När man tänker på säkerhetschefer (CSO) är det lätt att se en bild av en actionspäckad vardag. Men riktigt så är det inte.

Helena Örtholm beskriver sitt arbete så här:

– Jag har det övergripande ansvaret som kravställare, sedan finns det en it-säkerhetschef på nivån under mig, säger Helena Örtholm, säkerhetschef på telekomföretaget TDC .

Själva arbetsinsatsen är varierad och innehåller allt från att ”ta fram dokument”, till exempel olika riktlinjer för säkerhet, till att hjälpa verksamheten att ta fram säkerhetskrav för de lösningar som säljs till kunder. Däremellan märks att driva olika typer av analyser, till exempel riskanalyser, att hjälpa till med interna workshops och även med externa kunders riskanalyser.

– Andra arbetsuppgifter är att planera utbildningsaktiviteter, hålla presentationer internt på TDC och att svara på frågor. Även fysisk säkerhet och personsäkerhet ingår i mitt arbete, säger Helena Örtholm.

Läs också: Säkerheten främst? Nej, lagom säkerhet är bäst.

Finns det något som du inte gör?

– Jag är generellt inte inblandad i teknikval, jag lägger mig inte i vilken teknik som används.

Anne-Marie Eklund Löwinder som är säkerhetschef på Internetstiftelsen i Sverige delar in sitt arbete i fem olika kategorier:

  1. Revisioner, till exempel av olika tekniska lösningar, ur säkerhetshänseende. Arbetet med att göra en revision kan innefatta både att prata med folk och mer konkret säkerhetsarbete, samt att komma med förslag på åtgärder.
  2. Riskanalyser som görs årligen för vissa tjänster och oftare i vissa sammanhang. Arbetet med riskanalyser påminner om att göra revisioner, eftersom det i båda fallen är frågan om någon typ av utredning och om att skriva någon typ av rapport.
  3. Skriva dokumentation
  4. Stöd i projekt.
  5. Internutbildningar, till exempel i form av korta informationsträffar och mer ambitiösa kurser.

Även Peter Svahn som är säkerhetschef på Bankomat AB betar av en lång rad av arbetsuppgifter. Han nämner till exempel leverantörsstyrning, riskanalyser, hotbildsanalyser och omvärldsbevakning bland annat via internationella nätverk, men det är följande fem områden som dominerar, i oprioriterad ordning: Projektarbete, uppföljning av incidenter, utredningar, riskanalyser och strategiarbete.

Läs också: Så lyckas du som ny it-säkerhetschef – 6 tips från experten

Men Peter Svahn anger ett flertal ytterligare arbetsuppgifter som inte utförs lika frekvent, och en av de viktigaste är att ”ajourhålla och trimma vår kris- och beredskapsrutiner” regelbundet.

En intressant skillnad mellan olika säkerhetschefers beskrivningar av sina arbeten är om de ser konkreta uppgifter som incidentuppföljning som vanliga i vardagen. De som gör det, gör det troligtvis av följande anledningar:

  • De arbetar på företag som hanterar mycket känslig information.
  • De arbetar på företag som utsätts för många intrångsförsök.
  • De har inte en stor stab med teknisk personal under sig, utan får lov att göra en del av jobbet själv.
  • De gillar att hålla på med den typen av arbetsuppgifter.

Ytterligare en skillnad är om ett företag säljer produkter och tjänster som måste säkras. I sådana fall får en säkerhetschef lägga tid inte bara på företagets egna verksamhet, utan även på de produkter som levereras till kunderna, kanske till och med vara involverad i säkerhetsrelaterade projekt hos kunderna.