Vad är en säkerhetskonsult?
"Kärt barn har många namn" har du säkert hört tidigare, men när det gäller Säkerhetskonsulter så har det aldrig varit mer sant än nu.
För ett par år sedan var en säkerhetskonsult oftast en före detta militär eller polis som rekryterats utifrån ett antagande att militären eller polisen var duktiga på säkerhet och de fick då oftast ansvaret för all säkerhet inom ett företag.
I takt med att omvärlden förändrades så förändrades även bilden av en säkerhetskonsult, och om du idag gör en enkel sökning på "Säkerhetskonsult" så kommer de allra flesta resultaten presentera IT-säkerhetskonsulter.
Men, båda bilderna av en säkerhetskonsult är begränsade till följd av en förutfattade mening.
Både Poliser och Militärer har en god grundutbildning som bygger på att följa order och utföra ett uppdrag. Polisens uppdrag är främst att ingripa mot pågående brottslighet, rädda liv och utreda brott, medan Militärens uppgift är att skydda Sverige mot ett väpnat angrepp med tillgång till flera olika vapensystem.
Ingen av dessa kunskaper eller erfarenheter ger ett mervärde om du inte är en brottsutredande myndighet eller en oberoende nation.
IT-Säkerhet är förvisso en del av det grundläggande säkerhetsarbetet i en verksamhet och även om en IT-säkerhetskonsult kan ha breda och generella kunskaper inom säkerhet så är de specialiserade på hårdvara och mjukvara i IT-infrastrukturen och borde därför också benämnas med sin egen specialism, det vill säga IT-Säkerhetskonsult.
“Du vill ju först ha en allmänläkare som bedömer vilken specialist du ska till, men du vill ju inte ha en allmänläkare som utför hjärtoperationen, då vill du ju ha en kardiolog! Lite så ska du tänka när du bygger din säkerhetsorganisation”
Vad är då en Säkerhetskonsult?
Först och främst så definieras en konsult som en extern person som under en tidsbegränsad period arbetar inom ett avgränsat område för att utföra ett särskilt uppdrag.
En säkerhetskonsult skulle då kunna ses som någon som har en generell och/eller övergripande kunskap inom flera ämnesområden, men som inte själv är specialist.
Jag skulle rekommendera dig som letar efter en säkerhetskonsult att använda dig av följande uppdelning för att tydligt beskriva vilken kunskap du eftersöker.
Säkerhetskonsultens områden
Fysisk säkerhetskonsult
Säkerhetskonsult som är specialiserad på den fysiska säkerheten, oftast ansvarig för dörrar, fönster, lås, staket, inbrottslarm, passersystem, kameraövervakning och behöver kunna ett relativt brett område av säkerhet.
Informationssäkerhetskonsult
Säkerhetskonsult som är specialiserad på informationsklassificering, det vill säga strukturera upp information utifrån vad som ka presenteras utåt, information som omfattas av särskild lagstiftning (till exempel GDPR eller NIS-direktivet), information som är affärskritisk och kanske även företagshemligheter, oavsett om det är digital eller fysisk form på informationen.
I den offentliga sektorn (kommun, landsting och myndighet) regleras det även av offentlighets- och sekretesslagen.
IT-Säkerhetskonsult
IT-säkerhetskonsulten förväxlas ofta med informationssäkerhetskonsulten, men behovet av specialistkompetens inom respektive område är helt olika. IT-Säkerhetskonsulten är specialiserad på de mer fysiska delarna inom IT-infrastrukturen, vilket handlar om nätverkssäkerhet, brandväggar, behörighetsstyrningar eller som det ofta kallas för IAM (Identity Access Management), accesspunkter, till och med det fysiska nätverkskablaget.
