Ved en fejl havde Computerworld fået tilsendt en forkert version af denne klumme. Dette er den opdaterede tekst.
Hvis man spørger folk på gaden, hvad cybersikkerhed handler om, svarer de fleste nok noget om computere, netværk eller hacking. Det vil sige: Noget teknisk.
Det er lidt det samme indtryk man får, hvis man kigger på tværs af de nye, danske uddannelser i cybersikkerhed – de er også stærkt domineret af teknik.
Tekniske færdigheder er naturligvis vigtige: Firewalls skal konfigureres, servere skal opdateres og sårbarheder forsvinder ikke af sig selv. Men – og det er et stort men – i dag kræver de fleste cybersikkerhedsjob langt mere end blot tekniske kompetencer. Hvad med compliance? Risikostyring? Ledelse? Projektstyring? Forandringsledelse? Opbygning af brugerkompetencer?
For nylig udgav PwC sin årlige cybercrime-rapport. Her blev 463 topledere og sikkerhedschefer spurgt om, hvilke sikkerhedsinvesteringer de vil prioritere højest i 2025. De tre topscorer var:
1. Awareness-træning (49 %)
2. Metodeforankring (41 %)
3. Beredskab (41 %)
Først på fjerde- og femtepladsen kom identitets- og adgangsstyring samt netværkssegmentering. Det tegner et meget klart billede af, at moderne cybersikkerhed handler lige så meget om menneskelig adfærd som teknik.
En halv uddannelse er ikke nok
Alligevel lader de fleste nye uddannelsesprogrammer til at bygge på en tankemodel, som i udpræget grad prioriterer tekniske færdigheder på bekostning af mere proces- og ledelsesbetonede kompetencer.
Man mærker en stemning af, at nu skal der uddannes sikkerhedsfolk, så nu skal der fart på teknikken.
Lidt groft sagt er der tale om halve uddannelser. Eller i al fald uddannelser som primært skaber tekniske specialister, der måske nok har lært at fejlfinde systemer, men som ikke er klædt på til at navigere i de komplekse realiteter, moderne organisationer står overfor.
Mange vil heller ikke være rustet til at lede tværfaglige teams eller til at håndtere de menneskelige faktorer, der ofte ligger bag alvorlige brud på sikkerheden.
Det bliver værre frem mod 2030
Hvis vi fortsætter på den kurs, hvem skal så udfylde de job, der kræver en bredere palette af kompetencer? Og hvordan løser vi så talentmanglen i en branche, der har behov for meget mere end tekniske specialister?
Hvis nogen tror, at den akutte mangel på kompetente sikkerhedsfolk ikke kan blive værre, end den er nu, så bare vent til om fem år. Der er rigtig meget på spil, og ikke ret meget tid til at finde en mere realistisk balance.
Tid til at tænke større
Vi bliver nødt til i en fart at gøre op med den forældede betragtning, at cybersikkerhed primært handler om teknik. Min anbefaling er at hente inspiration fra andre brancher, hvor der er sket en lignende differentiering med henblik på at udvikle de kompetencer, der rent faktisk er og bliver behov for.
Ikke forstået som en skarp opdeling i teknikere og humanister, men som en generelt mere balanceret tilgang til vores cybersikkerhedsuddannelser.
Hvad med fx at kigge nærmere på de erfaringer, som luftfartsindustrien har opbygget gennem årtier i forhold til deres sikkerhedskultur og -metoder? Eller hvad med at hente meget mere inspiration fra eksisterende viden fra uddannelser inden for organisationskultur og forandringsledelse?
Det er oven i købet uddannelser, der allerede tilbydes på de selvsamme institutioner, der i dag udvikler halve uddannelser i cybersikkerhed.
Det er på tide, vi går direkte efter at uddanner fremtidens sikkerhedsfolk til at varetage de roller, vores samfund og erhvervsliv rent faktisk har brug for – og ikke kun til de job, vi plejede at have.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
