Uit internationaal onderzoek van Intel Security en het Amerikaanse Center for Strategic and International Studies (CSIS) blijkt dat een tekort aan cybersecurityprofessionals organisaties en landen kwetsbaar maakt. Dus hoe vind je dergelijke specialisten en vervolgens, hoe behoud je ze? Vragen waar de securityexperts van Computable wel een mening over hebben.
Het grootste probleem met cybersecurity in Nederland is volgens Gert Jan Timmerman, hoofd kenniscentrum bij Info Support, dat informaticus of softwarebouwer geen beschermd beroep is. ‘Iedereen mag, ongeacht opleiding of achtergrond, software bouwen. Dat heeft tot gevolg dat er naast goed opgeleide informatici, die weten wat ze wel en niet kunnen doen en weten waar de risico’s zitten, ook heel veel mensen software bouwen die dat niet weten. Resultaat hiervan is dat je er nooit vanuit kunt gaan dat gebouwde software aan bepaalde basis-securityregels voldoet en een bepaald minimaal veiligheidsniveau heeft.’
Als je in Nederland elektrische systemen wilt onderhouden of aanleggen, heb je diploma’s nodig. Die regels zijn ingesteld vanwege de veiligheid. Hetzelfde geldt als je gaskachels wilt installeren. Timmerman: ‘We zijn allemaal blij dat die regels er zijn, want anders zouden er veel vaker huizen de lucht in vliegen of mensen worden geëlektrocuteerd. In de informatica hebben we die regels niet en dus kun je niet uitgaan van een basis-veiligheidsniveau. Vandaar dat er dagelijks informatielekken worden ontdekt en vertrouwelijke gegevens worden gestolen. Willen we dit verbeteren dan moeten we beginnen met regelgeving die bepaalt dat niet iedereen zomaar software mag bouwen en opleveren.’
Working on the job
Fred Streefland, it-securitymanager bij LeaseWeb, kan zich wel hierin vinden, maar merkt wel dat bepaalde vaardigheden schaars zijn onder cybersecurityprofessionals. ‘Neem bijvoorbeeld de combinatie van echte technische kennis en business requirements. De cybersecurityprofessionals zijn meestal of technisch of ‘business’, maar zelden hebben zij echt verstand van beide. Wat minimaal nodig is in een beginnersfunctie is basiskennis over it, netwerken en de dreigingsontwikkelingen. De meest effectieve manier om cybersecurityvaardigheden te werven is working on the job bij een chief information security officer (ciso) of een securityteam in een bedrijf.’
Benodigde vaardigheden zijn volgens Christiaan Ottow, securitycoach bij Computest, sterk afhankelijk van de rol: ‘Er bestaat niet zoiets als ‘de cybersecurityprofessional’. Maar over het algemeen zijn technische securityvaardigheden schaars onder cybersecurityprofessionals. Vaardigheden om op een technisch niveau securitymaatregelen te evalueren en omzeilen, dezelfde vaardigheden die door criminele hackers worden gebruikt, zijn in te lage mate aanwezig. Met name waar het gaat om het begrijpen hoe applicaties gebouwd worden, door zelf ook te kunnen programmeren op redelijk niveau.’
Werkelijke impact inschatten
‘Technisch beschouwd kunnen ervaren professionals ontzettend goed werk leveren’, vervolgt Jeroen Renard, corporate security officer bij de Odin Groep. ‘Maar het inschatten van de werkelijke impact van geconstateerde security-issues blijft lastig, omdat dit moet gebeuren op basis van een risicoanalyse, waarin ook de aard van de organisatie en zijn dienstverlening moeten worden meegenomen. Daar zijn wel methodieken voor, die meestal goed worden ingezet, maar ze zijn toch niet altijd zo vormgegeven dat vermeende kwetsbaarheden ook goed worden gekwalificeerd. Naast goede professionals op het gebied van cybersecurity is er ook een legioen aan mensen met andere vaardigheden. Ik denk bijvoorbeeld aan pentesters of experts in het gebruik van specifieke tooling of procesmatige beoordeling. Het goed op elkaar laten aansluiten van deze verschillende expertisegebieden kan lastig zijn.’
