Experis bygger egen avdeling for cybersikkerhet

Markedet for informasjonssikring er i sterk vekst, og tilgangen på sikkerhetseksperter er en utfordring. Nå etablerer Experis Ciber egen avdeling for cybersikkerhet for å bistå små og store norske virksomheter.

– Jeg har over 28 års erfaring fra IT-bransjen, og har jobbet tett sammen med CISO (Chief Information Security Officer) og informasjonssikkerhetsledere i ulike virksomheter. Utviklingen de siste årene har gått i retning av at informasjonssikkerhet er blitt en egen fagdisiplin, med egne avdelinger i større virksomheter, sier Morten Stoa, avdelingsleder for cybersikkerhet i Experis Ciber.

Stoa har tidligere jobbet i Utenriksdepartementet i 17 år, hvor han var leder for IT-drift de siste seks årene. Han har også vært leder i tjenesteavdelingen i Microsoft, hvor han var i åtte år. Før han kom til Experis var han salgsdirektør for de operative informasjonssikkerhetstjenestene i BDO CERT. Fra 1. september 2018 har han jobbet med å bygge opp en egen avdeling for cybersikkerhet i Experis.

Tilbyr bredt spekter av tjenester

Den nye avdelingen samler sikkerhetsekspertise innen fem ulike områder.

– Innen Governance, Risk & Compliance (GRC) bistår vi kunder med å sette opp og revidere styringssystemer for sikkerhet, gjennomføre leverandørrevisjoner og risiko- og verdivurderinger, samt annen rådgivning innen informasjonssikkerhet. Denne type oppdrag passer godt inn i Experis, hvor vi er vant til å jobbe med konsulenter som er spesialister på ulike områder, sier Stoa.

Han forteller at avdelingen også vil bistå operativt med sikkerhetstesting, sikkerhetsovervåkning, og sikkerhetsarkitektur.

– De operative tjenestene leveres gjennom vårt internasjonale og regionale nettverk av partnere. Innen sikkerhetstesting er vi også godt i gang å bygge intern kompetanse. Det femte området vi satser på er opplæring, og vi har egen instruktør på ISO 27001, og ulike (ISC)2-kurs som CISSP og CCSP. I tillegg har vi utarbeidet egne kurs for ledere og introduksjonskurs til området informasjonssikkerhet. Dette er sikkerhetskurs vi nå kan tilby ledere og annet nøkkelpersonell, sier Stoa.

Se kurskatalog og beskrivelser av kursene.

Rekrutterer i et støvsugd marked

Stoa forteller om hard konkurranse om de beste sikkerhetsekspertene.

– Vi har jobbet systematisk og har rekruttert flere gode konsulenter, både senior- og junior-profiler, i et allerede støvsugd marked. Disse er nå ansatt i hard konkurranse med andre store aktører, sier han og tilføyer:

– Jeg tror årsaken til suksessen og at kandidatene velger oss, er at vi gir konsulentene mye større handlingsrom sammenlignet med andre aktører. Hos oss er konsulentene selv med på å utvikle sin egen rolle og forretningen, og de får stor påvirkningskraft på hva, og hvordan, vi skal levere.

Må tilpasse løsningene

Han peker på viktigheten av å ha gode prosesser og rutiner for informasjonssikkerhet, men at disse må tilpasses den enkelte virksomhet.

– Mange tror at man må gjør absolutt alt som står i ISO 27001 for å ha god styring på informasjonssikkerheten. Vi vet det ikke finnes en «one-size-fits-all»-løsning og at mange små- og mellomstore selskaper ikke har kapasitet til å implementere slike strukturer og standarder. Vi ønsker derfor en mer pragmatisk tilnærming og er opptatt av å finne løsninger som leveres godt, og som kunden lykkes med. Da blir det lettere å bygge sikkerhetsløsningene videre. Uansett om du er liten eller stor skal vi kunne levere sikkerhetstjenester tilpasset din virksomhet. Visjonen er informasjonssikkerhet til alle, sier han.

Planlegger flere tjenester

Stoa forteller at store bedrifter ofte har egne sikkerhetsavdelinger som jobber systematisk med informasjonssikkerhet. Nå ønsker Experis å tilby lignende løsninger tilpasset mindre virksomheter.

– Vi vet at underleverandører ofte er en angrepsvektor mot større bedrifter. Vi jobber derfor med sikkerhetspakker tilpasset mindre kunder, ser på ulike verktøy for kartlegging av GDPR, og planlegger workshops hvor vi raskt kan kartlegge kundens informasjonssikkerhet. Vi skal også tilby en plattform for e-læring som gjør at kunder kan holde seg fortløpende oppdatert på sikkerhet. Slike løsninger gjør at vi kan planlegge sikkerhetsarbeidet over tid og være en støttespiller for virksomheter i alle størrelser, sier han.

Må ta trusselen på alvor

Han mener informasjonssikkerhet vil bli mer aktuelt i årene som kommer.

– Det er bare å høre på nyhetene for å forstå hvordan trusselbildet utvikler seg. Det gjelder å ha økt bevissthet, samt systemer og prosesser som både reduserer risiko og forebygger skade når uhellet er ute, sier han.

– Det viktigste er at ledelsen tar sikkerhet på alvor og forstår ansvaret. Sikkerhet må settes på dagsorden i styrerommet hos både små og store bedrifter, avslutter Stoa.

---------------------------------------

Experis Cibers' kurskatalog og beskrivelser av kursene finner du her >>