Het tekort aan securitykennis op de arbeidsmarkt heeft directe gevolgen op bedrijven. Zo zegt 71 procent van de it-beslissers dat het gebrek aan beveiligingskennis leidt tot directe en meetbare schade aan de organisatie, zoals dataverlies of inbreuk op het intellectueel eigendom. Dat blijkt uit internationaal onderzoek van onderzoeksbureau Vanson Bourne in oprdacht van Intel Security.
Het onderzoek toont aan dat 82 procent van de respondenten een tekort aan beveiligingsspecialisten ervaart. Bij 71 procent heeft dit direct een negatief effect op de organisatie, zoals het verlies van bedrijfsgegevens of een inbreuk op het intellectueel eigendom.
De vraag naar securityprofessionals groeit sneller dan de vraag naar andere it-professionals. Het schort voornamelijk aan werknemers met zeer technische vaardigheden. Het onderzoek toont dan ook aan dat bedrijven meer waarde hechten aan kennis en vaardigheden op het gebied van intrusion detection, het ontwikkelen van veilige software en het verminderen van de effecten van aanvallen, dan de zachte vaardigheden zoals samenwerken, leiderschap en communicatie.
15 procent onvervuld
De respondenten zien het arbeidstekort niet snel opgelost worden. Zij verwachten dat in 2020 15 procent van de securityfuncties onvervuld blijft. Dit terwijl trends als cloud computing, enterprise mobility en internet of things vragen om betere cybersecurity.
Chris Young, vice president algemeen manager bij Intel Security, meent dat de overheid en de private sector de noodzaak van goede cybersecurity nog niet herkent. ‘Om het tekort aan securityspecialisten aan te pakken moeten we alternatieve vormen van educatie inzetten en meer trainingsmogelijkheden bieden. Ook moeten we veel meer automatiseren zodat de beschikbare mensen meer in de frontlinie kunnen opereren. En we moeten zorgen voor meer diversiteit op de cybersecurity werkvloer.’
Benelux
Het ‘Hacking the Skills Shortage’-onderzoeksrapport is een samenwerking tussen Intel Security en het Center for Strategic and International Studies (CSIS). Vanson Bourne ondervroeg it-verantwoordelijken bij organisaties met minimaal vijfhonderd medewerkers, actief in zowel publieke als private sector. Het internationale onderzoek werd gehouden in de Verenigde Staten, het Verenigd Koninkrijk, Frakrijk, Duitsland, Australië, Japan, Mexico en Israël.
Aangezien Nederland en België niet in het onderzoek zijn meegenomen heeft Computable de vragen voorgelegd aan zijn securityexperts. Uit de reacties blijkt dat het tekort ook in deze landen zorgen baart. Lees meer over de Nederlandse markt in het artikel: ‘Tekort in cybersecurity bedreigt ook Nederland’. Zie voor België het artikel: Gebrek vaardigheden nekt cybersecurity.
Vier aspecten
Intel constateert dat er vier aspecten rond het tekort zijn. Allereerst de uitgaven aan security. Logischerwijze gaan bedrijven die over meer securitybudget beschikken beter om met het tekort.
Het tweede punt is training en onderwijs. Slechts 23 procent van de respondenten meent dat studenten in hun opleiding worden klaargestoomd voor de industrie. Ruim de helft is van mening dat het tekort aan beveiligingsvaardigheden groter is dan het tekort aan andere it-beroepen. Zij pleiten dan ook voor niet-traditionele en praktijkgerichte leermethodes, zoals hands-on training, gaming en hackathons.
Naast salaris zijn trainingsmogelijkheden, groeikansen en de reputatie van de it-afdeling belangrijke factoren om toptalenten te behouden. Bijna de helft van de respondenten noemt gebrek aan opleidingsmogelijkheden of het ontbreken van ondersteuning als zij zich verder willen ontwikkelen als veel voorkomende redenen voor het vertrek van talent.
Tot slot meent ruimt driekwart dat overheden onvoldoende investeren in het ontwikkelen van cybersecuritytalent.
Je leest tegenwoordig bijna dagelijks over security problemen.
De achterliggende weken heb ik daar nog eens navraag naar gedaan en wat blijkt: het gros van alle cyber securityproblemen zou in 1 x zijn opgelost, wanneer
1. Geen gebruik meer zou worden gemaakt van Windows op servers en werkstations
2. Er alleen nog gebruik gemaakt zou gaan worden van Cloud-oplossingen, waarbij
2.1 gebruikers alleen nog gebruik maken van Chromebooks met tweeweg authenticatie
2.2 de verantwoordelijkheid voor programmatuur en data inclusief recovery niet meer bij de klant, maar bij de leverancier zou komen
Eerlijk gezegd lijken me dat allemaal best haalbaar voor ‘het gros’.
Ik heb dit inmiddels op diverse plaatsen gedropt en van experts tot dusver twee reacties gehad:
1. Je hebt gelijk, maar in ons wereldje is het not done om zoiets te zeggen
2. Je weet niet waar je het over hebt. Het is onzin wat je zegt. Van deze tweede groep heb ik echter nog nooit gehoord, wat er dan niet klopt aan die simpele redenering.
