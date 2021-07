Bara i USA uppskattas omkring 500 000 tjänster inom cybersäkerhet vara vakanta just nu, inräknat 166 000 jobb som säkerhetsanalytiker, professionens vanligaste titel. De här siffrorna kommer sannolikt att öka.

Enligt PWC:s rapport Global Digital Trust Insights 2021 svarar 51 procent av de tillfrågade cheferna att de planerar att anställa ytterligare personal inom informationssäkerhet det närmaste året. 22 procent säger att personalstyrkan inom området kommer att öka med fem procent eller mer.

Itsäkerhetsavdelningarna behöver även fortsättningsvis analytiker, tekniker och penetrationstestare – alla roller som är vanliga på avdelningar som hanterar it-säkerhet. En ny utveckling är att många företag nu tillsätter helt nya roller och positioner – med nya titlar.

I den här texten får du höra experternas tankar om åtta roller som de ser som avgörande för it-säkerhet under 2021.

IAM engineer

Chefer och ledare inom it-säkerhet fokuserar allt mer på att utveckla robusta rutiner för IAM, identitets- och accesshantering. Bakgrunden är ett allt större behov av fjärråtkomst, en ökad efterfrågan på möjligheten att arbeta var som helst och när som helst, och it-miljöer som använder ett flertal olika molntjänster.

I rapporten 2020 State of Identity Security in the Cloud från Cloud Security Alliance fann man att 94 procent av tillfrågade företagsledare listade behörighets- och identitetshantering för individer som en hög eller mycket hög prioritet. 77 procent sade samma sak om uppkopplade maskiner.

Det här leder till att nya nischroller skapas, med titlar som IAM-tekniker eller IAM-analytiker.

Jeff Weber, vd för bemanningsföretaget Robert Half Technology, tror att efterfrågan på den här typen av experter kommer att fortsätta att öka:

– Under de kommande månaderna så drivs de här behoven av att säkerhetskrav inkorporeras i applikationernas livscykel, säger han och lägger till att hans företag ser hur it-säkerhetschefer idag utbildar medarbetare med erkänd analytiska och problemlösande förmågor för att fylla de här rollerna.

Third-party risk manager

Idag uppstår säkerhetshot inte sällan på andra ställen än i den egna operationen. Potentiella och verkliga säkerhetsproblem hos partners och återförsäljare gör att it-säkerhetschefer nu tittar allt mer på hur risker hos tredje part kan hanteras. Detta för med sig nya roller som fokuserar helt på det här området, menar säkerhetsexperter och rekryterare.

Stephanie Benoit-Kurtz, chef för cybersäkerhet på Station Casinos (en position som rapporterar till en it-säkerhetschef), har till exempel en analytiker inom informationssäkerhet i sitt team, som fokuserar både på interna risker och sådana som uppstår hos tredje part. Hon uppskattar dock att hon kommer att behöva en third party risk manager på heltid när efterfrågan på och komplexiteten för den här typen av arbetsuppgifter ökar.

Titlarna för den här typen av roll varierar, liksom huruvida lösningen blir att tillsätta en ny heltidstjänst eller lägga ansvaret på en redan befintlig tjänst inom den avdelning som hanterar informationssäkerhet. Oavsett hur det ser ut så menar experterna att uppgiften är den samma: Gå igenom policyer och rutiner hos tredje part och följ upp att dessa följs enligt rådande kontrakt.

– Du måste säkerställa att du hanterar den här risken och att ni som säkerhetsavdelning förstår leverantörers ansvar, säger Annalea Ilg, it-säkerhetschef på it-serviceföretaget Involta.

Devsecops security engineer

– Applikationer är fortfarande den svagaste länken i kedjan när det gäller att förebygga dataintrång, säger Owanate Bestman, vd för Bestman Solutions, ett Londonbaserat rekryteringsföretag inom it-säkerhet. Devsecops är i dag den metod som anses vara bäst lämpad för att hantera detta och vi ser ett stort behov av sökanden med sådan erfarenhet.

Owanate Bestman menar att it-chefer söker ingenjörer inom applikationssäkerhet som har god kunskap om devops-metodologi, Devops-verktyg och en förmåga (eller erfarenhet av) att arbeta tillsammans med utvecklarteam. De bör också ha god kunskap om riskerna med webapplikationer och självklart grundläggande kvalifikationer inom it-säkerhet.

– Givet hur kravlistan ser ut är det inte förvånande att efterfrågan överträffar utbudet, säger Sushila Nair, chef inom it-säkerhet på NTT data services och styrelseledamot i den lokala avdelningen av branschorganisationen ISACA.

– Devsecops är inte nytt, men det är svårt att hitta ingenjörer inom applikationssäkerhet som kan bli en del av dina Scrum-team. Utmaningen är att hitta medarbetare med den rätta mixen av säkerhetskunskaper och erfarenhet av att utveckla applikationer.

Threat hunter – hotjägare

I takt med att säkerhetsriskerna blir allt mer sofistikerade och komplexa börjar it-säkerhetschefer skapa roller med uppgiften att identifiera och hantera dessa hot.

– Vi behöver folk som agerar som en slags hotansvariga säkerhetsanalytiker, säger Stephenie Southard, it-säkerhetschef vid banken BCU.

– Medarbetare som använder alla de analysverktyg vi har för att identifiera säkerhetshot och som förstår var risker och hot uppstår och kan kommunicera detta tillbaka till rätt personer. De måste kunna titta på en log och se vad som är misstänkt eller onormalt och veta om det är ett falsklarm eller något verkligt. De måste också kunna avgöra om det är en akut risk eller något som är mindre allvarligt.

