‘Freelance ciso moet zich specialiseren’

Dat er een tekort aan ict’ers is, is algemeen bekend. Ook de chief information security officer (ciso) ligt niet voor het oprapen. De ciso's kiezen gezien de krapte op de arbeidsmarkt er vaak voor om als freelancer aan de slag te gaan. Hierbij is het wel essentieel dat zij zich specialiseren om in te spelen op de noden van de organisatie.

Dat vertelt Pim Baeten, recruitment consultant bij Computer Futures tijdens het securitydebat in het Computable Café tijdens de gecombineerde ict-vakbeurzen Infosecurity.nl, Data & Cloud Expo in Jaarbeurs Utrecht.

Baeten meent dat organisaties liever hun ciso vast in dienst nemen. ‘Het idee van die functie is om een beleid voor de komende drie tot vijf jaar uit te werken. Het is dan ook wel handig als zij in die periode werkzaam blijven binnen de organisatie om het beleid ook daadwerkelijk uit te voeren. Helaas is dit niet altijd realiteit. Zeker gezien de krapte in de arbeidsmarkt, kiezen ciso’s steeds vaker ervoor om freelancer aan de slag te gaan.’

Maar ook die freelancers zijn schaars, voegt Baeten eraan toe. ‘De pool van freelancers beschikt over zo’n vijfhonderd securityspecialisten. Meestal staat 5 tot 10 procent open voor een nieuwe opdracht. Op dit moment, met de krapte in de arbeidsmarkt, is dat zelfs minder dan 5 procent. En zij kunnen vaak kiezen uit meerdere opdrachten. Bedrijven moeten dus echt hun best doen om zichzelf aantrekkelijk te maken om de juiste mensen binnen te houden. Dit kan voornamelijk door goede (secundaire) arbeidsvoorwaarden te bieden, zoals flexibele werktijden, thuiswerken en een gevarieerd takenpakket met voldoende verantwoordelijkheden.’

Drie tot vijf jaar

Naast Baeten zit ook Henk Bronk op het podium tijdens het securitydebat. Hij is actief als freelance securityexpert, momenteel bij een automotive-bedrijf. ‘Freelancen moet bij je karakter passen. Meestal duurt een klus als ciso zo’n drie jaar. In die periode kun je de klus klaren en is de organisatie geholpen. Bovendien zijn de medewerkers dan ook wel klaar met je’, voegt hij er lachend aan toe. 
‘Vaak is je eerste taak om de ict binnen een organisatie op orde te krijgen. Daarna kun je pas aan de slag gaan met security’, vervolgt Bronk. ‘Dat gebeurt vaak in samenspraak met de cio en moet aansluiten bij de ambities van een bedrijf. Voor het opstellen van dit beleid worden maximaal honderd dagen uitgetrokken. Met de juiste kennis en ervaring is dat zeker haalbaar.’

Wat trekt Bronk over de streep om voor een klus te kiezen? ‘Ik wil graag het verschil maken voor een organisatie. Als ik dat kan realiseren, ben ik al snel te paaien.’ Hij is wel van mening dat freelancers zich moeten specialiseren. ‘Elke organisatie is anders en dat vraagt om maatwerk, ook van de ciso. Wanneer we te veel generalisten hebben, gaat het de verkeerde kant op.’

Kunstmatige intelligentie

Een hot topic binnen security is de inzet van kunstmatige intelligentie (ai) en machine learning (ml). Baeten waarschuwt dat je hier niet lukraak mee aan de slag moet gaan, maar eerst inzichtelijk moet maken wat het kan opleveren.

‘In potentie kan ai standaardwerkzaamheden automatiseren en verbeteren’, vertelt Baeten. ‘Dit kan je werk een stuk makkelijker maken en bovendien een forse tijdsbesparing opleveren. Echter kan ai ook nadelen hebben, wanneer het algoritme bijvoorbeeld verkeerde uitkomsten gaat geven. Het is daarom van belang dat het algoritme herleidbaar is en dat je eventuele fouten kan opsporen en oplossen.’ 

Bryan Beekhof, technical lead in security bij Telindus, voegt hieraan toe dat bedrijven hun algoritme moeten trainen op basis van hun eigen data, om op deze manier de ai af te stemmen op de organisatie.’ Hiermee verwacht hij zo veel mogelijk ruis en verkeerde uitkomsten te voorkomen. 

Het vinden van die juiste ai-personeel is echter nog wel een uitdaging. Baeten: ‘Ai zit nog in de beginfase en het onderwijs hiervoor komt nu pas tot stand. Het zijn dan ook vooral schoolverlaters die een rol met ai vervullen, wat zorgt tussen een gat van wat er gezocht wordt en wat er beschikbaar is.’