Kvalitetsmagasinet har tidigare rapporterat om att allt fler organisationer vill certifiera sig mot Iso 27001, ledningssystemstandarden för informationssäkerhet. Men samtidigt som intresset ökar aktualiseras en utmaning: bristen på Iso 27001-revisorer. I dagsläget är behöriga revisorer få och dyra, berättar flera certifieringsorgan.
Sällsynta Iso 27001-revisorn: ”Få vill jobba med det här”
System
Bristen på Iso 27001-revisorer är nog inte en kompetensfråga. Snarare beror det på att få vill bli revisorer, tror revisionsledaren Carolin Hellestam.
– Senast igår försökte jag övertala en person, säger hon.
Någonting är fel
Läs vidare – starta din prenumeration
Carolin Hellestam är en av dessa få behöriga revisorer. Hon kan bara tala för sig själv, men upplever inte att hon är mycket dyrare än många andra revisorer.
– Jag kan tänka mig att det finns andra konsulter, till exempel inom kvalitet, som tar mer än jag. Jag har inte heller ett förhandlingsläge med de certifieringsorgan jag är revisor åt. Det är snarare branschen som avgör pris.
I dagsläget bedriver hon två konsultbolag och är även revisor till två certifieringsorgan i Sverige. Två till fem dagar i månaden reviderar hon bolag mot Iso 27001. Resten av tiden konsulterar hon bolag som vill införa eller utveckla ledningssystem för informationssäkerhet. Vissa månader är mer hektiska än andra – i mars är det oftast mer att göra än till exempel i december. Men till skillnad från certifieringsorganen känner Hellestam än så länge inte av ett ökat intresse för informationssäkerhet.
– Inte än. I så fall är det här lugnet före stormen.
Tycker att Swedacs krav är rimliga
Ändå berättar hon att hon har förberett sig för en eventuell explosion.
– NIS2-direktivet implementeras som lag i Sverige under nästa år, troligen efter sommaren, och då kommer flera bolag som aldrig tidigare har jobbat med informationssäkerhet märka att de bryter mot lagen. Därför startade jag ett bolag som försöker paketera ett införandeprojekt av ett ledningssystem för informationssäkerhet, så att kunden kan få ett fast pris.
Tidigare har Hellestam varit teknisk projektledare, IT-chef med ansvar för driften av 8 000 servrar och suttit i en ledningsgrupp i ett globalt bolag – för att nämna några exempel ur en lång meritlista. Tack vare sina erfarenheter uppfyller hon Swedacs krav för att kunna revidera mot Iso 27001. Och så tänker hon att det måste vara.
– Man vill ju inte revideras av en inkompetent revisor! Det händer tyvärr, mycket mer på kontinenten. Jag har till exempel varit med om att ett bolag fick en avvikelse för att ett dokument saknade en fysisk signatur, trots att det inte finns ett sådant standardkrav, säger Carolin Hellestam.
Den bästa sortens revisor är den som också själv jobbar med informationssäkerhet, tycker hon.
– Revisorer som själv aldrig har varit med om att hantera standardens 90-tal säkerhetsåtgärder, har svårare för att förstå verksamheterna de reviderar.
”Jobbet upplevs som monotont”
Så i korta drag tycker Carolin Hellstam inte att det ställs för höga krav på revisorer vad gäller Iso 27001. Bristen beror på något helt annat.
– Kompetensen finns. Det är väl snarare så att få vill bli revisorer.
Varför, tror du?
– Jag kan tänka mig att jobbet upplevs som monotont. Man reser också mycket. Jag åker ju dit där verksamheterna är – jag var nyligen i Rotterdam till exempel. Min man får ta mycket ansvar för barnen, hemmet och hunden när jag åker i väg, säger Carolin Hellestam.
Så hur komma till bukt med revisionsbristen? Enligt Hellestam är det upp till certifieringsorganen att lösa det begynnande problemet.
– De behöver flagga för att de behöver hjälp. De behöver kolla sina nätverk. Informationssäkerhetsrevisorerna i Sverige är kanske färre för att man inte har marknadsfört jobbet.
Själv gör Carolin Hellestam en rad saker för att väcka intresset för informationssäkerhet. Idag pratar hon med en yrkeshögskola om hur de kan informera om vad Iso, cybersäkerhet och informationssäkerhet är.
– Och senast igår försökte jag övertala en person att bli revisor. Men det är svårt. Informationssäkerhetsmänniskor har bra betalt, och dessutom har de tillräckligt att göra.