Jeg har i lang tid lest om det påstått skrikende behovet for kompetanse på cybersikkerhet.
Jeg har i mange år vært bi-veileder og mentor for studenter og folk i ulike aldre som ønsker å jobbe innen sikkerhet. Jeg har vært kursinstruktør og ikke minst referanse for en lang rekke personer når de har søkt nye muligheter.
Og jeg blir stadig skuffet over årsakene til at folk ikke får jobber de søker på.
Her har jeg samlet en rekke argumenter jeg selv har møtt når jeg har fått avslag på jobbsøknad, eller på andre måter har gått glipp av muligheter i arbeidslivet.
Jeg håper dette kan bidra til diskusjon og kanskje være til hjelp for noen av de mange som søker ny jobb innen sikkerhet.
#1: Du har ikke mastergrad
«En mastergrad beviser at du kan jobbe strukturert og tenke selv».
– Ordrett sitert fra toppleder i et norsk selskap
Jeg har selv opplevd å få høre at jeg ikke har bachelor/mastergrad fra både offentlig og privat sektor som årsak til at jeg ikke får jobb. Jeg har studiepoeng nok til en kvart bachelorgrad, så særlig (offentlig godkjent) utdannet er jeg ikke. Fagforeninger har protestert på mulig ansettelse av meg grunnet manglende utdannelse. Dog har flere fagforeninger også hatt meg inne som gratis foredragsholder for sine medlemmer, og referert til meg som ekspert og mere til innen mine fagområder.
Det jeg beviselig har er 30 års arbeidserfaring (fra høsten 1994) innen sikkerhet. Jeg har hatt sertifiseringene CISSP (breddekunnskap innen it/sikkerhet), ISSAP (it-sikkerhetsarkitektur) og CISM (sikkerhetsledelse) tidligere, og har fremdeles CISA (it-revisjon) & CRISC (risikostyring/analyse). Jeg har vært kursinstruktør for CISM, og vært «subject matter expert» for utvikling av eksamensspørsmål for ISSAP, side om side med folk fra f.eks NSA i USA.
«Man skulle nesten tro at noen ikke var i stand til å tenke selv.»
Jeg har vært finalist til DND Rosing IT-sikkerhetsprisen og NSR/OSPA prisen som fremragende sikkerhetsrådgiver. Jeg har fått «commanders coin» fra sjef Cyberforsvaret for mitt bidrag til sikkerhet i Norge. Jeg har blitt belønnet økonomisk av Google & Facebook for mitt bidrag til global sikring av epost. Regler for passord som brukes globalt i de fleste bedrifter og organisasjoner i dag har blitt sterkt påvirket og utviklet gjennom personer som har vært innom min passordkonferanse, fra «hackere» til amerikanske NIST.
Jeg har navnet mitt på flere akademisk publiserte artikler, og har holdt min konferanse «PasswordsCon» ved UiB, NTNU, UiO, Ruhr universitet Bochum i Tyskland og ikke minst ved Universitet i Cambridge, UK. Alle på invitasjon fra professorer innen sikkerhet ved disse universitetene, og med publiserte artikler utgitt etter NTNU & Cambridge konferansene.
Men noen jobber har jeg altså gått glipp av fordi jeg ikke har en mastergrad. Jeg har faktisk ikke fått komme inn på intervju engang. Man skulle nesten tro at noen ikke var i stand til å tenke selv.
💡 Mitt råd: Bevis at du kan det du sier du kan. Det kan gjøres på andre måter enn å fremvise et ark fra forrige årtusen med en utdannelse som antagelig er rimelig irrelevant i dag.
#2: Du må bo i Oslo
Okei, jeg har ikke hørt dette argumentet etter Covid. Nå har jeg ikke søkt noen jobber spesifikt i Oslo heller siden før Covid, det skal sies. Jeg tror imidlertid at den skrikende kompetansemangelen innen cybersikkerhet som pressen skriver om er sterkt konsentrert rundt folk med mastergrad bosatt i Oslo by.
Der synes det da også å være en lønnsspiral og en kamp om knappe ressurser som gir økt turnover og potensielt mer ustabile leveranser over tid.
Annenhver utvikler jobber i Oslo: - Men vi jobber ikke her for lønna
Selv har jeg i praksis pendlet til Oslo siden 1998 da jeg ble rekruttert til PWC for å starte penetrasjonstesting som en tjeneste. Jada, PWC rekrutterte meg til seniorkonsulent, selv uten bachelorgrad. Jeg hadde allerede bevist hva jeg kunne overfor dem. Stadig flere arbeidsgivere ser heldigvis ut til å akseptere hjemmekontor, lang pendling og ansatte utenfor spikersuppa, men det finnes fortsatt dem som ikke vil tro at ansatte jobber dersom de ikke kan observeres daglig. Dessverre.
💡 Mitt råd: Arbeidsgivere som stiller krav om fysisk oppmøte mandag-fredag på kontor (i Oslo) uten et tydelig dokumentert behov for det kan droppes til fordel for organisasjoner som utviser mer fleksibilitet og ikke minst tillit til sine ansatte.
#3: Du har vært i pressen og snakket negativt om andre
Helt sant, denne har jeg fått som direkte årsak til at jeg ikke gikk videre i en ansettelsesprosess, og det var den ENESTE årsaken. Jeg har også fått høre samme argument i forbindelse med potensielle konsulentoppdrag: en frykt for at jeg skal lekke informasjon jeg får informasjon om i forbindelse med oppdrag.