Säkerhetsskyddskonsult
Säkerhetsskyddskonsulten är specialiserad inom säkerhetsskyddet av särskilt skyddsvärda anläggningar, sådana myndigheter och företag som vid antagonistiska handlingar skulle kunna skapa allvarliga konsekvenser för Sveriges säkerhet, några exempel är rättsväsendet, energi- och vattenförsörjning, telekommunikation, transportsektorn och viss sjukvård. Det är företagen själva som ansvarar för att bedöma om de är en säkerhetskänslig verksamhet, vilket inte alltid är så lätt. Särskilt som om svaret är att man är osäker så ska man göra en säkerhetsskyddsanalys.
Personsäkerhetskonsult
Personsäkerhetskonsulten arbetar i gränslandet mellan personalsäkerhet som omfattar säkerhetsfrågor som rör medarbetare, personsäkerhet som rör det direkt skyddet av en individ som utsatts för hot eller våld, eller risker att utsättas för hot eller våld. Personsäkerhetskonsulten arbetar också ofta med omvärldsbevakning, både i Sverige men även internationellt och ansvarar då även ofta för att ta fram policy och rutiner för resesäkerhet för de som reser nationellt, och internationellt, i tjänsten.
Transportsäkerhetskonsult
Transportsäkerhetskonsulten arbetar oftast inriktat mot antingen luftfartsskydd eller hamnskydd som även har speciallagstiftningar, men de kan även arbeta med ren distributionssäkerhet med uppdragsgivare inom bud och logistik där det ansamlade värdet kan bli stort, även om den enskilda produkten inte har ett eget högt värde.
Riskmanagementkonsult
En riskmanagementkonsult kan även benämnas som en operationell säkerhetskonsult och arbetar med att skapa en riskhanteringsstruktur inom verksamheten tillsammans med policy, processer och rutiner. Det är riskmanagementkonsulten som lägger grunden till att verksamheten ökar sitt medvetande så man kan arbeta proaktivt med att minska risker, öka den upplevda tryggheten för ägare, ledningsgrupp, medarbetare, leverantörer och kunder vilket i slutänden leder till säkrade vinster och en förstärkt kundupplevelse.
Det är det vi kallar för resiliens, när man arbetar strukturerat och proaktivt för att skapa motståndskraft mot yttre, och inre, hot men samtidigt tagit fram rutiner för att begränsa skadan av en eventuell händelse och skyndsamt kunna återgå till en ordinarie, eller förbättrad, operationell drift efter ett tillbud.
Behöver jag en säkerhetskonsult eller behöver jag en säkerhetschef?
I många fall avråder vi våra uppdragsgivare från att anställa en säkerhetschef, sällan finns behovet av en säkerhetschef på heltid, utan många av de säkerhetschefer vi pratar med beskriver att deras vardag handlar mer om uppgifter som hör till vaktmästeriet eller fastighetsansvariga vilket gör att kostnadseffektiviteten blir låg och den direkta kostnaden kopplat till säkerhet blir onödigt hög. Sen finns det såklart de verksamheter som både behöver, och ska ha, sin egen säkerhetschef.
Vår rekommendation blir oftast att en person ska äga säkerhetsfrågorna internt, det kan vara en i ledningsgruppen eller en anställd säkerhetssamordnare som har sin direktkontakt i ledningsgruppen och därmed kan ha andra arbetsuppgifter också. En utbildad säkerhetssamordnaren har god koll på den fysiska säkerheten och kan ha det som tillika uppgift.
Då kan du istället investera i att ta in rätt kompetens, för rätt uppdrag, under den tid och omfattning du faktiskt behöver just den kompetensen.
Det är lite som inom sjukvården. När du besöker sjukvården får du oftast träffa en allmänläkare först, någon som kan lite om det mesta, men som inte är specialist inom något särskilt område förutom att vara generalist och kunna bedöma vem som är mest lämpad att ta hand om nästa steg.
På samma sätt vill du ju inte att allmänläkaren utför hjärt- eller hjärnoperation på dig, då vill du ju ha den som är specialist inom det området.
På samma sätt rekommenderar vi att du bygger ditt säkerhetsarbete, en generalist som har det övergripande ansvaret och som vet vem man ska ta in för det fördjupade och specialiserade arbetet.
