Kompetansebeskrivelser for roller innen styring og kontroll av informasjonssikkerhet
Mange virksomheter får ikke møtt sitt kompetansebehov innenfor informasjonssikkerhet. Vi beskriver her hvilken kompetanse som vi anser som relevant for de ulike rollene i arbeidet med styring og kontroll av informasjonssikkerhet.
Oppgavene i informasjonssikkerhetsarbeidet krever ulik fagkompetanse, og spisskompetanse kan ofte være nødvendig.
I Difis kartlegging av arbeidet med informasjonssikkerhet i statsforvaltningen fra 2018 sa 27 % av respondentene at de ikke klarte å dekke opp sitt behov for fagkompetanse på informasjonssikkerhetsområdet.
Behovet for fagkompetanse kan dekkes ved rekrutteringer, etterutdanning og intern opplæring av medarbeidere, ved innleie av konsulenter eller ved tjenesteutsetting av oppgaver.
Ansvar, arbeidsoppgaver og behov for kompetanse for relevante roller
Vi beskriver hvilket ansvar, arbeidsoppgaver og kompetansebehov som kan inngå i ulike roller innen styring og kontroll av informasjonssikkerhet.
Ansvaret som er lagt til de ulike rollene tar utgangspunkt i beskrivelsen av rollene i eksempelet på en retningslinje for roller og ansvar i internkontroll- og sikkerhetsarbeidet fra Digitaliseringsdirektoratets veileder Internkontroll i praksis – informasjonssikkerhet som beskriver hvordan virksomheter kan etablere og vedlikeholde systematisk internkontroll på informasjonssikkerhetsområdet. Eksempelet på Retningslinje: Roller og ansvar kan lastes ned fra siden med maler og eksempler.
Med unntak av beskrivelsen for rollen som toppleder, er kompetansebeskrivelsene strukturert på følgende måte:
- Ansvar og oppgaver: Hvilket ansvar og hvilke arbeidsoppgaver som kan ligge til rollen.
- Ønsket kompetanse: Hvilken kompetanse vedkommende bør ha for å utføre disse oppgavene.
- Tema til intervju/medarbeidersamtale: Aspekter man kan ha fokus på når man intervjuer nye kandidater, eller vurderer kompetansen til ansatte i virksomheten.
Vær oppmerksom på at det er den enkelte virksomhet som avgjør hvilke oppgaver som er knyttet til de forskjellige rollene, og dette vil medføre at kompetansebehovet til den enkelte rollen vil kunne variere fra virksomhet til virksomhet.
Ulike virksomheter kan også ha ulike navn på rollene. Fagansvarlig informasjonssikkerhet tilsvarer for eksempel ofte informasjonssikkerhetsansvarlig, informasjonssikkerhetsleder eller Chief information security officer (CISO). Risikoeier kan være prosesseiere, i tillegg til linjeledere og andre med ansvar for mål og resultater. En stilling kan inneholde mer enn én rolle – CISO vil for eksempel ofte være både fagansvarlig informasjonssikkerhet og en del av ledergruppen.
Målgruppe
Kompetansebeskrivelsene skal kunne benyttes av ulike ressurser i virksomheten når nye personer skal ansettes, eller man skal kartlegge om man har tilstrekkelig og ønsket kompetanse i virksomheten. Dette kan være virksomhetsledelsen, fagansvarlig informasjonssikkerhet, ledere i ulike posisjoner etc.
Kompetansebeskrivelsene skal kunne inngå i den veiledning og støtte personalavdelingen i offentlige virksomheter gir ledelse og ansettelsesråd i ansettelsesprosesser.
Omfang og avgrensninger
Vi avgrenser denne veiledningen til å gjelde roller knyttet til styring og kontroll (internkontroll) på informasjonssikkerhetsområdet, internt i en virksomhet. Med «virksomheter» menes her statlige og kommunale virksomheter, herunder departementer.
Tekniske (IKT-nære) roller, for eksempel systemforvalter, utvikler, etc., har vi ikke beskrevet her. Det er imidlertid viktig at virksomheten også har et bilde av hvilken sikkerhetskompetanse disse rollene har behov for, og arbeider for å videreutvikle denne kompetansen.
Vi beskriver heller ikke her hvordan en sikkerhetsorganisasjon bør bygges opp og være organisert. Dette kan løses på mange måter, avhengig av virksomhetens egenart, kultur og størrelse.
Merk! Dette er ingen fasit. Hver virksomhet må til enhver tid kartlegge sine egne kompetansebehov når det skal ansettes nye ressurser, eller når man arbeider med kompetanseutvikling.
Hva er kompetanse
Vi tar utgangspunkt i definisjonen av begrepet kompetanse hentet fra boken Strategisk kompetanseledelse.
Kompetanse er de samlede kunnskaper, ferdigheter, evner og holdninger som gjør det mulig å utføre aktuelle oppgaver i tråd med definerte krav og mål.