Det kom uten at jeg fikk forklare hvorfor jeg har vært, er og vil fortsette å snakke med pressen om saker som er viktige for samfunnet. Ingen spesifikke saker ble nevnt, og det ble aldri stilt spørsmål om noen av «mine» saker i pressen har slått negativt tilbake på mine arbeidsgivere.
Hint: en lang rekke saker i pressen hvor jeg har bidratt har gitt varige positive endringer som påvirker tilnærmet alle digitale borgere i Norge og en rekke andre land.
Taushetsplikt overfor arbeidsgiver og kunder skal man ikke ta lett på. Samtidig har vi alle en varslingsplikt om mulige straffbare forhold, og vi har grunnlovens ytringsfrihet i ryggen. Balansen for å skille jobb og privat er viktig, og her er det lett å tråkke feil.
Shortcut-varsler ryster bransjen: «Det eksploderte»
💡 Mine råd: Dersom du vil skrive, holde foredrag eller uttale deg til pressen om noe som har med jobben, bransjen eller yrket å gjøre: sjekk med sjefen først. Gjør det skriftlig. Vil du gi gode råd, beskrive gode løsninger eller tilsvarende? Snakk med markedsavdelingen.
Vil du påpeke feil, mangler eller direkte svakheter i produkter, løsninger og leverandører? Les deg opp på «responsible disclosure», snakk med andre bransjekolleger for å få råd og kontakter som kan hjelpe, og husk å holde et klart skille mellom jobb og privat.
Sist men ikke minst: husk at ytringsfriheten gjelder selv om noen kanskje ikke liker det du vil si. Dersom ingen tør å si i fra blir ikke verden bedre, bare verre. Blir du bedt om din mening: si det, og gi faen i hva andre måtte mene om deg. Bare pass på å holde din egen integritet og ryggrad rett.
#4: Du må kunne absolutt alt, og ha 5-10 års erfaring
Jeg kikker stadig vekk innom finn for å se på ledige stillinger. Ikke for å søke ny jobb, men for å se hvilken kompetanse man søker, hvilke krav som stilles, og hva man tilbyr arbeidssøkere.
Jeg synes at dagens stillingsannonser ber om, eller krever så mye variert sikkerhetskompetanse at jeg fatter ikke at det kan finnes kvalifiserte søkere til mange av dem. Enda verre når man søker bred kompetanse og arbeidserfaring, samtidig som man ser for seg at vedkommende har 5-10 års arbeidserfaring.
Jeg har 30 års arbeidserfaring, og det er mange stillinger jeg mener jeg burde kunne være svært godt egnet for. Inntil jeg ser listen over kunnskap man bør eller må ha.
💡 Mitt råd: Gi en god dæng i de lange listene med ønsker og krav. Ring oppgitte kontaktpersoner. Introduser deg selv og spør om hvilken vektlegging de har på nevnte ønsker og krav. Forklar hvorfor du er interessert i stillingen og hvorfor du mener at dette er noe for deg. Skader aldri å si at du er interessert i å lære. Send søknaden. Tro på deg selv. Jeg heier på deg!
Fikk kontrakter avlyst på «infomøte om oppstart»
#5: Du er for god for oss
NAV er, dessverre, blant dem som ikke synes å forstå at det er rimelig meningsløst å søke på jobber du åpenbart er «overkvalifisert» for. Man blir avvist gang på gang.
Jeg har ikke tall på egne og andres opplevelser med diverse bedrifter som ikke vil ansette folk, med forklaringer som «du er for god for oss. Med en gang du får en bedre mulighet så vil du garantert slutte her. Vi ser etter noen yngre enn deg. Vi ser etter noen som er nyutdannet til denne stillingen. Vi ser etter noen som vil ha lavere lønn og som kan jobbe døgnet rundt, sammenlignet med deg. Vi bryr oss ikke mer om sikkerheten vår enn at vi kan like godt ansette en apekatt, dersom det var mulig.»
Okei, den siste der var kanskje litt overdrevet, men når organisasjoner ikke vil ansette noen som er “overkvalifisert” så sliter jeg litt med å forstå argumentasjonen for det.
Ok, jeg forstår at man ikke kan tilby lønn eller vilkår utover det som er budsjettert, men det finnes «overkvalifisert» personell som ikke først og fremst går etter høy lønn. Bare se på mange av dem som jobber med sikkerhet i offentlig sektor. Nok av idealister der som brenner for å sikre samfunnet! ❤️👏🏼
💡 Mitt råd: Ikke forsøk å argumentere med hvorfor de skal ansette deg dersom de sier at du er «overkvalifisert» for stillingen. Har du søkt stillingen så er du interessert i jobben. Det bør de forstå og respektere. Dersom ikke: gå videre.
Tenkt på i 10 år
Jeg har tenkt på å skrive dette innlegget i minst 10 år nå.
Jeg blir ikke forundret om det kommer negative reaksjoner, og kanskje går jeg glipp av nye muligheter i fremtiden også. Det kan jeg leve med.
Jeg er stolt over å kunne si at jeg har blitt rekruttert eller anbefalt inn i hver eneste stilling jeg har hatt siden jeg begynte i TV 2 høsten 1994.
Jeg må åpenbart ha gjort noe riktig.