Beredskap mot skadlig kod - Myndigheten för samhällsskydd och ...
Beredskap mot skadlig kod - Myndigheten för samhällsskydd och ...
Beredskap mot skadlig kod - Myndigheten för samhällsskydd och ...
Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
Genom att studera de existerande<br />
kompetensbehoven inom respektive<br />
organisation går det att få en djupare<br />
<strong>för</strong>ståelse <strong>för</strong> hur ovanstående siffror<br />
bör tolkas. Om man börjar med att<br />
titta på det som respondenterna anser<br />
om den egna kompetensen framgår av<br />
tabellen på <strong>för</strong>ra sidan (bild 22) att en<br />
ökad teknisk kunskap om befintliga<br />
<strong>och</strong> nya IT-lösningar ät mest eftertraktad.<br />
Den övergripande <strong>och</strong> sammanlänkade<br />
kompetens som de flesta<br />
respondenterna har i dagsläget räcker<br />
visserligen långt <strong>för</strong> att kunna strukturera<br />
upp IT-säkerhetsarbetet, men i<br />
många fall är det teknikernas specifika<br />
kunskaper som krävs <strong>för</strong> att göra planerna<br />
konkreta.<br />
Två andra typer av kompetens som<br />
efterlyses är att vara mer uppdaterad<br />
när det gäller utvecklingen av nya produkter<br />
<strong>och</strong> tjänster som befrämjar ITsäkerhet,<br />
samt ett <strong>för</strong>bättrat sätt att<br />
kommunicera frågan i organisationen.<br />
Den sistnämnda punkten är särskilt<br />
viktig eftersom kommentarer om ickeoptimal<br />
kommunikation även nämns<br />
på andra håll i intervjuerna. Kommunikation<br />
om IT-säkerhet kan rikta sig<br />
både <strong>mot</strong> ledningen (<strong>för</strong> att sälja in <strong>och</strong><br />
<strong>för</strong>ankra nödvändiga <strong>för</strong>ändringar),<br />
<strong>mot</strong> IT-personalen (<strong>för</strong> att instruera de<br />
som har ett operativt ansvar) <strong>och</strong> <strong>mot</strong><br />
vanliga anställda (<strong>för</strong> att öka medvetenheten).<br />
I alla dessa fall är det väldigt<br />
viktigt med bra pedagogik i framställningen<br />
<strong>för</strong> att kunna nå ut med budskapet.<br />
Även om en del av ansvaret<br />
givetvis ligger på <strong>mot</strong>tagarna finns det<br />
i alla fall bland en del respondenter en<br />
52 | beredskap <strong>mot</strong> <strong>skadlig</strong> <strong>kod</strong><br />
medvetenhet om att det bör finnas<br />
möjligheter att <strong>för</strong>bättra kommunikationen.<br />
Följande två citat illustrerar<br />
detta behov:<br />
”Jag har en bakgrund från tekniken <strong>och</strong><br />
en <strong>för</strong>måga att se sammanhang. Jag har<br />
gått kurs som VM-Data driver <strong>och</strong> följer<br />
utvecklingen, men man kan ju alltid<br />
behöva mer. Det som gör det hela svårt<br />
är att jag har en så blandad roll. Det jag<br />
skulle behöva mer av är praktisk erfarenhet<br />
av att sälja in budskap, ha aktiviteter<br />
tillsammans med personalen, t ex. göra<br />
riskanalyser under lite enklare former.”<br />
(IT, landsting)<br />
”En av de viktigaste saker som jag skulle<br />
vilja lära mig är att följa upp <strong>och</strong> ställa<br />
krav på personalen att de gör det de ska<br />
göra. Det är ingen idé att jag sätter mig<br />
in i alla våra olika system. De viktigaste<br />
är att jag har den övergripande kunskap<br />
som krävs <strong>för</strong> att se till att de som är<br />
ansvariga <strong>för</strong> alla dessa system gör sitt<br />
jobb.” (IT, statligt bolag)<br />
Det är signifikativt att de två viktigaste<br />
kompetenshöjande åtgärderna som<br />
respondenterna <strong>för</strong>eslår <strong>för</strong> andra inom<br />
organisationen som jobbar med IT eller<br />
IT-säkerhetsarbete är att de <strong>för</strong>st <strong>och</strong><br />
främst blir bättre på att lära sig reglerna<br />
<strong>och</strong> följa rutinerna samt att de visar<br />
mer <strong>för</strong>ståelse <strong>för</strong> konsekvenserna av<br />
justeringar i IT-miljön <strong>för</strong> kärnverksamheten.<br />
Även detta är delvis är en<br />
kommunikationsfråga <strong>och</strong> understryker<br />
ännu en gång vikten av de mjuka faktorerna<br />
inom IT-säkerhetsarbetet.