Cybersäkerhetsrekrytering börjar sällan med en tydlig titel. Kunden kan säga säkerhetsspecialist men mena allt från operativ incidenthantering till GRC, molnsäkerhet eller produktnära säkerhetsarkitektur. För en search- eller rekryteringsbyrå är uppgiften därför att översätta verksamhetens risk och uppdrag till en marknad som går att kartlägga utan att förenkla bort det viktiga.
1. Risk
Vilken verksamhetsrisk ska rollen minska?
2. Evidens
Vilken erfarenhet går faktiskt att belägga?
3. Förtroende
Vilken information bör inte samlas in?
Utgå från säkerhetsuppdraget, inte certifikatet
En lista med CISSP, CISM, ISO 27001 och ett antal molnplattformar ser konkret ut. Den säger ändå inte vilket problem kandidaten ska lösa. Ska personen bygga ett ledningssystem, leda incidentrespons, testa applikationer, säkra identiteter eller stödja en reglerad verksamhet? Börja med uppdraget och låt certifikat bli stödjande signaler där de faktiskt är relevanta.
Be kunden beskriva en verklig situation från de kommande sex till tolv månaderna. Vad kan gå fel? Vilka system eller tillgångar berörs? Vem fattar beslut när risk och leveranstakt krockar? Vilket underlag ska rollen kunna skapa för ledning, teknikteam eller tillsyn? Svaren ger en bättre sökprofil än en standardiserad kravlista.
Arbetsförmedlingens yrkesbarometer från april 2026 pekar ut IT-säkerhetsspecialist som ett högskoleyrke med goda prognoser på fem års sikt. Det är en arbetsmarknadssignal, inte ett löfte om att varje säkerhetsroll är svårrekryterad. Geografi, mandat, ersättning, språk och sektor påverkar fortfarande hur stor den relevanta marknaden blir.
- verksamhetsrisken rollen ska minska
- operativt, styrande eller arkitektoniskt ansvar
- tekniska miljöer och kritiska beroenden
- krav på språk, plats och beredskap
- vad kunden kan lära upp efter start
Gör en rollkarta innan ni söker namn
Cybersäkerhet är ett fält av närliggande specialiseringar. En SOC-analytiker, penetrationstestare, säkerhetsarkitekt och informationssäkerhetsspecialist kan alla arbeta med risk, men deras vardag och bevis ser olika ut. Lägg därför en rollkarta bredvid briefen. Den hjälper kunden att se vilka profiler som är jämförbara och vilka som bara delar ordet säkerhet.
Kartan bör också fånga hybridroller. I mindre organisationer kan samma person arbeta med policy, leverantörsrisk och teknisk rådgivning. I en större miljö är ansvaret ofta uppdelat mellan flera team. Searchen måste spegla den verkligheten; annars kommer ni antingen att hitta för breda generalister eller specialister som saknar mandatet kunden behöver.
Använd både svenska och engelska titlar, men koppla varje titel till observerbara arbetsuppgifter. Sök på incidenter, standarder, arkitektur, identitet, sårbarhet eller säker utveckling där kontexten kräver det. Titeln öppnar dörren. Underlaget avgör om kandidaten ska granskas vidare.
| Spår | Exempel på bevis | Vanlig kontrollfråga |
|---|---|---|
| SOC och incidentrespons | triage, playbooks, incidentledning | Vilket ansvar hade kandidaten under en verklig incident? |
| GRC och informationssäkerhet | riskanalyser, styrning, revision | Vem använde underlaget och vilket beslut ledde det till? |
| Säkerhetsarkitektur | hotmodellering, identitet, designbeslut | Vilka avvägningar gjorde kandidaten mellan risk och leverans? |
| Applikationssäkerhet | secure SDLC, kodgranskning, testning | Arbetade personen rådgivande eller ägde hen förändringen? |
Läs myndighetskällorna som marknadskontext
MSB:s nationella strategi för cybersäkerhet 2025–2029 behandlar kompetensförsörjning som en del av Sveriges förmåga på området. Myndighetens policy från oktober 2025 tar också upp utbildning, forskning och cybersäkerhetskompetens. För rekryteraren betyder det inte att MSB definierar kundens kravprofil. Källorna visar varför kompetensfrågan är strategisk och hjälper er att förstå språk, roller och samhällskontext.