Maar wat is er dan minimaal nodig om een beginnersfunctie in de cybersecurity te kunnen invullen? André Koot, lead iam en securityconsultant bij Nixu, meent dat de belangrijkste competentie voor een beginnersfunctie, dezelfde competentie is als voor een ervaren professional: nieuwsgierigheid. ‘Als je security alleen als een vak ziet, dan heb je misschien het verkeerde vak gekozen. Dan zal je gelukkig worden als een beheerder of auditor, maar een goede cybersecurity professional zal je niet worden. Je moet nieuwsgierig zijn om incidenten en problemen op te lossen; nieuwsgierig naar de oorzaak, nieuwsgierig naar de veroorzaker en nieuwsgierig naar de aanleiding. En je moet nieuwsgierig zijn naar wat er nog meer gebeurt, naar wat je niet ziet. Je moet dan ook passie voor security hebben en je moet het leuk vinden.’
Natuurlijk proces
Nee, dat kun je niet leren, meent Koot, maar, misschien kunnen trainingen en certificeringen je wel nieuwsgierig maken naar het vak. ‘Daarnaast is het ook de vraag of (en waarin) jij je wilt specialiseren. Of wil je een generalist zijn? Meestal is dit een natuurlijk proces, je bent een specialist (ontwikkelaar, beheerder, tester of hebt een business-rol) en wordt security-bewust. Iemand met een technische achtergrond zal zich dan vanuit zijn achtergrond en kennis ontwikkelen. Bij specialisatie heb je vakgerichte basiskennis nodig, die handig is voordat je het cybersecurity-label verkrijgt. Een generalist moet van alles wat weten en vooral de samenhangen begrijpen. Niemand weet alles, maar een generalist zal overal iets van af moeten weten. Maar ook een specialist zal over de grenzen van zijn kennisbereik heen moeten kijken als hij zich wil onderscheiden.’
Volgens Rob van der Veer, principal consultant bij de Software Improvement Group (SIG), is er met name onvoldoende kennis over de basisprincipes voor het ontwikkelen van veilige software. ‘Als je goede cybersecurityvaardigheden wilt werven, moet je je afvragen of je ze bij deze schaarste niet beter kunt inhuren. Opleidingsprogramma’s besteden traditioneel weinig aandacht aan hoe je software maakt die de boze buitenwereld kan weerstaan. Het gaat toch vaak om iets werkend te krijgen.’ Het is volgens hem dan ook lastig om cybersecurityprofessionals te behouden voor een orfganisatie. ‘Belangrijke wensen van securityprofessionals zijn variatie, erkenning, uitdaging en vrijheid, maar nog belangrijker is om te anticiperen op doorstroom en de kennis te verankeren in beleid en in de hoofden van de rest van de organisatie.’
Ervaring is meest effectief
Lex Borger, consultant information security bij i-to-i, meent dat vaardigheden als technische kwetsbaarheidanalyse en forensisch onderzoek schaars zijn onder cybersecurityprofessionals. Ervaring ziet hij als de meest effectieve manier om cybersecurityvaardigheden te werven. ‘En dan met name ervaring in netwerksecurity, software engineering, kwetsbaarheidanalyse en ethical hacking. Bij een cybersecuritybaan zie je dan ook vaak instroom vanuit netwerksecurity, software engineering, securitymanagement en doorstroom op basis van ervaring. Uitstroom vindt plaats naar vele ba/ict-functies en management.’
Borger meent dat opleidingsprogramma’s (school of zakelijk) bijdragen aan het klaarstomen van cybersecurityprofessionals voor de industrie. ‘Er zijn een paar instituten die zich richten op cybersecurity op hoger niveau, zoals HSD (The Hague Security Delta), de technische universiteiten, Haagse Hogeschool, Radboud Universiteit, Vrije Universiteit van Amsterdam. Opleidingen afstemmen op beroepsprofielen kunnen hierbij helpen. Het PvIB neemt hier een voortrekkersrol in.’
Technische diepgang ontbreekt
Ottow meent dat de meeste opleidingsprogramma’s zich nu richten op de ‘zachte’ kant richten van cybersecurity: risk management, organisatieprocessen en dergelijke. ‘Dat is nodig, maar de technische diepgang ontbreekt behoorlijk in dergelijke opleidingen. Op bepaalde cybersecurityfuncties kan je beter instromen als programmeur of vanuit een andere it-functie dan vanuit zo’n cybersecurityopleiding.’