Willem, van harte met je eens!
Zeker je eerste punt is me uit het hart gegrepen.
Over je reacties: ook maar al te waar.
En voor alle managers: denk eens zonder Windows, er gaat een wereld voor je open!
Willem, helemaal een met je benadering. Ik zou alleen een stapje verder willen gaan. Verplicht leveranciers om een veilig product op te leveren. Dat geldt toch ook voor auto’s, apparaten etc.
Hierdoor voorkom je dat ieder bedrijf deskundigheid moet opbouwen over de inferieure producten van leveranciers. Dan ben je sowieso van een onveilig windows af want dat is niet de enige boosdoener.
82 procent van de respondenten (= it-beslissers) ervaart een tekort aan beveiligingsspecialisten.
Eigen schuld, dikke bult! Dan heb je jarenlang de verkeerde beslissingen zitten nemen!
Nog nooit van Governance&Compliance; gehoord, niet van risicomanagement, niet van penetration testing, weet niet wat een BCP is.
En alleen omdat ze op Europees niveau maatregelen nemen ga jij nu eindelijk wat doen?
En wat doe je dan? Klagen over tekorten en de overheid de schuld geven.
Groot gelijk hoor, tegen de tijd dat de boetes komen ben jij al weg. Toch?
Next!?
@Willem
Leuke claim van een Microsoft-basher.
Maar lees http://www.gfi.com/blog/2015s-mvps-the-most-vulnerable-players/ en zie dat het allemaal wat genuanceerder is.
En @Willem “2.2 de verantwoordelijkheid voor programmatuur en data inclusief recovery niet meer bij de klant, maar bij de leverancier zou komen.”
De verantwoordelijkheid voor Governance&Compliance; ligt op RvB-niveau. Dat geldt ook voor veilige software. Hetgeen de Europese Richtlijn ook bepaalt (o.a. Privacy by Design).
En de verantwoordelijkheid voor data + recovery bij de leverancier leggen is apert onjuist, en helpt je overigens ook niet ivm. de Europese Richtlijn.
Het is alsof je de brandverzekeraar verantwoordelijk maakt voor je meubeltjes + herstel na brand.
@Wiebe, helemaal met je eens.
Omdat op 85% van alle werkstations een Windows versie draait en mijn stelling gaat over ‘het gros’ van de cyberproblemen, heb ik het daarop toegespitst, maar je hebt natuurlijk helemaal gelijk.
In het land waar iemand wel een schadevergoeding krijgt toegewezen van de rechter, als zijn hond verdrinkt in de wasmachine, omdat de gebruiker hem daarin dacht te kunnen schoonmaken (???), daar helpt Microsoft met zijn Windows in feite al jaren ongestraft criminelen.
Op http://g4b.nl/windows-helpt-de-crimineel-en-komt-daar-mee-weg/ heb ik daar gisteren een post over geschreven, die – als men het aandurft – binnenkort ook in kranten gaat verschijnen.
Ben best benieuwd wat jij als absolute top-expert op het gebied van cyber-security van die post vindt.
@Westerhof : ‘richtlijn’ moet natuurlijk zijn ‘verordening’. Mea culpa!
@Leen
1. Mijn claim is, dat HET GROS van alle cyber security problemen zou zijn opgelost als Windows niet meer gebruikt zou worden op werkstations en servers.
2. Een Microsoft-basher? Het gaat hier om een bedrijf dat al 27 jaar lang geen verantwoordelijkheid neemt voor de problemen, die ontstaan door het gebruik van zijn software door eenvoudige gebruikers en dat daar ook mee wegkomt, omdat geen overheid het blijkbaar aandurft om het in rechte aan te spreken.
De cryptolocker met zijn chantage is een wel heel eenvoudig voorbeeld, maar als ik aanneem, dat de mailserver van de Democratische partij door security experts was afgeschermd, dan wordt de aard van de problematiek wel heel schrijnend duidelijk. Toch?
3. Het ene ‘vulnerable’ is het andere niet. Daarnaast doet het niets af aan mijn claim.
@(anoniem):
Kern van mijn betoog is, dat een leverancier verantwoordelijk zou moeten zijn voor de problemen, die hij had kunnen voorkomen. Als een Chromebook van Google WEL zo kan worden opgeleverd, dat het openen van een e-mail of het klikken op een bijlage NOOIT kan leiden tot een geïnfecteerd werkstation, waarom zouden we dat dan niet mogen vragen van Notebooks die draaien op Windows?
@Willem: reagerend op je 2de punt, geen enkel bedrijf neemt die verantwoordelijkheid, maar men voelt zich wel verantwoordelijk voor het voorkomen dan wel oplossen van kwetsbaarheden. Veel bedrijven nemen de moeite niet om de maatregelen die worden geadviseerd door te voeren.
Daarnaast is het aandeel Chromebook kennelijk zo klein, dat het nog geen target is. Niets is 100% veilig te maken, maar we moeten er wel naar streven.
Zomaar roepen dat b.v. Microsoft dat niet doet, noem ik bashen, omdat het geen recht doet aan de feiten.