Navn: Hans Lie
Tittel: Seniorrådgiver informasjonssikkerhet
Hans Lie kom til Netsecurity i mai 2021, fra en rolle som IT-rådgiver på Universitetet i Stavanger.
Hans har blant annet 12 år i Hewlett-Packard bak seg, og det var der, gjennom å jobbe med virksomhetskritiske systemer for store kunder innen helse, olje og gass, at han peilet seg inn på informasjonssikkerhet. I 2015 gikk Hans over til Xait, hvor han ble driftssjef for en skytjeneste med dokumentsamhandling for globale kunder. Etter hvert inntok han rollen som CISO, og jobbet mye med å få på plass et ledelsessystem for informasjonssikkerhet basert på ISO 27001-standarden.
Hans er ingeniørutdannet, og har også jobbet med ITIL asset management (Information Technology Infrastructure Library).
– Et viktig aspekt ved informasjonssikkerhet er å få oversikt over hvilke maskiner du har på nettverket og sammenhengen mellom dem. Alt begynner med å ha kontroll på sitt eget, presiserer han.
I rollen som IT-rådgiver på UiS jobbet Hans blant annet med policy og reglement for informasjonssikkerhet og personvern. Gjennom å jobbe på et universitet, der det er stor spredning i de ansattes kompetanse og bakgrunn, fikk Hans mye erfaring med å tilrettelegge opplæring.
– Det ble tydelig hvor viktig det er å kartlegge målgruppa grundig før man går i gang. I en gjeng hvor kunnskapsnivået varierer fra at man hører bokstavene GDPR for første gang, til folk som er svært teknisk kompetente, gjelder det å komme godt forberedt for å kunne gjøre det interessant for alle.
Dette tar Hans med seg inn i rollen som rådgiver i Netsecurity.
– Sentralt i god informasjonssikkerhet står brukeropplæring. Man skal ikke kimse av hvor viktig det er å få alle med på laget. Hverdagen bringer stadig nye trusler og tekniske krav, noe som kan være krevende når vi alle egentlig bare vil gjøre jobben vår. Nye hindringer som legges i veien for det, kan oppleves som frustrerende i en travel hverdag.
På spørsmål om hva som motiverer Hans i jobben, trekker han blant annet frem utfordringen med å nå frem og bidra til forståelse og endring:
– Jeg er fascinert av mennesket, og hvordan vi kan jobbe for å tilpasse budskapet til den enkelte mottaker. Hvor er folk, hvordan kan vi utforme et budskap som treffer? Sammensetningen av folk er spennende, og det er utrolig moro når vi merker at mottakerne har forstått det vi formidler.
– Det er viktig å ha vært på gulvet en tur selv. Kompetansen som kommer med å vite hvordan en organisasjon fungerer fra bunnen og opp, er verdifull. Da er det lettere å tilpasse språket til den du snakker med. IT er et komplekst felt, og som IT-nerd kan det være utfordrende å unngå å havne langt ned i teknologien når man skal forklare noe.
Hans forteller at en utfordring han ser ofte i dag er at ledelsen gjerne stoler på at IT håndterer alle slags trusler.
– Ransomware har fått spesielt mye oppmerksomhet i det siste, og blir ekstra synlig fordi mediene skriver om det. Det positive er at problemstillinger rundt ransomware skaper en arena hvor ledelse og IT møtes. Gjennom å jobbe tettere sammen kan man bli bedre kjent, få større forståelse for hverandres fagfelt, og ideelt sett oppdage at man faktisk jobber mot det samme målet.
– Jeg har sett en urovekkende mangel på risikoerkjennelse på ledelsesnivå. Et viktig spørsmål jeg stiller kundene våre er derfor om de har full oversikt over hvilken informasjonsverdi de sitter på. For en ledelse uten koblingen mellom IT og målsoppnåelse er informasjonssikkerhet bare en av mange utgiftsposter de må forholde seg til. Ved å hjelpe ledelsen med å se sammenhengene, blir de straks mer interesserte. Jeg pleier å si at den som synes beredskap er kostbart, burde forsøke en krise.
Et annet spørsmål er rett og slett “hvor enkelt kan du gjøre det?” Hans mener det er viktig at man ikke gjør sikkerhetsarbeidet mer komplisert enn nødvendig.
– I sikkerhetsarbeidet er mange opptatt av å tilfredsstille revisor, å ha alt på det rene til noen skal se oss i kortene. Dette kompliserer ofte arbeidet, fordi en del fagfolk blir mest opptatt av å dekke sin egen rygg. Vi vil at folk skal få sikkerhetstankegangen og -arbeidet inn som en del av hverdagen sin. Da blir det ikke så mye jobb.