Volgens Renard wordt binnen technische opleidingen een basis gelegd door te werken met securitytooling, waar studenten in het bedrijfsleven mee verder kunnen. ‘Maar uiteindelijk is het nu nog vaak de werknemer zelf die zijn opleidingsplan bepaalt. Werkgevers hebben daarvoor vaak niet genoeg inzicht in de materie. Het is daarom goed om binnen interne carrièrepaden een structuur aan te brengen voor cybersecurityopleidingen. Investeringen in opleiding op het gebied van cybersecurity leiden dan zowel voor het bedrijf als voor de betrokken medewerker tot betere resultaten. En bovendien, als de verworven kennis en kunde in de praktijk niet wordt gebruikt, dan verwatert die ook weer snel.’
Meest effectieve manier
Volgens Ad Koolen, overheidscryptospecialist bij Compumatica, ontbreken er vaardigheden als softwareontwikkeling en hardwareproductie van internetsecurityproducten onder cybersecurityprofessionals. ‘Er zijn te weinig mensen met kennis van en ervaring met zaken als e-mail encryptietechnieken en toepassingen, certificaten, host security modules (hsm’s) en hun toepassing en het werken en programmeren op besturingssystemen Linux en CentOS.’
Wat vervolgens de meest effectieve manier is om cybersecurityvaardigheden te werven, weet Koolen wel: wegkopen bij andere bedrijven of op projectbasis inhuren van andere bedrijven. ‘Momenteel heb ik bijvoorbeeld een project waarbij een Microsoft CA-omgeving gebouwd moet worden met een aankoppeling op hsm voor veilige sleutelverwerking. De Microsoft CA-specialist is wel gevonden, maar van de drie kandidaten had er niet één ervaring met hsm’s voor dit doel. Wij nemen mensen aan met minimale vaardigheden die vervolgens over langere periode de kennis en vaardigheden moeten opdoen om volledig inzetbaar te zijn. Probleem is dan vaak dat als ze eenmaal die kennis en vaardigheden bezitten, waardevol zijn geworden voor de markt en gevoelig zijn om weggekocht te worden zodat we weer opnieuw kunnen beginnen. Dus naast het aannemen van geschikte mensen is boeien en binden ook belangrijk.’
Salaris niet belangrijkste
Opleidingsprogramma’s zijn volgens Koolen heel belangrijk om cybersecurityprofessionals klaar te stomen voor de industrie. ‘Je krijgt nooit je gewenste skills van schoolverlaters die net binnenkomen. Boeien en binden is belangrijk om je mensen vast te houden en door te laten groeien naar de zwaardere functies. Wat heb je als bedrijf te bieden, en dan spreek ik niet alleen van een goed salaris? Het salaris is niet het belangrijkste voor deze mensen. Je bedrijf wordt interessant als je interessante dingen doet, je medewerkers kunt uitdagen, ‘mooie’ klanten hebt, een prettige werkomgeving biedt, goede trainings- en opleidingsprogramma faciliteert, doorgroeimogelijkheden creëert, et cetera. Het ontbreken van dergelijke factoren zijn de belangrijkste redenen van cybersecurityprofessionals om een organisatie te verlaten.’
Afhankelijk van de functie, voor een beheerder van een firewall of een medewerker van de eerstelijns supportdesk van een cybersecuritybedrijf, zal dit volgens Koolen anders zijn dan de kennis en ervaring die een cyberforensic onderzoek vereist. ‘Natuurlijk is het ook afhankelijk van het gevraagde niveau: junior, medior, senior. Dit dient per functie en schaal te worden uitgewerkt. Bedrijven die zorg besteden aan personeel hebben een groeipad uitgestippeld zodat een nieuwe medewerker toekomstperspectief heeft. In de meeste gevallen is het aanvangsniveau lager dan het beoogde doelniveau. Hiermee hou je het voor de medewerker interessant genoeg om hem te binden aan je bedrijf. Naast een initiële opleiding zie ik op onderwijsgebied kansen voor post-initiële vervolgopleidingen(avond- of deeltijdopleiding). In het loopbaanpatroon doen bedrijven er verstandig aan om voldoende mogelijkheden te bieden in de vorm van korte cursussen, workshops, on the job leren, masterclasses, seminars, remote leren en in-company training.’
