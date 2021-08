Wendy Nather har arbetat som ciso, it-säkerhetschef, inom många sektorer. I dag har hon en friare roll som rådgivare i it-säkerhetsfrågor både externt och internt till både medarbetare och it-säkerhetschefer. Och hon tillhör inte dem som tycker att kompetensbristen inom it-säkerhet är det stora problemet utan snarare att rekryteringen är för snäv.

– Det största misstaget som många gör är att de försöker rekrytera personer som är exakt som dem själva eller exakt som den person som hade jobbet innan.

Hon pekar på att många gör felslutet att de redan lagt in så mycket i den förra personen på posten att de måste hitta någon som har samma kompetens redan från början.

– Tänk större. Hur kan man hitta någon som ytterligare adderar till det man redan uppnått? Försök att kasta nätet så brett som möjligt i stället för att använda en harpun.

Läst historia och språk

Själv har Wendy Nather också en inte helt vanlig bakgrund. På universitetet läste hon historia och språk. Och att leta efter personer med olika typer av bakgrund – inte bara teknisk – är en nyckel för att lyckas anser hon.

Som exempel nämner hon den assistent hon fick när hon arbetade på en schweizisk bank i London.

– Hon var så smart och jag behövde inte någon assistent så jag gjorde henne till chef i vårt team för åtkomstkontroll.

I dag har hennes tidigare assistent blivit regional it-säkerhetschef på en stor global bank.

– Dit har hon tagit sig själv – det behövdes bara en puff.

Det gäller att leta kompetens på de ställen som är mest underskattade – som i kollektivtrafiken.

– Om du pratar med personen bredvid dig på bussen så har nästan alla ett perspektiv på it-säkerhet. De flesta är smarta och intuitiva. Du vet inte vem som sitter bredvid dig – det kan vara rätt person.

Teknik är till för alla

Wendy Nather trycker på att eftersom teknik faktiskt är till för alla så måste man ha det perspektivet även när man bygger upp säkerheten. Den gäller ju även dem utan teknisk bakgrund – i alla åldrar och med alla bakgrunder. Och även om det kan behövas programmeringskunskaper för vissa säkerhetsjobb så gäller det inte alla.

– Ska man analysera illasinnad kod så krävs stort fokus, logiskt tänkande och viss erfarenhet av programmering. Men om du ska få ut kunskap så behövs personer som kan förklara på ett bra och enkelt sätt. Administratörer inom säkerhet behöver kunna leda projekt och personal, säger hon.

– Just det som många kallar för mjuka egenskaper är de som är de viktigaste. Att kommunicera, arbeta i team, vara kvicktänkt och ha empati.

Den tekniska utvecklingen går snabbt – och det gör i sin tur att it-säkerheten inte heller står still. Och då kan man inte heller fokusera på gamla kunskaper. Det man gjorde för några år sedan är inte så relevant i stället handlar det om att snabbt lära sig nytt och följa med.

Tänker man så innebär det också att den som kommer in ny rätt snart är på samma ställe som de som jobbat där längre – de lär sig nytt tillsammans.

– Vi lär oss ständigt i säkerhetsbranschen men det glömmer man lätt bort – vi behöver hela tiden lära oss lika mycket som en nyrekryterad. Även jag och mina kolleger som varit med länge försöker lära oss så fort som möjligt.

Sök inte en rockstjärna

Hur man utformar annonser är också viktigt för att hitta rätt. Wendy Nather varnar för att använda superlativer – som att man söker en ”rockstjärna” eller en ”expert”. Det som händer då är att bra kandidater inte söker för att de inte ser sig på det viset.

– Jag skulle själv inte kalla mig expert, säger hon.

– I stället kan man tala om hur de kan bidra för att skapa nya lösningar på problem, hur hela deras erfarenhet – inte bara inom säkerhet – kan komma till nytta och uppmuntra dem att ta med hela sig själva till jobbet.

Att få de som rekryterar att försöka se kompetens på ett nytt sätt är en sak – men är det inte också svårt att få personer utanför tekniksfären att tänka sig att arbeta med it-säkerhet?

– Jo, det kan det vara. En del är blyga och nervösa. Men det finns mentorer och kurser där de kan få hjälp av expertis. Det gäller att få dem att förstå att säkerhet är relevant för dem redan och att de har en bra erfarenhet.

Måste demokratiseras

Inte minst handlar det om att få med personer med bakgrund inom andra områden konstaterar Wendy Nather. Har man arbetat i vården så har man bättre förståelse för säkerhetsfrågorna där och har man arbetat inom juridik har man den kunskapen.

– Vi återupprepar hela tiden samma misstag – först såg vi säkerhetshål i webbapplikationer. Sedan dök de upp i annan mjukvara, sedan i mobilapplikationerna och nu i internet of things. Och det beror inte på att vi inte lärt oss utan om att det kommer in nya personer som inte lärt sig läxan. Därför måste it-säkerheten demokratiseras och så många som möjligt komma in i fältet, säger hon.

Läs också: Kan konsultseniorer vara lösningen på it-kompetensbristen?