Koppla inte en myndighetsformulering direkt till ett påstående om en viss kandidats kompetens. En kandidat som nämner NIS2 eller ISO 27001 har inte automatiskt arbetat med implementering. Fråga efter situation, ansvar, omfattning och resultat. På samma sätt är ett certifikat ett dokumenterat utbildningsbevis, inte en komplett arbetsprovning.
När kunden verkar i samhällsviktig, offentlig eller reglerad verksamhet behöver briefen dessutom fånga särskilda krav utan att rekryteraren improviserar juridik. Be kunden och dess säkerhets- eller juristfunktion definiera vad som faktiskt gäller. Byråns roll är att dokumentera kraven och hitta relevanta erfarenheter, inte att utfärda regelefterlevnad.
Säkerhetsprövning och bakgrundskontroll kräver gränser
Vissa roller kan omfattas av säkerhetsskydd eller andra särskilda kontroller. Avgörandet ligger hos kunden och relevanta ansvariga funktioner. Skriv inte in medborgarskap, bakgrund eller privatliv som informella proxykrav. Be kunden ange den rättsliga och verksamhetsmässiga grunden för varje kontroll samt när i processen den ska ske.
Searchteamet bör skilja vanlig kompetensverifiering från säkerhetsprövning. Det första kan handla om CV, projekt, arbetsprov och referenser. Det andra följer särskilda processer som inte bör ersättas av en snabb webbsökning. Kandidaten ska få tydlig information om vad som efterfrågas och vem som behandlar uppgifterna.
IMY:s aktuella vägledning för rekryteringssystem och kompetensdatabaser betonar rättslig grund, nödvändighet, information och ansvar. Det är direkt relevant när ni lagrar profiler och bedömningar. Samla bara uppgifter som behövs för rekryteringsändamålet, håll anteckningar sakliga och bestäm hur länge de ska finnas kvar.
- vem äger beslutet om kontrollen
- vilket ändamål och vilken grund finns
- när informeras kandidaten
- vilka uppgifter är nödvändiga
- hur dokumenteras åtkomst och gallring
Myndighetskällor och vägledning
MSB-källorna sätter svensk strategi och kompetensförsörjning i sammanhang. Arbetsförmedlingen stödjer efterfrågesignalen för yrkesgruppen, och IMY stödjer rekryteringsdatans rättsliga ramar.
- MSB: nationell strategi för cybersäkerhet 2025–2029
- MSB: policy för utbildning och cybersäkerhetskompetens
- Arbetsförmedlingen: yrkesbarometern för högskoleyrken 2026
- IMY: rekryteringssystem och kompetensdatabaser
Marknadskartläggning utan att exponera känslig information
En cybersäkerhetsprofil kan vara försiktig med att beskriva kunder, incidenter eller system. Respektera det. En trovärdig kandidat behöver inte lämna operativa detaljer i ett första samtal för att visa kompetens. Be i stället om anonymiserad kontext: typ av miljö, kandidatens ansvar, hur beslut fattades och vilken metod som användes.
Kartlägg arbetsgivare och team utifrån offentligt kända verksamheter, rekryteringsmönster och relevanta teknikmiljöer. Undvik att bygga spekulativa listor över vem som kan ha tillgång till känsliga system. Marknadskartan ska stödja search, inte skapa ett nytt säkerhetsproblem.
Tidigare kandidater kan vara en stark källa om er databas är välskött. En person som var för operativ för ett GRC-uppdrag kan vara rätt för incidentrespons ett år senare. Spara den yrkesmässiga motiveringen och kandidatens kontaktpreferenser, men rensa irrelevanta eller gamla uppgifter enligt er rutin.
Bygg en kortlista med evidens och öppna frågor
En cybersäkerhetskortlista ska inte rangordna kandidater med ett mystiskt totalbetyg. Den ska göra jämförelsen begriplig. För varje person: visa vilka krav som stöds av underlaget, vilken miljö erfarenheten kommer från, vilken ansvarsnivå som är belagd och vad kunden behöver undersöka i nästa steg.
AI-sourcing kan hjälpa er att upptäcka profiler, alternativa titlar och samband i tillgängliga yrkesdata. I Yena kan rekryteraren granska varför en profil föreslås och justera sökningen. Verktyget verifierar inte säkerhetskompetens, utför inte säkerhetsprövning och avgör inte vem som ska kontaktas eller anställas. De besluten stannar hos människor.
Använd återkopplingen som kalibrering. Om kunden föredrar en kandidat på grund av erfarenhet från distribuerade miljöer ska den signalen skrivas in i sökprofilen. Om kunden i stället reagerar på en titel utan att kunna koppla den till uppdraget, gå tillbaka till bevisen. Kortlistan ska bli skarpare, inte bara längre.