Meedraaien in soc
Jan van der Sluis, client security principal bij Hewlett Packard Enterprise, meent dat het onder cybersecurityprofessionals nog weleens ontbreekt aan kennis rond actuele bedrijfsvoering en de communicatie naar de beslissers en de beleidsmakers. ‘Veelal ligt dit thema nog teveel op een technisch niveau en de link naar het reactie- of herstelvermogen van betreffende ondernemingen of instellingen zal helder verwoord moeten worden: wat te doen, wat zijn de risico’s, wat gaat het kosten, wie gaat het oplossen? De meest effectieve manier om zulke vaardigheden te werven is om mee te draaien met een security operations center (soc). Zo zie je hoeveel aanvallen er wereldwijd ontstaan, de overdracht naar de autoriteiten en misschien de media, de gevolgtrekkingen en reacties, communicatie naar directe afnemers van producten en diensten en dergelijke. Gelukkig komen er de laatste tijd ook simulaties op de markt die hier een goed beeld van geven. Ook sommige leergangen in het mbo en hbo zijn met lespakketten gestart.’
Er moet volgens Van der Sluis vaak veel tijd en energie worden gestoken om een beginnersfunctie vorm te geven, dit gebeurt bij Hewlett Packard Enterprise bijvoorbeeld bij stagiairs van hogescholen. Ze draaien mee in fictieve projecten en krijgen instructies van doorgewinterde cybersecurityexperts. ‘Enige ervaring met het fenomeen hacken, het lezen en kunnen interpreteren van logfiles, weten hoe een incident management systeem werkt en kennis van beschikbare tooling zijn altijd een goed uitgangspunt. En dan natuurlijk goede kennis van de Engelse taal, en communicatieve vaardigheden. Ik zie dat er voorzichtig gestart wordt bij technische georiënteerde opleidingen met het aanbieden van cybersecurityleergangen. Daarnaast zal de industrie – dus niet alleen de it-tak – bij moeten dragen aan de vormgeving van deze leergang binnen een bepaalde sector. Binnen de keten ‘werk en inkomen’ – het CIP – is hiermee gestart; andere sectoren zullen moeten volgen voor maximaal resultaat.’
Biedt wat je belooft
Om vervolgens cybersecurityprofessionals te behouden is het volgens Renard noodzakelijk dat je als werkgever afwisselend en uitdagend werk binnen het vakgebied hebt en houdt. ‘Neem mensen aan die daadwerkelijk kennis bieden die je wilt gaan gebruiken. Zeker in de security kun je werknemers snel demotiveren als je ze niet kan bieden wat ze beloofd is tijdens het wervingsproces.’
Koot kan zich in de afwisseling en uitdaging vinden. ‘Als een professional lang hetzelfde werk in dezelfde omgeving uitvoert, dan werkt dat niet motiverend. Ook vermindert de toegevoegde waarde van een externe kracht naarmate hij langer op een opdracht zit. Het is toch de bredere en ‘buiten de deur’-ervaring die haar of hem een extra waarde geeft.’
Rouleringssysteem
Om die reden werken ze bij Nixu aan een rouleringssysteem. Koot: ‘Mensen moeten periodiek wisselen, om niet af te stompen, maar ook om nieuwe kennis op te doen. Wij hopen om onze klanten ook van die noodzaak te overtuigen. Helaas is de markt op dit moment nog niet zo volwassen. De inkoopprocessen zijn zozeer genormaliseerd, dat er personen met een cv met certificeringen worden gevraagd. Er wordt niet gekeken naar intrinsieke kwaliteit van de aanbieder. Zolang we nog werken in die constructie is het aan professionals bieden van een wisselende uitdagende omgevingen nauwelijks haalbaar. Wij pleiten ervoor om inkoopcontracten zo te sluiten dat aanbiedende partijen instaan voor de kwaliteit van de professionals. Dat is leuker en spannender. Maar ja, inkopers zijn net gewend aan CEH, CISSP, CISA, OSCP et cetera. Het is een uitdaging om dat te laten veranderen…’
Meer informatie
Lees ook het nieuws Bedrijfsleven ontbeert beveiligingskennis en het achtergrondartikel ‘Tekort in cybersecurity bedreigt ook Nederland’.
