Hvad laver en informationssikkerhedskonsulent?
Eller skal vi sige IT-sikkerhedskonsulent? Informationssikkerhedskoordinator? Nogle kalder det også "den, der altid siger nej til sjove apps." Kært barn har mange navne – men én ting er sikkert: Rollen strækker sig ind i næsten alle hjørner af virksomheden.
.webp)
Gry Josefine Løvgren er content specialist hos Wired Relations, hvor hun formidler viden om GRC, databeskyttelse og cybersikkerhed på vores blog og sociale medier. Med en journalistuddannelse fra Roskilde Universitet og solid erfaring gør hun komplekse emner både engagerende og letforståelige.
Læs mere fra forfatterenEn bred rolle – med mere menneske end maskine
Mange forestiller sig, at jobbet primært handler om teknologi, firewalls og serverrum med lav belysning. Men faktisk handler det mindst lige så meget om mennesker, processer og god kommunikation. En informationssikkerhedskonsulent er en slags projektleder med cybersikkerhed som omdrejningspunkt – en person, der faciliterer projekter og processer på tværs af faggrupper for at sikre, at organisationens data og systemer er beskyttet hele vejen rundt.
Et job med standarder (bogstaveligt talt)
En væsentlig del af arbejdet tager udgangspunkt i anerkendte standarder – som fx ISO 27001 – og implementeres typisk via et ISMS (Information Security Management System). Her handler det om at strukturere og dokumentere arbejdet med sikkerhed på en måde, der både er effektiv og reviderbar.
Risikostyring og dialog med ledelsen
Risikostyring er en helt central opgave. Informationssikkerhedskonsulenten vurderer potentielle trusler og hjælper organisationen med at prioritere sine ressourcer og mitigere riscici. Her er det vigtigt at være i tæt dialog med ledelsen om trusselsbilledet og nødvendige tiltag – særligt i organisationer, der er omfattet af NIS2.
Kommunikation er nøglen
Når teknisk kompleksitet skal formidles til kollegaer uden for IT-afdelingen, eller når man ønsker at uddelegere nogle opgaver til kollegaer fra andre afdelinger, kræver det en særlig evne til at gøre det forståeligt. Informationssikkerhed handler nemlig ikke kun om systemer, men også om mennesker og adfærd. Derfor er god kommunikation og formidling afgørende. Særligt fordi det også er konsulentens rolle at skabe bevidsthed om informationssikkerhed i organisationen gennem awareness.
Politik, procedurer og ISMS-systemet
En stor del af arbejdet går med at udarbejde og vedligeholde politikker, retningslinjer og risikovurderinger. Alt skal være opdateret og forankret i ISMS-systemet. Det er også informationssikkerhedskonsulentens opgave at indkalde til møder og facilitere det centrale sikkerhedsudvalg.
Fokus på forsyningskæden og samarbejde
I en verden med øget afhængighed af leverandører og digitale tjenester, er det også informationssikkerhedskonsulentens ansvar at holde øje med forsyningskæden. Hvem har adgang til hvad? Og hvordan sikrer vi, at de også lever op til vores sikkerhedskrav?
Governance, risk og compliance i praksis
Endelig arbejder informationssikkerhedskonsulenten tæt sammen med andre teams – for eksempel juridiske, IT og HR – for at sikre overholdelse af lovgivning, standarder og interne krav. Det hele med ét formål: At minimere sikkerhedsrisici og gøre organisationen mere robust.
Kort sagt: En informationssikkerhedskonsulent er ikke (kun) en IT-nørd med et password på 24 tegn. Det er en organisatorisk blæksprutte, der arbejder med både strategi, struktur og mennesker – og som får informationssikkerhed til at hænge sammen i praksis.
Læs også: Sådan skaber du en kultur, der hjælper informationssikkerheden og databeskyttelsen
💥 Træt af at kæmpe alene med sikkerheden?
Du behøver ikke løfte informationssikkerheden alene. Læs hvordan andre har brudt siloerne og skabt en kultur, hvor hele organisationen tager ansvar – og hvor GRC understøtter forretningen.
