Wereldwijd klagen chief information security officers (ciso’s) al langere tijd over het feit dat bij een merendeel van de sollicitanten de security-vaardigheden ontbreken die nodig zijn voor belangrijke security-posities. Wat we hieraan kunnen doen? De beste methode is ze zelf opleiden!
Securityprofessionals zijn er in verschillende soorten en maten. Voor veel van hen is het werk een passie. Ze zijn er dag en nacht mee bezig en kunnen zich niet voorstellen dat ze iets anders zouden doen. Zij verwachten daardoor vaak dat nieuwe werknemers hetzelfde kennisniveau hebben als zijzelf hadden op die leeftijd. Maar dit is geen realistische verwachting.
Want eerlijk is eerlijk: de universiteit of hogeschool bereidt u niet volledig voor op het echte werk. Studenten worden overspoeld met een schat aan kennis, horen ervaringen uit tweede hand en doen – als ze geluk hebben – hun eerste ervaringen in de praktijk op. Maar het bereidt ze niet voor op hoe ze moeten handelen wanneer de druk hoog is en de situatie complex. Zonder de littekens die ontstaan door het maken van fouten (en hiervan leren) zal kennis nooit worden omgezet in wijsheid.
Vaardigheden intern ontwikkelen
De vraag is hoe ciso’s het tekort aan vaardigheden kunnen oplossen. Op de korte termijn is er helaas geen oplossing. We zullen moeten accepteren dat pas-afgestudeerden niet in staat zijn om direct op hun eerste werkdag complexe securityproblemen adequaat op te lossen. Maar daarin verschilt de security niet van andere werkterreinen.
Er zijn twee mogelijke oplossingen, maar beide zorgen er niet voor dat alles van de ene op de andere dag is opgelost. De eerste oplossing is talentvolle starters aannemen en hen opleiden zodat ze op den duur senior securityprofessional worden. De tweede oplossing is om talenten uit vergelijkbare sectoren aan te nemen en ze te trainen in securityvaardigheden en -processen.
De angst dat werknemers die intern opgeleid worden zullen vertrekken voor een beter betaalde baan is niet aan de orde. Het alternatief is dan namelijk niet opleiden zodat werknemers nooit zullen vertrekken. Bovendien, werknemers die de kans krijgen om zich te ontwikkelen zullen waarschijnlijk loyaler aan hun werkgever zijn en niet bij de eerste de beste aanbieding de deur uitlopen. Bedenk wel dat werknemers die zich nieuwe vaardigheden eigen maken, dit ook in hun functie, verantwoordelijkheden en salaris terug willen zien.
Haal voordeel uit kennisoverdracht
Een opleiding hoeft niet de vorm te hebben van een collegereeks of een bezoek aan een hackerconferentie. Training krijgen van collega’s heeft het voordeel dat senior werknemers de kans krijgen om hun vaardigheden te etaleren en tegelijkertijd over te dragen aan minder ervaren collega’s. Door regelmatig, bijvoorbeeld wekelijks, dergelijke sessies te organiseren, wordt het vaardigheidsniveau van het hele securityteam verhoogd. Vooral wanneer er actuele voorbeelden besproken worden.
Ook het aannemen van werknemers uit aanpalende sectoren heeft voordelen doordat er nieuwe kennis beschikbaar komt. Neem bijvoorbeeld de constante behoefte aan securitymedewerkers die kunnen schrijven: het is eenvoudiger om iemand die al kan schrijven iets te leren over security, dan een securityprofessional te leren schrijven. Door een goede schrijver te koppelen aan een senior security professional wordt voor beiden een ideale omgeving gecreëerd om nieuwe vaardigheden op te doen.
Eén van de lastigste te vinden combinaties van vaardigheden op de arbeidsmarkt is die van security en datawetenschap. Er zijn simpelweg te weinig personen in de wereld die een hoog vaardigheidsniveau hebben in beide disciplines. En degenen die dit wel hebben, stellen salariseisen die voor de meeste bedrijven onhaalbaar zijn. Het enige dat er voor deze organisaties opzit, is het opleiden in één van de twee vaardigheden van een kandidaat die de andere vaardigheid bezit.
Opleiden laatste redmiddel
We lopen achter in security, het valt niet te ontkennen. Vrijwel alle gevaren waar we ongeveer tien jaar geleden het management al voor waarschuwden, zijn werkelijkheid geworden. Omdat security niet altijd als topprioriteit werd beschouwd, is er nu een enorm arbeidsmarkttekort. En omdat geen opleiding studenten optimaal voorbereid op wat er in het veld gevraagd wordt, is opleiden de enige oplossing voor dit probleem. Daarmee is opleiden ons laatste redmiddel.
Martin McKeay, security-specialist bij Akamai
Eens met de stelling en het gaat om de beweging. Opleiden is in mijn beleving groeien hetgeen een verandering/consequentie teweeg moet brengen in competenties. We willen dat de mensen anderen dingen gaan doen of zaken anders/beter gaan doen.
Opleiden van mensen zit hem vooral in de activering van. Daarna komt een belangrijk onderdeel, namelijk het laten bewegen van de mensen op basis van het geleerde wat resulteert in de consequentie van het leren. In feite moeten we als organisaties leren leren. Train de trainer programma’s zijn hierbij ook belangrijk zodat de educatie een permanent proces wordt en standhoudt.
Belangrijkste is dat we werken aan de benodigde competenties welke nodig zijn om security op een adequate wijze in te richten.
Elementen binnen competenties zijn:
– Kennis
– Ervaring
– Soft Skills
– Talent en passie
Deze elementen dienen continue ontwikkeld te worden binnen organisaties met in eerste instantie aandacht voor de gewenste beweging waar uiteindelijk resultaten uit voort gaan vloeien. Alleen op resultaat focussen bij competentieontwikkeling gaat minder opleveren.