Grote ondernemingen, dienstverleners en zelfs kleinere bedrijven – allemaal zoeken ze beveiligingsexperts onder druk van de vele dreigingen en een scherper toezicht van overheid en aandeelhouders.
Bijna alle aspecten van het vak ‘beveiligingsexpert’ zitten in de lift. Volgens onderzoek van IDC en (ISC)2 zijn momenteel wereldwijd zo’n 1,3 miljoen specialisten in informatiebeveiliging actief, 14,5 procent meer dan in 2003. Naar verwachting zijn dat er tegen 2008 2,1 miljoen. Hun salaris stijgt sneller dan dat van hun ict-collega’s en er zijn legio carrièremogelijkheden. Ongeveer 10 procent van de respondenten noemde zich c(i)so (chief (information) security officer).
De nachtwaker
Die populariteit heeft geleid tot een wildgroei van ‘experts’ die enkele maanden eerder de nachtwaker nog als het summum van beveiliging zagen. Om beter zicht te krijgen op het kennis- en ervaringsniveau van beveiligingsbeheerders, -auditors, -specialisten en dergelijke hebben diverse organisaties die beveiligingsexperts vertegenwoordigen systemen opgezet voor het testen en certifiëren van dergelijke specialisten. Daarnaast verstrekken sommige leveranciers productgerichte certificaten. Gecombineerd biedt dat werkgevers enige zekerheid over het kennispeil van sollicitanten.
Die certificaten zijn niet doorslaggevend. Meer dan 90 procent van de werkgevers hecht belang aan zowel ‘neutrale’ als leverancierscertificaten, maar kijkt uiteindelijk vooral naar de ervaring en het inzicht in beveiliging van de sollicitant.
Een probleem is dat veel experts beveiliging vaak herleiden tot ict-beveiliging. Ze hebben vooral ervaring en certificaten op deelgebieden als firewalls en anti-virus. Inzicht in de veelheid aan andere aspecten van beveiliging ontbreekt vaak. Weten welke commando’s je wanneer hoe moet invoeren is belangrijk. Belangrijker is echter dat je beseft wat de mogelijke gevolgen voor de bedrijfsactiviteiten zijn en hoe beveiliging een samenspel is van maatregelen over de grenzen van afdelingen en bedrijfsprocessen heen.
Aan de zijlijn
Het gebrek aan experts maakt het moeilijk voor bedrijven om een volwaardige volcontinue beveiligingsdienst uit te bouwen. Alleen bedrijven die een baan met perspectief kunnen bieden, zoals multinationals, bedrijven met bijzondere beveiligingsbehoeften en beveiligingsdienstenleveranciers, zullen makkelijk mensen kunnen aantrekken.
Organisaties kunnen overwegen om eigen mensen op te leiden, maar dan lopen ze het risico dat die mensen vervolgens worden weggekocht. Overigens vereist beveiliging sowieso permanente bijscholing omdat de dreigingen om de haverklap veranderen en daarnaast veranderingen in de bedrijfsactiviteiten op de voet gevolgd moeten worden. Veel organisaties verplichten hun certificaathouders daarom tot permanente bijscholing. Topexperts zullen voorlopig vaak geen vast dienstverband ambiëren omdat ze de mogelijkheden op de markt voor advies en crisishulp willen uitbuiten.
Informatici die willen overstappen naar deze groeimarkt moeten zich er wel van bewust zijn dat de vraag nu groot is, maar ook zo voorbij kan zijn. In het verleden is telkens weer gebleken dat een gebrek aan experts leidt tot inspanningen om routinetaken te automatiseren. Wie als ict’er in de richting van beveiliging lonkt, moet zich grondig in het onderwerp verdiepen, in zowel de diepte als de breedte, anders loopt hij het risico dat hij over enkele jaren al aan de zijlijn staat. Daar komt bij dat op termijn beveiligingsfaciliteiten (inclusief het beheer) minder als zelfstandige producten zullen uitkomen; leveranciers gaan die faciliteiten integreren in de toepassingen en systemen zelf. Het operationele werk zal uiteindelijk minder mensenwerk zijn.
Verder verschilt de instelling van de doorsnee ict’er van die van een beveiligingsexpert. De laatste moet breder denken. Hij moet over de grenzen van de ict-infrastructuur heen kijken naar de totale activiteit van het bedrijf en de interactie met de rest van de wereld. Hij moet niet alleen een correcte en continue werking nastreven, maar zich ook inleven in mogelijk malafide gedragingen of bedreigingen en de impact daarvan op het bedrijf inschatten. Tot slot moet hij de rest van het bedrijf kunnen overtuigen van de noodzaak om beveiliging serieus te nemen.