Interview med Mille Østerlund 

Interview med Mille Østerlund

Mille Østerlund er formand for Dansk IT’s udvalg for digitale kompetencer. 
I forbindelse med udviklingen af master i it’s nye specialisering i informationssikkerhed har hun deltaget som sparringspartner/repræsentant for erhvervslivet.

Dansk IT’s udvalg for digitale kompetencer har fokus på digitale kompetencer, og herunder hvad man skal kunne i et digitalt samfund som borger og medarbejder. I udvalget er et af fokusområderne efteruddannelse.

Hvorfor er det vigtigt med master i it’s nye specialisering i informationssikkerhed?

”Med den øgede digitalisering, og herunder den voksende kompleksitet i digitale systemer og produkter, er det vigtigere end nogensinde før, at medarbejdere og organisationer, både offentligt og privat, har styr på deres informationssikkerhed. For at få styr på sikkerheden, er det nødvendigt at tilegne sig en grundig og bred viden inden for feltet, og derfor er det vigtigt med et tiltag som den nye specialisering i informationssikkerhed, som master i it udbyder her fra 2021.”

Hvem er specialiseringen i informationssikkerhed relevant for?

”Jeg tænker, at specialiseringen taler til alle, der arbejder med informationssikkerhed. Men måske i særlig høj grad til de personer, der arbejder med den internationale ISO 27001-standard, som alle statslige myndigheder i Danmark arbejder efter, men som også en del kommuner og virksomheder arbejder ud fra i dag. Specialiseringen på master i it vil være en god måde at få det helhedsblik på informationssikkerhedsområdet, som arbejdet med ISO-standarden kræver.

Det er i øvrigt vigtigt for mig at understrege, at det ikke længere kun er de tekniske specialister, der skal have viden om cyber- og informationssikkerhed i dag, men i ligeså høj grad alle os andre. Arbejder du eksempelvis med HR, jura eller markedsføring, er dit arbejde højst sandsynligt understøttet af digitale systemer og services. Det betyder, at du også har brug for at vide noget om sikkerhed. Det gør fagpakkerne på den nye specialisering relevante for en bred gruppe af mennesker.”

På specialiseringen i informationssikkerhed udbydes fire fagpakker. Vil du knytte et par ord til hver af dem?

”Ja, det vil jeg gerne. Kigger man først på fagpakken Ledelse af virksomhedsarkitektur, så handler det om at forstå sammenhængen mellem forretning og arkitektur. For at kunne designe en fornuftig sikkerhedsarkitektur er man nødt til at kende sin virksomhed, sine værdier og aktiver. Man skal med andre ord vide, hvad det er, man gerne vil passe på. Man skal vide, hvor det gør mest ondt, hvis det går galt, og så skal man designe sin sikkerhed omkring det. Det kræver, at man har en forståelse for trusler og risici i det digitale og for sammenhængen mellem risici og valg af tiltag – arkitektur. Dén viden er der mange, der ikke har endnu, men det er det, man gerne skal opnå med denne specialisering og konkret bl.a. ved hjælp af denne fagpakke.  

Vender vi blikket mod fagpakken Teknisk it-sikkerhed for generalister, så adresserer den bl.a. spørgsmålene: Hvordan er et netværk bygget op? Hvad er teknisk sårbarhed? Hvad er det for nogle ting, man skal være opmærksom på? I al den awareness og oplysningsvirksomhed, der foregår fra eksempelvis myndighedernes side, dér er man sjældent nede og forklare teknikken bag, altså hvad er det fx der faktisk sker, når vi kommer til at trykke på en phishing mail. For at få et helhedsblik på informationssikkerhed og kunne stille de rigtige sikkerhedsmæssige spørgsmål – og forstå de svar man får – er det vigtigt at have et sprog til det. Et teknisk sprog.

Med hensyn til fagpakken Adfærd og awareness, så er den også en vigtig brik i at opnå en helhedsforståelse for informationssikkerhed. Vores adfærd har enormt meget at sige, fordi vi tror, vi handler rationelt, men det gør vi ikke nødvendigvis, og det er godt at blive mindet om. Særligt når vi arbejder med sikkerhed. Nogle gange skal man skynde sig langsomt, når man har med sikkerhedsspørgsmål at gøre! Jeg mener, at man skal huske at tage sig den tid, det tager at finde ud af, hvad er det for en adfærd, der er rigtig i virksomheden, og hvad er det for en praksis, man gerne vil have hos medarbejderne. Derefter skal man arbejde med, hvad er det for konkrete tiltag og strategier, der skal til for, at vi kan nå derhen.

Og endelig, risikoanalyse, risikovurdering og styring af risici, den disciplin er jo al tings moder, plejer jeg at sige. Det er det, fagpakken Risikoanalyse, styring og privacy behandler. Du skal have styr på dine risici, så enkelt er det, og for at få styr på dine risici, skal du kende de trusler, der er imod din virksomhed eller organisation. Du skal vide, hvilke risici forskellige trusler kan udgøre for dig, hvis du ikke gør noget ved dem, og så skal du handle på de trusler, der kan være farlige for dig. Man kan lave nok så meget awareness, men man er nødt til at vide, hvad afsættet er, og det er den gode risikoanalyse.

Summa summarum, så giver sammensætningen af fagpakker på den nye specialisering rigtig god mening, fordi man vil opnå en forståelse af sammenhængen mellem teknik, design og ledelse af arkitektur. Og man vil lære at afveje, hvad kan man styre rent teknisk, og hvad kan man styre via adfærd. Jeg synes selvfølgelig, man skal tage alle fire fagpakker, hvis man har tid og kræfter til det.” 

Interviewet er lavet af Lene Bæk Jørgensen ved It-vest, februar 2021.