Det företag som inte låter säkerhet genomsyra hela organisationen riskerar att råka illa ut. Som det slitna ordspråket säger, man är inte starkare än sin svagaste länk. Råkar en anställd klicka på en virussmittad länk kan hela företaget ligga i riskzonen. Likaså måste de som hanterar och förebygger hot mot företagens it-miljö vara insatta i verksamhetens behov.

Samtidigt råder det brist på utbildad säkerhetspersonal inom it och företag vittnar om svårigheter att rekrytera.

Ett alternativ är att i en sådan situation vända sig inåt och se till vilken kompetens som finns i företaget. Och hur den kan tas till vara. Det gjorde driftleverantören Basefarm när det för sex år sedan skulle bygga upp en ny grupp för hantering av it-incidenter. Sirt-gruppen, en förkortning för security incident respons team, består i dag bland annat av anställda från it-drift, databasadministration och Windows- och Linuxtekniker.

Läs också: Vi orkar inte bry oss om de ständiga varningarna för hot mot it-säkerheten

– Vi har valt att plocka in folk från flera avdelningar, främst av anledningen att se till att kunskapen sprids till olika grupper så den inte fastnar i ett team utan finns i hela företaget. Sirt-medlemmarna går tillbaka till sina vanliga avdelningar och sprider medvetenheten om säkerhet, säger Fredrik Svantes, ansvarig för Basefarms sirt-team.

Gruppens medlemmar valdes utifrån två ledord: säkerhetsintresse och integritet. Om det var någon som på fritiden ägnade sig åt att leta säkerhetshål, höll sig uppdaterad på senaste trenderna och verktygen var hen den perfekta kandidaten. De som togs in fick en utbildning i de verktyg som används, något som följs upp och uppdateras löpande. Att gruppen överhuvudtaget togs fram beror på att de hur antalet riktade attacker gick upp och hur säkerhetshoten växte i antal. Och det rutiner som då fanns var inte optimala.

– Även om det inte varit huvudanledningen så har det varit svårt att hitta folk. Och om vi vet att det finns ett starkt intresse hos en anställd ser vi en möjlighet att ta vara på det intresset, även om det inte är på heltid. Om någon har ett genuint intresse och får jobba med det så trivs de också bättre på jobbet, säger Fredrik Svantes.

Basefarm är ett it-företag, de jobbar dagligen med drift och underhåll av affärskritiska verksamhet. Så även om de inte är ett renodlat säkerhetsföretag sitter de redan på mycket kunskap. Andra företag har det inte lika lätt att bygga ett liknande team. För dem krävs det fortfarande att de tar in expertkunskap utifrån, kanske i en form av en konsult. Men det finns lärdomar att ta med sig.

– Även representanter från ekonomiavdelningen och annan administration behövs i samarbetet, det handlar om att hitta ambassadörer. Helst någon med ett intresse för säkerhetsfrågor, men som inte behöver kunskap om de mest avancerade verktygen, säger han.

Också en säkerhetsgrupp kan ha mycket att vinna på att ta in kompetenser som normalt inte faller inom ramarna för incidenthantering. En sådan kan vara förmågan att vara ett ansikte utåt. Att avlasta tekniker genom att förmedla informationen vidare till medarbetare och kunder, vilket Fredrik Svante säger är en mycket viktig del av säkerhetsarbetet. En person som också kan bidra till omvärldsbevakningen.

Läs också: Så säkrar du företagets data när personalen jobbar mer och mer mobilt

Sirt-gruppen har funnits i sex år och består av åtta personer utplacerade i tre länder. De har, som namnet avslöjar, hand om it-incidenthanteringen men också det mycket viktiga förebyggande arbetet. Sedan de började sitt arbete har de lagt mycket fokus på samarbete inom gruppen och med övriga dela i företaget samt olika certifieringsforum.

Fördelarna som Fredrik ser dem ligger främst i att kunskapen går från gruppen ut i hela organisationen. Och att de får återkoppling från avdelningarna om vilka behov de har, vilka system som verkligen är kritiska och hur de används. Dessutom är det ett sätt att behålla kompetens i företaget.

Dock är det ingen som sitter i gruppen på heltid, däri ligger nackdelarna.

– Vi får kämpa för resurserna. Folk sitter i andra grupper, men sina projekt och sina krav. Helt plötsligt ska man sätta på sig säkerhetshatten. Men vi har blivit bttre på att hantera det och har byggt specifika rum som medarbetare i teamet arbetar i när de sitter i sin sirt-roll.