- belagt ansvar och miljö
- relevanta metoder eller standarder
- exempel som kan diskuteras utan känsliga detaljer
- risker och kunskapsluckor
- tydlig fråga för nästa intervju
Kandidatkontakt när förtroendet är en del av rollen
Första kontakten behöver visa omdöme. Skriv varför kandidatens yrkeserfarenhet verkar relevant, vilken typ av säkerhetsuppdrag det gäller och vad ni kan säga om kunden. Undvik formuleringar som antyder att ni känner till interna incidenter eller behörigheter. En sådan vinkel är både onödig och förtroendeskadlig.
Var tydliga med konfidentialitetens gränser. Om kundnamnet inte kan delas ännu, förklara när det kan ske och vilken information kandidaten får innan nästa beslut. Kandidaten ska inte behöva lämna känsliga uppgifter för att få veta om rollen är rimlig.
Hittade kontaktuppgifter innebär inte att kontakt alltid är lämplig. Bedöm relevans och rättslig grund, informera enligt er process och respektera invändningar. Yena kan hjälpa er att organisera underlag och möjliga kontaktvägar, men ert team ansvarar för om, när och hur kontakten sker.
Ett arbetsflöde för byråns nästa cybermandat
Starta med ett 45-minuters kalibreringsmöte där kunden beskriver risk, uppdrag och beslutsmiljö. Bygg sedan rollkartan och granska fem till åtta exempelprofiler innan bred search. Det är billigare att rätta en missförstådd brief där än efter trettio kandidatkontakter.
Låt researchern dokumentera söksignaler och osäkerhet. Låt ansvarig konsult kontrollera kandidatkontakt och låt kunden äga fackbedömning samt eventuella säkerhetsprocesser. Tydliga gränser gör teamet snabbare eftersom varje person vet vilken bedömning den faktiskt ansvarar för.
Efter mandatet sparar ni användbara titlar, målmiljöer, intervjufrågor och kandidatpreferenser. Spara inte känsliga spekulationer. Nästa search ska börja med bättre marknadskunskap, inte med en kopia av allt ni råkade samla in.
- brief med risk och ansvar
- rollkarta och exempelprofiler
- search med dokumenterade signaler
- mänskligt godkänd kandidatkontakt
- evidensbaserad kortlista
- kundägd bedömning och säkerhetsprocess
Yena kan stödja upptäckt, organisering och förklarat kandidatunderlag. Systemet gör inte säkerhetsprövningar, verifierar inte säkerhetskompetens och bestämmer inte vem ni ska kontakta.
Bygg nästa cybersearch som ett gemensamt arbetsminne
Samla rollkarta, kandidatunderlag och kundfeedback utan att lagra känsliga spekulationer. Börja med ett mandat där er byrå redan känner marknaden.
Se rekryterings-CRM för searchteamVanliga frågor
Vilka roller ingår i cybersäkerhetsrekrytering?
Bland annat SOC och incidentrespons, GRC och informationssäkerhet, säkerhetsarkitektur, identitet, molnsäkerhet och applikationssäkerhet. Kundens uppdrag avgör vilka spår som faktiskt är relevanta.
Visar Arbetsförmedlingen att alla cyberroller är bristyrken?
Nej. Yrkesbarometern ger en nationell och ibland regional arbetsmarknadsbedömning för yrkesgrupper. Den ersätter inte en lokal marknadskarta för ett specifikt mandat.
Kan vi kräva en viss säkerhetscertifiering?
Ja, om den är sakligt kopplad till arbetet, men kontrollera vilket bevis certifieringen ger. Praktiskt ansvar, aktuell erfarenhet och förmåga att förklara beslut behöver fortfarande bedömas.
Gör Yena bakgrundskontroller eller säkerhetsprövning?
Nej. Yena stödjer kandidatsökning, organisering och förklarat underlag. Kunden och behöriga aktörer ansvarar för eventuella bakgrundskontroller, säkerhetsprövningar och anställningsbeslut.
Hur kontaktar vi en passiv cybersäkerhetsspecialist?
Använd en kort och yrkesrelevant motivering, dela rimlig uppdragskontext och be inte om känsliga detaljer. Säkerställ rättslig grund och information enligt er dataskyddsprocess.
Relaterat: AI-sourcing för rekryterare, rekryterings-CRM och Yenas priser.
