Hurtigutdannelse går på sikkerheten løs
It-sikkerhet på 12 uker holder ikke mål.
Forrige dagen fikk jeg en telefon fra et rekrutteringsbyrå som hadde satt seg godt inn i utfordringene vi har innenfor it-sikkerhetsbransjen med å skaffe folk. Vedkommende som ringte meg, ga meg en situasjonsbeskrivelse jeg kjente meg godt igjen i. It-sikkerhet er en profesjon der samfunnet for tiden mangler ca. 1900 fagpersoner. Det spås videre en mangel på rundt 4000 i 2030. Med andre ord har vi en mangel i markedet, og alle virksomheter er på konstant leting etter de rette folkene.
Ressursene henger ikke på trær
Samtalen med rekrutteringsbyrået ble til en slags «pitch», der vedkommende sannsynligvis hadde noen gode kandidater å tilby. Jeg ventet derfor høflig til vi var igjennom hele innsalget fordi it-sikkerhetsfolk henger ikke på trær, og det er viktig å følge godt med for å finne mulige kandidater.
Etter 20 år i bransjen, med mange år i en posisjon der man kommer borti en del ansettelser, vet man hva man bør se etter. De aller fleste har gått tradisjonelle veier, der vi raskt kan se hvilken kompetanse de har. Kvalitet og kompetanse er definitivt nøkkelordene.
It-sikkerhet på 12 uker
Hvilken kompetanse kan man forvente at folk uten noen forkunnskaper om it skal klare å tilegne seg på denne tiden?
Det var derfor jeg ble så overasket over å høre fra rekrutteringsbyrået at på grunn av ressursmangelen i markedet, hadde designet en «hurtigutdannelse» på 12 uker. Der man ikke trengte annen forkunnskap enn å ha vært i arbeidslivet noen år for å melde seg på. 12 uker?
Hvilken kompetanse kan man forvente at folk uten noen forkunnskaper om it skal klare å tilegne seg på denne tiden, for så å skulle gå ut i samfunnet og jobbe med et av de mest komplekse fagområdene innenfor it. Fellesnevneren for oss er at hvis vi ikke gjør jobben vår riktig, kan nok om trusselbildet, gir feil råd eller på annen måte agerer uriktig, vil ingen kjøpe løsninger fra oss.
Mangelen er stor
Jeg følte at man snakket ned kompetansekravet for å jobbe med it-sikkerhet. I it-sikkerhetsbransjen lever vi av ryktet vårt. På samme måte som revisorer eller advokater, må vi holde oss oppdaterte på fagfeltet. Advokater må ha advokatbevilling, og revisorer og regnskapsførere må godkjennes av Finanstilsynet for å kunne bli statsautoriserte.
En it-sikkerhetskonsulent har ofte minst like stor tilgang inn i kundens hemmeligheter som både advokater og regnskapsførere, men ingen formelle kompetansekrav for å utføre jobben sin. Da er det ekstra viktig at vi sikrer kvaliteten gjennom god og riktig utdanning. Det innebærer topp-kompetanse på det dynamiske trusselbildet, trusselaktører, risiko og tekniske løsninger. Det må vi kunne for å levere det norske virksomheter trenger i kampen mot hackerne. Vi kan ikke ta snarveier som går på sikkerheten løs.
I startgropen av faget
Det er sikkert noen veldig smale stier man kan starte med på et 12-ukers intensivkurs. Men det må samtidig være gjensidig forståelse for at man bare da er i startgropen på en bratt og svært praktisk lærekurve. Her har nok rekruttererne litt å gå på for å forstå hva de selger inn.
Selv de som kommer ut av høyskole og universitetene etter 3 eller 5 år må anses å være i tidlig fase av reisen sin kompetansemessig. Utdanningen gir et verdifullt fundament, men det er igjennom arbeidslivet den virkelige læringen starter.
Litt kaldt vann i årene
Jeg har full forståelse for at mange ikke ønsker å ta lange utdannelsesløp, og heier på alle som ønsker å begynne å jobbe med it-sikkerhet. Jeg vil allikevel helle litt kaldt vann i årene på alle de som tenker at de kan surfe gjennom korte kurs, fordi det er så lett å få jobb etter fullførte studier på grunn av den store mangelen på folk.
Selv om mangelen på ressurser fører til at man jaktes og har lettere for å komme seg med foten innom, så er det som sagt bare starten.
Ulike veier inn
Gjennom 20 år har jeg møtt mange kompetente i sikkerhetsmiljøet. Mange har kommet inn i it-sikkerhetsfaget gjennom ulike veier. Men det jeg ser er nøkkelen hos de beste jeg har møtt, er at de har praktisk erfaring over flere år, gjerne har vært innom noen forskjellige fagområder og dermed besitter erfaring og kompetanse som gir de forutsetninger for å se et helhetlig perspektiv.
Min konklusjon er derfor at 12-ukers intensivkurs isolert sett, neppe er løsningen på kompetansemangelen i markedet.
Vi må lære av hverandre
Uansett hva du jobber med er det viktig å være relevant. Med dette mener jeg at du må være interessert i faget og følge med på flere arenaer for å være oppdatert. Sørg for å følge med på det vi har av it-aviser i Norge, meld deg inn i Facebook-grupper om it-sikkerhet og vær aktiv på LinkedIn og Twitter. Finn noen du synes skriver smarte ting og følg disse.
Selv om du er attraktiv i markedet, ikke oppfør deg som du er verdensmester. Det er mange smartinger i bransjen, og vi trenger å lære av hverandre fremfor å konkurrere. Har du driv og interesse for it-sikkerhet, så håper jeg du velger å jobbe i et av Norges viktigste yrker.
Inntil skrivelysten tar meg igjen følger jeg med og holder meg oppdatert.