Recent werd een onderzoek wereldkundig gemaakt over de arbeidsmarkt voor cyber security professionals (CSP’s). Aanleiding was kort gezegd de vraag of er wel genoeg geschoolde mensen zijn om de digitale veiligheid te kunnen waarborgen in de digitaal verbonden wereld, waar cyber attacks aan de orde van de dag zijn. Hebben we wel genoeg technisch potentieel? En hoe zit het met vraag en aanbod naar niet-technisch georiënteerd potentieel op de cyber-arbeidsmarkt? Dreigt er mogelijk een kloof van grote omvang te ontstaan?
Maryse Ducheine is gastdocent aan de Cyber Security Academy (Universiteit Leiden, TU Delft, Haagse Hogeschool) op de campus van The Hague Security Delta. Haar kennis en ervaring met cyber-crises en cyberissue-management deed ze de afgelopen twee jaar op in haar eigen adviespraktijk en daarvoor bij KPN waar ze van 2008 tot 2013 hoofd externe communicatie was. Vanaf maart 2015 is zij directeur communicatie bij de gemeente Den Haag. Ducheine startte haar loopbaan bij het NOS Journaal en was daarna jarenlang woordvoerder van de minister van Financiën en Economische Zaken.
Het onderzoek is uitgevoerd door de Universiteit Leiden in samenwerking met marktonderzoeksbureau Ockham IPS. Ook cyber security-boegbeeld Jan van den Berg van de Cyber Security Academy werkte mee aan het onderzoek, dat geïnitieerd werd in opdracht van het Wetenschappelijk Onderzoeks- en Documentatie Centrum (WODC) van het ministerie van Veiligheid en Justitie, door onder meer de nationaal coördinator terrorismebestrijding. Het is immers van groot nationaal veiligheidsbelang om een eventueel tekort op de ‘cyber-arbeidsmarkt’ in kaart te brengen en oplossingen te kunnen formuleren.
Kortzichtigheid troef
Ik lees in het rapport onder meer dat CSP-functies nogal eens worden geassocieerd met de ethische hackers. De jongens met paardenstaart en het zwarte t-shirt zeg maar… En ook zouden ‘cyber people’ gelden als de ‘moeilijkdoeners binnen de organisatie.’
Ik vind dit wel wat kortzichtig. Ethische hackers hebben achter de schermen al vele grote en beursgenoteerde bedrijven behoed voor een cybercrisis. Intern de lastige vragen stellen, lijkt me een juist een uitstekende eigenschap als je belast bent met de beveiliging van de bedrijfsinfrastructuur. Het is daarom hoog tijd dat digitale veiligheid wordt losgekoppeld van dit gemakzuchtige denkbeeld en organisatie- en functiebreed geadresseerd wordt. De sector mag dat zich zelf aantrekken en moet beseffen dat perceptie en beeldvorming in onze ‘mediacratie’ nu eenmaal onderdeel zijn van de werkelijkheid waarin we leven. Deal with it! Dus aan de slag, open de deuren en de luiken en laat eens een keer wat meer van de sector en de verschillende dimensies van het security-vak zien. Zorg dat de cyber-sector niet het imago houdt van een corporatistische of gesloten ‘dark’ sector die zo makkelijk tegen het nerdy, lucratieve veiligheidsdomein en de overheid aanleunt.
Reputatiemanagement
Eerder verwees ik op deze plek al eens naar het Global Practice on Privacy and Cyber Risk-initiatief. Dit is gericht op bedrijven die negatief in de publiciteit belanden, bijvoorbeeld door een veiligheidslek of een ander cyber-incident. Het arbeidsmarktonderzoek laat goed zien dat de focus voor reputatiemanagement in de cyber security-sector niet alleen op de techniek of op crises en incidenten moet liggen. Er is juist veel meer variëteit in kennis en kunde nodig aan het begin van ontwerp- en implementatieprocessen. Ofwel bij de start van de ontwikkeling van een cyber security-beleid en bij brainstormsessie over een nieuwe organisatiestructuur.
Afgelopen maand sprak ik ter voorbereiding van de Global Conference on Cyber Space met de IT en Cyber Chief van de gemeente Den Haag. We spraken over het bestuur, de IT, de organisatie en over de communicatiefunctie en toen viel alles ineens op zijn plek. We moeten ervoor zorgen dat IT van zijn eiland afkomt. Al die organisatie-, compliance- en bedrijfsvoeringstypes moeten onder hun steen vandaan komen en we moeten ook zorgen dat communicatiemensen een digitale bril op zetten, waarmee ze het bestuur wijzer maken. We waren er uit. Geen wonder dat het onderzoeksrapport stelt dat er in de toekomst veel meer soorten cyber-professionals nodig zijn. O ja, en meer vrouwen in cyberspace is ook een van de aanbevelingen. Diversiteit als moderne reputatiepijler. Hear, hear!
De rol van de etische hacker wordt regelmatig neergezet als die van de klokkenluider. Als het goed uitkomt is hij de held, zoniet dan hangt hem de term “cyber crimineel” boven het hoofd dat is afhankelijk van de ernst van de geconstateerde gebreken in de security. De etische hacker moet daarom een bescherming krijgen, beter nog is het strafbaar stellen van security-leaks die door softwarepatces en upgrades kunnen worden voorkomen. De etische hacker hoeft dan alleen nog maar deze tekortkomingen te signaleren. Ook moet er een meldpunt komen zodat de etische hacker niet hoeft te onderhandelen met de veroorzaker van security omissies. Er zijn voorbeelden van etische hackers die na diverse waarschuwingen gesteld heeft dat hij het lek zou openbaren en op grond daarvan zou worden vervolgd. Dat is de omgekeerde wereld. Klanten en gebruikers van bedrijfssystemen moeten er van uit kunnen gaan dat hun gegevens veilig zijn. Hoeveel organisaties hebben internetsites maar hebben geen benul van hoe hun klantgegevens beveiligd zijn? Ik denk miljoenen.