Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
I it-sikkerhedsbranchen står man i øjeblikket over for to store udfordringer.
Den ene er at tiltrække dygtige medarbejdere nok. Den anden er at holde på dem, man har.
De bedste af slagsen er i min optik dem, der drives af nysgerrighed, konstant er på udkig efter ny viden og den næste store udfordring.
Den slags medarbejdere holder sig skarpe og opdaterede og bliver helt automatisk dygtigere og dygtigere. De er guld værd for deres arbejdsgiver og de kunder, de rådgiver.
Det er efterhånden mange år siden, it-branchen primært bestod af glade amatører med stor passion for it, sikkerhed og gaming.
Passionen er der stadig, men udviklingen inden for både digitalisering og cyber-sikkerhed går så rivende hurtigt og har indhentet - ja endda overhalet - det faglige niveau, man kan nå med selvstudie alene.
Uddannelse og konstant dygtiggørelse er i dag et konkurrenceparameter overfor såvel medarbejdere som kunder.
Vi kan mærke, at videns- og kompetenceniveauet hos vores kunder er på et langt højere niveau end tidligere.
Kunderne kender de forskellige kurser og certificeringer. De ved hvilke lovkrav, der findes, og stiller derfor tilsvarende krav om dokumentation for, at vores konsulenter holdes opdaterede og besidder de nyeste certificeringer.
Certificeringer er for vores sikkerhedskonsulenter, hvad kørekortet er for en chauffør.
Derfor er det også af afgørende betydning, at de kan vedligeholde deres faglige, tekniske niveau og løbende tage nye certificeringer.
Det er ikke alene et spørgsmål om interesse i at holde sig ajour og blandt de bedste på deres felt.
De rette certificeringer er også karrierefremmende og kan være en adgangsbillet til de mest spændende opgaver eller måske det næste job.
Uddannelse og certificeringer er derfor også en af de helt store poster på vores budget.
Vi bruger hvert år et anseligt beløb på at holde vores medarbejderes kompetencer helt i top. Det gør vi af ovennævnte grunde, men også fordi vi vil have de bedste af de bedste profiler i markedet.
Vi har desuden den indstilling, at uddannelse, tid til træning og arbejdsgiver betalte certificeringer er et medarbejdergode, der kan bidrage til at holde på vores medarbejdere. Og strategien har givet pote.
Den negative side af dette kan siges at være, at som it-konsulent er man helt afhængig af konstant at holde sig opdateret.
En it-konsulent, der ikke vedligeholder sin viden, mister på relativt kort tid sin værdi – i it-sikkerhedskredse taler man om under to år.
Og det er ikke nogen hemmelighed, at certificeringer er dyre, og det er en kostbar affære at holde sig ajour.
Nogle certificeringer er dyrere end andre, og en certificering kan nemt koste op mod 50.000 kr. eller mere.
De mest anerkendte konferencer findes desuden ofte i udlandet, særligt USA hvor store konferencer som ”BlackHat” og ”DefCon” hvert år afholdes i Las Vegas og tiltrækker i tusindvis af deltagere herunder toppen af feltet inden for cyber-sikkerhed.
Alle uddannelser bliver med tiden forældede.
Det siger sig selv at i en verden, der forandrer sig med lynets hast, og hvor udviklingen inden for blandt andet it går vanvittig hurtigt, kan man ikke forvente, at den uddannelse, man tog for eksempel for 10 år siden, stadig er fuldt dækkende.
Tidligere kunne man måske vedligeholde og opdatere sin viden alene ved at være tilknyttet arbejdsmarkedet.
Det er ikke længere tilfældet. Efteruddannelser er nødvendig inden for stort set alle brancher.
I nogle brancher, som for eksempel it- og Healthcare-industrien, sker udviklingen hurtigere end i andre brancher.
Men faktisk kan jeg ikke i skrivende stund komme på en eneste branche, hvor man uddanner sig til et job på livstid.
Når du går til lægen, forventer du, at denne er helt ajour med det seneste inden for medicin og behandlingsmetoder, så du kan få den bedste behandling.
På samme måde er det vel også forventeligt, at din it-sikkerhedskonsulent er - om ikke foran - så på niveau med de nyeste og mest avancerede hackeres angrebsteknikker, -taktikker og værktøjer.
Men hvor vi kan tale om forventninger til din læge, så taler vi inden for it-sikkerhed om krav. Både i NIS2- og i DORA direktiverne stilles der krav til træning af ledelse og medarbejdere.
Der stilles krav om løbende awareness-træning af medarbejderne, krav til ledelsen om uddannelse i deres rolle og ansvar i forbindelse med cyber-trusler, og sidst - men ikke mindst - stilles der krav til, at der gennemføres løbende sikkerhedstests, og at der er et vist anciennitets- og kompetenceniveau hos de konsulenter, der gennemfører de avancerede tests.
Vi kommer ikke uden om, at i rigtig mange tilfælde handler it-sikkerhed ikke kun om at sikre virksomhedens egne værdier og måske endda overlevelse.
Det handler i lige så høj grad om at sikre alle de kunder, leverandører, partnere og så videre, der risikerer at blive påvirket af et potentielt angreb.
Blandt andet af den grund skærpes kravene til uddannelse og certificeringer i takt med, at trusselsniveauet stiger.
De skærpes til et niveau, hvor det kan være vanskeligt for en generalist it-afdeling at følge med.
Udviklingen inden for digitalisering og it-sikkerhed har i dag nået et kompleksitetsniveau, hvor generalisterne ikke længere kan være med.
Ligesom ingen længere selv reparerer deres bil, fordi den i dag ikke er et mekanisk transportmiddel men et højteknologisk vidunder, så kræves der også højt certificerede specialister til at løse it-sikkerhedsopgaverne.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
