Cybersikkerhed i kommunerne

Sådan kan medarbejdernes cyberkompetencer styrkes

Ny analyse viser behovet og potentialet for at udvikle administrative medarbejderes kompetencer på informations- og cybersikkerhedsområdet.

Af Bettine Romme Andersen 07/05/2024
Fremfærd

De administrative medarbejdere i kommunerne er et stort aktiv i forhold til at løfte den væsentlige opgave med informations- og cybersikkerhed i Danmark.

Området er kommet i stigende fokus grundet et øget trusselsniveau og ny lovgivning fra EU med NIS2-direktivet.

Kommunerne har en afgørende rolle i at sikre dansk infrastruktur mod cyberangreb, og den administrative medarbejdergruppe er en del af løsningen.

Men hvad kan medarbejdergruppen i dag? Og hvor skal der sættes ind med kompetenceudvikling for at få det fulde udbytte af medarbejdernes potentiale?

Det kommer en ny analyse, som også indeholder konkrete redskaber, fra Fremfærd Borger med en række svar på.

Hent analysen

Kortlægning af kompetencer

Analysen bygger på en gennemgang af eksisterende viden på området, 9 ekspert-interview og to workshops med tilhørende kommunale sparringsgrupper med bred repræsentation af ledere og administrative medarbejdere.

På baggrund af den viden har projektet udviklet et kompetencehjul, som peger på de kompetencer, som skal være til stede for at sikre en god informations- og cybersikkerhed i kommunerne.

- Det er ikke én person, som skal kunne alt det, men det er kompetencer, man skal have tilstede, og som skal dækkes, siger Mie Lindgren, sikkerhedskonsulent i Implement og medforfatter af analysen.

Hun peger på, at kompetencehjulet kan være et godt redskab i kommunerne til at starte samtalen om, hvorvidt man har de nødvendige kompetencer tilstede og på den måde kortlægge behovet for kompetenceudvikling.

LÆS også: Cybertruslen: Kommuner giver input til kompetencebehov

Medarbejderprofiler

Et andet vigtigt redskab er beskrivelsen af tre kompetenceprofiler, som kommunerne kan bruge til at løfte informations- og cybersikkerheden.

  • Den almene administrative medarbejder, som ikke nødvendigvis har et specielt ansvar på området.

- Vi har den her profil med, fordi det er vigtigt, at de almene medarbejdere også bliver løftet i deres kompetencer inden for informations- og cybersikkerhed, hvilket gør, at de to øvrige profiler, som er mere specialiserede, kan løfte sig endnu mere, siger Mie Lindgren.

  • Den administrative medarbejder, som har specifikke organisatoriske opgaver inden for informations- og cybersikkerhed.

- Profilen vil tit sidde decentralt placeret og have nogle ekstra opgaver, der handler om informations- og cybersikkerhed. Det kan være på en skole eller et socialt tilbud. Og det, der kendetegner denne profil, er, at de ofte er autodidakte og har lært sig selv, hvordan de skal arbejde med det, fortæller medforfatter af analysen Mette Dreisler Dirac, sikkerhedskonsulent og partner i Implement.

  • Den tredje profil er den administrative medarbejder med specifikke tekniske opgaver inden for informations- og cybersikkerhed.

- Medarbejderen vil tit sidde tæt på eller i it-afdelingen, siger Mette Dreisler Dirac.

Læringsbehov for hver profil

Analysen peger også på, hvor de enkelte profiler har et læringsbehov - altså et potentiale for at rykke sig.

- De kommunale sparringsgrupper fortæller, at der er et forskelligartet behov for kompetenceudvikling, alt efter hvilken profil det drejer sig om. Men alle skal rykke sig, siger Mette Dreisler Dirac.

Analysen beskriver det som en "læringsrejse" fra, at den administrative medarbejderne "ikke kender til" opgaven/konceptet, til at medarbejderne "kan anvende" det i sin hverdag.

- Det er profil 2 og 3, der særligt vil have opgaver med informations- og cybersikkerhed som en del af deres kerneopgave, og derfor skal de i højere grad rykke sig over i det felt, der hedder "kan anvende", siger Mie Lindgren.

Uddrag af læringsrejse fra profil 2.

Anbefalinger til kompetenceudviklingstilbud

Den sidste del af analysen peger på, hvordan kompetenceudviklingstilbud kan bygges op på baggrund af den viden, som er kommet frem i projektet.

Her foreslås tre trin af kompetenceudvikling, som matcher de tre profiler.

  • Trin 1 handler om basal sikkerhed, der løfter alle lidt mere.
     
  • Trin 2 har fokus på at klæde profil 2 lidt mere på i forhold til at få fælles sprog om informations- og cybersikkerhed og mere formaliserede strukturer og processer.
     
  • Trin 3 er målrettet de lidt mere tekniske administrative medarbejder, som skal kunne indgå i en teknisk dialog med it-leverandører eller it-afdelinger.

Materialet skal ud at leve

Analysen indgår i et videre arbejde med at styrke medarbejdernes kompetenceudvikling inden for informations- og cybersikkerhed i et nyt projekt, som KL og HK Kommunal har aftalt i de nyligt overståede overenskomstforhandlinger.

Materialet kan også anvendes bredt i øvrigt på uddannelsesinstitutioner og efteruddannelsesudbydere, som kan bruge det som afsæt for deres kursustilbud.

- Opgaverne med informations- og cybersikkerhed kommer kun til at stige, og der står de administrative medarbejdere klar med deres faglighed til at specialisere sig og løfte den vigtige samfundsvigtige opgave, siger Lisbeth Barkholt Hansen, fagkonsulent og projektleder fra HK Kommunal.

Analysens redskaber er meget anvendelige og giver et godt afsæt for udvikling af kompetencetilbud. Samtidig kan det med fordel tages i brug i kommunerne, lyder det fra KL.

- Materialet har en karakter, der gør, at kommuner kan bruge det i dialogen om deres sikkerhedsarbejde og se muligheder i forhold til at sætte ind med kompetenceudvikling, siger Marianne Just Mortensen, chefkonsulent i KL og projektleder.

Hent analysen
Analyse peger på behovet for kompetenceudvikling

Analysen hedder "Medarbejderkompetencer på området for informations- og cybersikkerhed" og er udarbejdet i et samarbejde mellem Fremfærd Borger og konsulenthuset Implement.

Den peger på, hvilke områder inden for informations- og cybersikkerhed der er særligt relevant at styrke kompetenceudviklingen indenfor, så den matcher målgruppens nuværende kompetenceniveau og understøtter fremadrettede behov.

Derudover kommer analysen med anbefalinger og redskaber til, hvordan et attraktivt kompetenceudviklingstilbud kan sammensættes.

Fakta om EU's NIS2-direktiv

NIS2 står for Netværk- og Informationssikkerhedsdirektivet.

Direktivet træder i kraft i oktober 2024.

Det er på 244 sider og indeholder krav og retningslinjer om informations- og cybersikkerhed, som organisationer, virksomheder og myndigheder i EU skal overholde.

Baggrunden for direktivet er at styrke EU's digitale robusthed og cyberforsvar af samfundskritiske sektorer.

Hvad er et cyberangreb?

Cyberangreb er forsøg på at stjæle, ødelægge eller afpresse data og oplysninger ud af en virksomhed eller offentlig myndighed med sårbare computersystemer. Angrebene vil ofte være motiveret af økonomisk vinding eller politisk overbevisning. Phishing og malware kan være eksempler på cyberangreb.