Också Sushila Nair har med threat hunter som en kommande nyckelroll på sin lista:

– Vi behöver analytiker som kan arbeta praktiskt. Solarwinds och andra avancerade attacker har öppnat ögonen hos många, vi måste jaga efter de här attackerna aktivt. Diskreta men ihärdiga attacker går ofta under radarn – vi måste veta hur vi ska jaga inkräktare på våra nätverk.

Sårbarhetsanalytiker

Stephenie Southard ser också ett behov av människor som kan följa och hantera sårbarheter inom företaget.

– Det handlar om att göra fotarbetet och sätta till de resurser som krävs för att fixa de här sårbarheterna, säger hon.

Rollen identifierade hon i mitten av 2020, när fjärråtkomst från alla möjliga apparater sammanföll med en lång lista av sårbarheter som måste adresseras och ett växande antal it-säkerhetshot. Stephanie Southard erkänner att de flesta säkerhetsteam– hennes eget inkluderat – redan har personal på plats som arbetar med sårbarheter, men att det arbetet ibland kommer för långt ner på prioritetslistan.

I början av 2021 inrättade hon därför en ny position för att säkerställa att hanteringen av sårbarheter får den uppmärksamhet arbetet kräver. Förändringen har gjort att någon nu har både tid och rätt mandat att prioritera frågan, och till och med att arbeta med leverantörer för att avhjälpa problem att möta de krav som företaget ställer.

– Det här säkerställer att sårbarheter prioriteras, och det visar andra – som tillsynsmyndigheter – att vi tar frågorna på allvar, fortsätter Stephanie Southard.

Molnsäkerhetsarkitekt

Enligt it-chefer, rekryterare och konsulter är det här en av de mest eftersökta rollerna just nu.

– Mycket av den här kompetensen motiveras av gällande regelverk. Företag måste kunna dra nytta av molnplattformar samtidigt som man hanterar riskerna med regelefterlevnad, säger Owanate Bestman.

Han menar att de som anställer vill ha människor med erfarenhet av molnplattformar, och helst någon med plattformsspecifik utbildning och certifiering. De söker också personal med god kunskap om säkerhetsprotokoll.

– Det handlar om att ha kapaciteten att utveckla säkerhetsplaner för molnarkitektur, och om att veta vilka verktyg som behövs för att säkra det som sker i molnet, säger Sushila Nair. De som är ledande i de här positionerna kan utvärdera verktyg både utifrån deras ekonomiska och säkerhetsmässiga effekter.

Det är inte så lite begärt, men Owanate Bestman menar att antalet säkerhetsarkitekter med molnerfarenhet växer, och att allt fler av dem ser till att bli certifierade inom molnarkitektur för att höja sitt värde på marknaden.

Incidenthanterare

Under 2020 så inrättade Stephanie Southard en tjänst som incident response manager på sin avdelning. Hon menar att it-säkerhetsavdelningar, hennes egen inkluderad, behöver minst en person som är ansvarig för att följa hur man bäst hanterar en stor bredd av olika incidenter, och som är redo att rycka ut om något händer.

Hennes nytillsatta incidenthanterare har 17 års erfarenhet av liknande arbete, något som var viktigt för Stephanie Southard.

– Vi ville ha någon som har praktisk erfarenhet av olika incidenter, säger hon.

Positionen skapades för att it-säkerhetsavdelningen så snabbt som möjligt ska kunna svara på och koordinera alla de händelser och uppgifter som kan bli aktuella.

– Det här ger oss en samlande punkt för att bedöma skador, få rätt människor att arbeta tillsammans och för att reda ut vad det är som egentligen har hänt, förklarar Stephanie Southard. Den som har den här positionen måste veta hur man hanterar en rad olika incidenter, allt från telefonsystem som går ner till läckor där känslig personinformation riskerar att spridas.

CISO – it-säkerhetschef

Rollen som it-säkerhetschef – CISO – är inte ny, men den är heller inte universellt spridd.

IDG:s rapport 2020 Security Priorities visar att 42 procent av små- och medelstora företag varken har en CISO, CSO eller annan chef på hög nivå med motsvarande ansvar – jämfört med 80 procent av de större företagen. Och även bland de största saknas ibland ansvar för cybersäkerhet på högsta chefsnivå. En studie från säkerhetsleverantören Bitglass visar till exempel att 38 procent av företagen på 2019-års Fortune 500 inte hade någon CISO, och att bara 16 procent av dem hade en annan toppchef med motsvarande ansvarsområde.

Det här är ett misstag enligt experterna vi har talat med.

– Även om företaget i sig bryr sig om säkerhetsfrågor så är rollen som CISO kritisk för att sätta tonen och för att de här frågorna ska hanteras på ledningsnivå, säger Stephanie Southard. Utan en sådan position kommer organisationen inte att få ett tillräckligt djup i sina försvarsstrategier.

En it-säkerhetschef har möjlighet att arbeta med ledningen på en strategisk nivå och har därmed större möjligheter att faktiskt definiera och implementera ett säkerhetsarbete som är i linje med risknivån. Tack vare sin ledningsposition har den också större möjligheter att få andra att följa gällande it-säkerhetspolicy.

– Att inte ha en CISO i din organisation, eller ens någon som innehar positionen på deltid, sänder helt enkelt fel signaler, säger Stephanie Southard.