Digi.no meldte allerede i 2018 at Norge manglet rundt 2000 sikkerhetsfolk, og at dette tallet kom til å mer enn doble seg frem til 2030 hvis man dømmer ut i fra etterspørselen i bransjen. Vi som jobber med sikkerhet i det daglige har ganske varierte oppgaver, og todo-lista ble ikke kortere med pandemien. Det ryktes at i Storbritannia og USA er stressnivået for sikkerhetsfolk så høyt at de i snitt holder ut i jobben i bare 26 måneder*. Det er jo ikke til å legge skjul på at det å jobbe med IT-sikkerhet til tider kan være en utakknemlig, og noen ganger upopulær jobb. Det er en fordel å ha tykk hud og man må kunne ta noen diskusjoner. Man må også være sulten på å sette seg inn i nye ting hele tiden. Som å pløye gjennom bøker og videokurs, lese seg opp på den siste sårbarheten som ble oppdaget og rett og slett trene på jobben sin. For noen kan det å drive med sikkerhet være mer en livsstil enn en 9-5 jobb. Kan det være dette som er årsaken til at de unge ikke velger verdens kuleste fagområde?
Alt dette kan virke skremmende og kanskje noen tenker at dette ikke er for dem før de i det hele tatt har dyppet tærne i materien. Men det er også en viss sannhet her. Hvis man tar sikkerhet som fag på skolen og så forventer å komme til dekket bord når man får sin første jobb vil det komme noen overraskelser. For dette er et slitsomt yrke hvis man ikke virkelig elsker det. Jeg sier ikke dette for å få oss som myser i etheren til å virke kule, men fordi jeg har sett gjentatte ganger at folk snubler litt. De hopper i vannet, oppdager at det er mye dypere enn de forventet og så starter en panisk kaving til overflaten for å komme seg vekk. Det viktigste da er å alltid huske at du ikke står alene. Du er en del av et team og vi er helt avhengige av å backe, bygge og hjelpe hverandre for å lykkes.
Hvilke egenskaper ser vi etter hos sikkerhetsfolk?
De viktigste egenskapene man trenger er en genuin lidenskap for emnet, evig nysgjerrighet og ønsker om å løse komplekse problemer. Den har du sikkert lest nok ganger i jobb-annonser. Det du kanskje ikke har lest er at det ikke er viktig om man har studert sikkerhet på skolen. Blant de flinkeste sikkerhetsfolkene jeg kjenner er det mange som har bakgrunn fra fagområder innen fysikk og matematikk, spillprogrammering, demo utviklere, nettverk og drift eller eBusiness og finans. Noen visste at de ville hacke allerede i ung alder, mens andre oppdaget gleden etter de startet i sitt profesjonelle yrkesliv.
Hvilke oppgaver utfører sikkerhetsfolk i Visma?
Størrelsen på det daglige gliset dikteres selvfølgelig ut i fra prosjektet man er på, og folka man jobber med. Sikkerhet er et enormt fagfelt og det er umulig å makse attributtene i alle grener. Det er derfor vi hele tiden er avhengig av å være mange som komplementerer hverandre. Vi jobber med applikasjonssikkerhet, sikkerhets- og penetrasjonstesting, nettverkssikkerhet og infrastruktur, hendelseshåndtering, digital forensics, forretningskontinuitet og mer tradisjonell sikkerhet som fysiske låser og videoovervåkning. Det er nok av kaninhull å forsvinne ned i.
Visma har en rekke sikkerhetseksperter i mange forskjellige land. Noen jobber med sikring av applikasjoner og drift for egenutviklede løsninger, andre jobber med sikkerhet ut til Visma sine mange tusen kunder. Noen jobber som konsulenter hos eksterne virksomheter. Vi har alt fra tekniske hackere som utvikler verktøy du finner i pentest distribusjoner som Kali Linux, til de som jobber på et virksomhetstrategisk nivå.
Som sikkerhetskonsulent er det ganske vanlig med sikkerhetstesting og pentesting, gjennomgang av kildekode, trusselmodellering, tekniske risiko- og sårbarhetsanalyser og rapportering. En stor del av jobben går også ut på å kommunisere ut faget til de rundt seg på en kul og spennende måte. Det kan hjelpe de i å utvikle tryggere løsninger, senke risikoen i virksomheten, øke bevisstheten rundt dagens trusler og utfordringer, bistå kunder etter uheldige hendelser eller rådgi hvordan de best kan bake sikkerhetskapabiliteter inn i sine visjoner og strategier.
Vi skriver også tilbud til potensielle kunder. Noen tenker kanskje at dette er kjedelig, men det er en veldig viktig del av jobben vår. Det er her du strukturerer kompetansen din, oppdager hull og aller viktigst; viser hvor god du er på å kommunisere kunnskapen din på en tydelig og overbevisende måte. Vi kan også stå på scenen foran et publikum eller i et studio foran et kamera og presentere konsepter, råd og varsler.
Hva slags prosjekter kan man jobbe med?
Hva slags prosjekter du jobber med er selvfølgelig avhengig av hvor i Visma man jobber. Uansett hva du kan tenke deg av sikkerhet, så er det et sted i organisasjonen hvor vi ha behov for det. Det kan være infrastruktur og drift av skysikkerhet, utviklingspipelines, endepunkt, fysisk sikkerhet, redteam-øvelser både eksternt og internt, eller applikasjonssikkerhet på Vismas produkter. Dette er langt i fra en full liste, og uansett hvor du skulle ende opp så vil du være en del av en gjeng på flere hundre sikkerhetseksperter spredt over hele kloden.
Som konsulent varierer lengden på prosjektene veldig. Det kan være alt i fra noen timers rådgivning eller bistand, til utviklingsprosjekter over flere måneder eller år. Vi jobber for å være ressurser som virksomheter går til for løsninger kontra det å være “nei” mennesker. Det er selvfølgelig noen ganger du blir presentert med noe som er stein hakke galt, men da er det jobben vår å skape forståelse og komme med alternativer som gjør at begge går blide og fornøyde fra bordet.
Sikkerhet er uten tvil et av de mest spennende og givende arbeidsområdene innen IT for tiden, og ser ut til å bare bli viktigere fremover. Dette gjør at vi hele tiden vil trenge å staffe opp teamene våre med både “unge og lovende” og “etablerte og erfarne”.