ind eller Opret konto for at kommentere