Experis utvider kurstilbudet innen cybersikkerhet

data program web

Datasikkerhet får stadig større oppmerksomhet blant norske virksomheter. Samtidig blir trusselbildet mer komplekst og behovet for kompetanse innen datasikkerhet større.

Nå lanserer Experis Ciber, et av Norges ledende IT-konsulentselskaper, flere sikkerhetskurs som skal bidra til å heve kompetansenivået.

– Etter de første dataangrepene i Norge på midten av åttitallet har kompleksiteten på angrepene og vår avhengighet av systemene økt enormt. Når samfunnet digitaliseres og flere systemer flyttes på internett, blir konsekvensene av datainnbrudd mer alvorlige. Samtidig er det utviklet metoder og teknologi som gjør at vi kan sikre systemene bedre. Allikevel ser vi at anbefalte sikkerhetstiltak ikke blir gjennomført, sier Stein A. Møllerhaug, sikkerhetsinstruktør i Experis Ciber.

Møllerhaug er blant landets fremste sikkerhetseksperter, og har siden 1986 jobbet både nasjonalt og internasjonalt med datasikkerhet. I dag jobber han som autorisert instruktør for Experis Ciber innen fagområdene CISSP, CCSP, SSCP og ISO2700x-serien.

Han mener norske virksomheter må gå bort fra ideen om det perfekte sikkerhetsopplegget og heller ha en risikobasert tilnærming til sikkerhet. 

– I ISO 27005 defineres virksomhetens kjerneverdier som prosesser, aktiviteter som støtter prosessene, og virksomhetskritisk informasjon. Dette er primære verdier som virksomheten må beskytte. Den største utfordringen i møte med truslene er mangel på systematisk kunnskap. Ifølge Nasjonal Sikkerhetsmyndighet er det et misforhold mellom truslene og kompetansen i virksomhetene. Vi ønsker å lukke dette kompetansegapet, sier han.

Les også:  Staten går ikke inn med ny kapital i SAS

For å få til dette peker Møllerhaug på viktigheten av en tilnærming basert på risikoforståelse og en respons basert på hendelsen:

– Dette er ikke så vanskelig om man forlater den panikkpregede måten å gjøre ting på til fordel for en systematisk tilnærming. Det er ikke mangel på gode metoder og verktøy, men mangel på riktig bruk. Det er nettopp dette som ligger til grunn for vårt undervisningstilbud.

Selskapet lanserer nå flere internasjonale sertifiseringskurs for å styrke sikkerhetskompetansen og gjennomføringsevnen blant norske virksomheter.

– Det er tre hovedklasser med kurs. Det ene er sertifiseringskursene som ved bestått eksamen gir en formell internasjonal godkjenning innen ulike områder. Dette er SSCP for teknikere, CISSP for informasjonsledere og CCSP for skytjenester, sier Møllerhaug og tilføyer: 

– De største skandalene i forbindelse med bruk av skytjenester kunne vært unngått om virksomhetene hadde fulgt rådene i de 10 første sidene av pensum i CCSP. 

Den andre klassen kurs er ISO27001, en av få internasjonale standarder for informasjonssikkerhet. 

– På det ene kurset lærer man å implementere standarden og på det andre lærer man å revidere standarden. Kursene har et internasjonalt anerkjent pensum med god struktur og systematisk tilførsel av kunnskap. Har du bestått disse kursene mestrer du de viktigste delene av de kritiske områdene, sier han.

Les også:  IT-bransjen skriker etter folk: – Situasjonen er faktisk ekstrem

Han forteller videre at selskapet også har en serie egenutviklede kurs i form av et tretimers introduksjonskurs i informasjonssikkerhet, et tretimers lederseminar og et todagers teknologifokusert seminar. 

– Her ser vi på nye og sentrale teknologier som blokk-kjede, skytjenester, IoT, sikkerhet på mobile enheter, kryptering og annet. Alt er praktisk orientert med konkrete eksempler, understreker han.

Møllerhaug forteller at kursene i utgangspunktet er universelle og relevante for alle typer virksomheter.

– Kunnskapen er like anvendelig for en stor internasjonale bedrift som for et enkeltpersonforetak. Det handler i større grad om hvor mye tid du kan bruke på sikkerhet og samtidig ivareta kjernevirksomheten, sier han.

Med «informasjonssikkerhet for alle» som visjon ønsker selskapet å heve minimumsnivået på sikkerhet uten store kostnader.

– Det som ofte lønner seg for mindre bedrifter er å kjøpe tjenestene, eller deler av tjenestene, fra et datasenter eller en skyleverandør. Man kan eksempelvis kjøpe tjenester for å overvåke sikkerhetslogger, tilegne seg noe intern kompetanse, og sette ut det man ikke har kapasitet til å gjøre selv. Kursene våre fokuserer derfor på hvordan man gjennomfører tiltakene utfra den situasjonen man er i. Det handler om å ta styring på informasjonssikkerheten, sier han.

Les også:  Verdens første bilstol med integrert airbag for barn

Møllerhaug forteller om en episode som ung korporal hvor han var ute på biltur og kom over en Volkswagen boble med motorbrann. 

– Jeg stopper foran bilen for å bistå med brannslukning, men rekker ikke å komme ut av bilen før hun har kastet en pelskåpe over motoren og kvelt brannen. Lærdommen fra episoden er at man bruker ikke en pelskåpe til 30.000 for å redde en bil til 5.000. Hendelsen illustrerer viktigheten av risikostyring, kost-nytte-analyser, og at det er lov å si nei til sikkerhetstiltak. Det sentrale er at man må vite hva man sier nei til slik at sikkerhet ikke blir et sjansespill.

– Når man har identifisert en risiko er det flere ting man kan gjøre. Man kan akseptere risikoen og si at «går det galt, så går det galt» eller man kan ta risikoen på alvor og gjennomføre relevante tiltak. Det viktigste er at man har et bevisst forhold til hvilke tiltak som gjennomføres.

– Dette er årsaken til at jeg er entusiastisk til å jobbe med informasjonssikkerhet. Nå kan vi systematisk tilføre gjennomarbeidet informasjon slik at ulike virksomheter kan ta de riktige valgene. Ingen vil bruke en dyr pelskåpe til å redde en billig bil, avslutter Møllerhaug.

Anbefalt for deg

Om skribenten: Redaksjonen

Redaksjonen i Ranaposten.no publiserer aktuelle saker og nyheter skrevet av redaksjonen, leserne eller tilknyttede pressetjenester.