Det er den enkelte medarbeider som skal ha en eller flere av de rollene som er beskrevet i Digitaliseringsdirektoratets veileder «Internkontroll i praksis – informasjonssikkerhet» som i hovedsak omtales her. Dette avgrenser også definisjoner, beskrivelser og diskusjoner om begreper knyttet til kompetanse.
Realkompetanse = formell + uformell kompetanse
Når man skal ansette noen er det viktig å vurdere realkompetansen, ikke bare den formelle kompetansen. Det kan ha vel så høy verdi at en person har jobbet aktivt innenfor et fagfelt i mange år, uten den formelle kompetansen i bunn, enn som at en person har formell kompetanse, men ikke har jobbet med faget.
I denne sammenhengen brukes begrepet formell kompetanse om den kompetansen en medarbeider kan dokumentere basert på utdanning, kurs eller systematisk opplæring i regi av godkjente tilbydere, utdanningsinstitusjoner og kursarrangører. Uformell kompetanse er noe en medarbeider har utviklet på annen måte, det vil si gjennom erfaring i arbeidsliv, organisasjonsdeltagelse eller på andre arenaer. Formell kompetanse alene er ikke tilstrekkelig for å utføre mange oppgaver og funksjoner.
Strategisk kompetanseledelse
Vi tar utgangspunkt i definisjonen av begrepet strategisk kompetanseledelse hentet fra boken Strategisk kompetanseledelse.
Strategisk kompetanseledelse innebærer planlegging, gjennomføring og evaluering av tiltak for å sikre at organisasjonen og den enkelte medarbeider har og bruker nødvendig kompetanse for å nå definerte mål.
Virksomheten bør ha en kontinuerlig prosess for å sikre tilstrekkelig kompetanse i virksomheten. For informasjonssikkerhetsområdet er det viktig at fagansvarlig informasjonssikkerhet, og dennes fagmiljø, dersom virksomheten har det, bidrar i dette arbeidet.
Det vil være naturlig at fagansvarlig informasjonssikkerhet bidrar til virksomhetens strategiske kompetanseledelse på to områder. Det ene er å beskrive hva som er en hensiktsmessig grunnkompetanse på området informasjonssikkerhet for samtlige ansatte i virksomheten. Det andre er å beskrive hvilken grunnkompetanse medarbeidere i fagmiljøet for informasjonssikkerhet bør ha, og beskrive kompetansebehovet for alle roller i fagmiljøet.
Dersom en virksomhet ikke har etablert strategisk kompetanseledelse som en egen aktivitet er det fremdeles viktig at fagmiljøet for informasjonssikkerhet følger opp kompetanseutvikling på området som en løpende aktivitet. Det overordnede målet er å bidra til en kontinuerlig forbedring av informasjonssikkerheten.
En kartlegging av eventuelle kompetansegap på området informasjonssikkerhet vil være en vesentlig opplysning i virksomhetens risikovurdering og være et viktig grunnlag i en vurdering om virksomheten har tilstrekkelig kompetanse eller må etablere kompetansetiltak for å redusere risiko.
Formell kompetanse, kurs og sertifiseringer
Vi har i liten grad beskrevet hvilken formell kompetanse de ansatte i de ulike rollene bør ha, da dette kan variere svært mye.
Når man ansetter nye medarbeidere, er det ikke uvanlig å kreve relevant utdanning på bachelor eller masternivå. Det er imidlertid viktig å huske på at lang, relevant erfaring (uformell kompetanse) kan være like mye verdt som formell kompetanse. Det er også viktig å huske på at kompetanse man har oppnådd gjennom et utdanningsløp må vedlikeholdes og oppdateres gjennom praktisk erfaring, kurs eller videreutdanning.
Det finnes en rekke kurs og sertifiseringer man kan ta på informasjonssikkerhetsområdet. Til tross for at slike sertifiseringer ofte er etterspurt, er det varierende i hvor stor grad de kan dokumentere at en person er egnet for en stilling. Å stille krav til sertifiseringer kan i noen tilfeller utelukke aktuelle kandidater.
Det er også viktig at de som ansettes har mulighet til å vedlikeholde sine sertifiseringer – det vil si at de har arbeidsoppgaver som er relevante for sertifiseringen.
I noen virksomheter må man vurdere om medarbeidere har tjenstlig behov for sikkerhetsklarering fordi det for noen oppgaver er en forutsetning at de utføres av sikkerhetsklarert og autorisert person. I en eventuell stillingsutlysning bør det opplyses om sikkerhetsklarering er en forutsetning for å kunne tiltre stillingen, se statens personalhåndbok, kapittel 2.1.2.3.
Kilder til kompetanseheving
Fagansvarlig informasjonssikkerhet og rådgiver informasjonssikkerhet
- Internkontroll i praksis - informasjonssikkerhet
- Veileder i kompetanse- og kulturutvikling innen informasjonssikkerhet
Risikoeier
- Internkontroll i praksis - informasjonssikkerhet: Ha oversikt og prioritere
- Internkontroll i praksis - informasjonssikkerhet: Vurdere status på eget ansvarsområde
Toppleder og øvrig ledergruppe
Alle ansatte