Omdat cybercriminelen voor hun oplichterijpraktijken steeds geraffineerder te werk gaan, moet je als organisatie voortdurend werk blijven maken van cybersecurity. Van het verhogen van de security-awareness onder je medewerkers tot het up-to-date houden van je technische beveiligingsschil.
Wat vraagt dit van de moderne securityspecialist? Welke skills zijn nodig om bedrijfssystemen en -netwerken veilig te houden, nu én in de toekomst?
- Skill #1: saas-kennis
Het traditionele beeld van cybersecurity is dat van een slotgracht om een kasteel, als lastig te nemen horde voor indringers van buitenaf. Nu cloud computing dominant is en data niet meer ‘leven’ op de eigen infrastructuur, gaan veel bedrijven en organisaties er gemakshalve van uit dat de beveiliging door de leverancier van de betreffende saas-applicatie wordt geregeld.
Zolang je als organisatie gebruikmaakt van de oorspronkelijke standaardoplossing van de leverancier, zit je door de bank genomen wel goed. Maar de meeste organisaties passen de standaardconfiguratie van hun saas-applicaties aan hun eigen wensen aan. Juist dan ontstaan vaak zwakke plekken in de beveiligingsschil, waardoor kwaadwillenden hun slag kunnen slaan. Een voorbeeld is het complete supportsysteem van een bedrijf dat plat komt te liggen doordat het ticketingsysteem van buitenaf wordt bestookt met e-mails. Of het identitymanagementplatform dat wordt gehackt, waardoor meerdere saas-applicaties onbereikbaar worden.
Het zijn problemen waar de traditionele securityconsultant, met zijn kennis van firewalls, anti-malware en netwerkbeveiliging, vaak maar weinig tegen begint.
Des te belangrijker dus dat je weet hoe een bepaalde saas-applicatie in elkaar steekt en waar de zwakke plekken zitten. Zo bezien wordt de securityconsultant in de toekomst meer en meer een specialist, met diepgaande kennis van specifieke saas-applicaties en de bijbehorende workflows en valkuilen. Een voorbeeld: Salesforce wordt nu in zoveel verschillende branches gebruikt, voor zoveel verschillende toepassingen, dat een aparte Salesforce securityexpert op een gegeven moment geen overbodige luxe meer is.
- Skill #2: kennis van machine learning
Toen het elektronische patiëntendossier van reallifesoapster Samantha ‘Barbie’ de Jong wel érg vaak werd ingekeken, gingen er in het securitysysteem van het desbetreffende ziekenhuis alarmbellen af. Iedere medewerker die het dossier ongeoorloofd had ingekeken, werd flink op de vingers getikt.
Lag binnen de bestrijding van cybercrime de nadruk lange tijd op het beschermen van gevoelige data en infrastructuur en op het afwenden van aanvallen, inmiddels wint de inzet van data-science als wapen terrein en worden detectie en monitoring steeds belangrijker. Een ongebruikelijke hoeveelheid downloads, handelingen binnen het systeem die afwijken van het ‘normale’ gedrag van een gebruiker: steeds verfijndere machine learning-technieken zorgen ervoor dat afwijkingen (die mogelijk duiden op malware, kwaadwillende medewerkers of verdachte netwerkactiviteit) steeds sneller zijn op te merken en, indien nodig, te neutraliseren.
In die context wordt de securityspecialist meer en meer een data-analist, die kijkt naar gedrag en naar de voorspelbaarheid hiervan. Hij of zij kan omgaan met voorspellende, lerende datamodellen en heeft kennis op het snijvlak van analytics, business-intelligence en data-science. Op die manier weet de moderne securityspecialist steeds sneller en beter te beoordelen of er al dan niet sprake is van verdachte activiteit.
- Skill #3: can do-mentaliteit
De traditionele securityspecialist is doorgaans uitstekend in staat om aan te geven wat er niet kan of wenselijk is. Het gevolg: een toename van het gebruik van schaduw-it – waarbij medewerkers hun eigen, niet-goedgekeurde en gecontroleerde applicaties gaan gebruiken – met alle beveiligingsrisico’s van dien.
De moderne securityspecialist onderkent dit gevaar en snapt als geen ander dat de mens de zwakste schakel is binnen de totale beveiligingsketen. Van ‘nee’ naar ‘nee, maar’: de securityspecialist van de toekomst daalt steeds vaker af vanuit zijn of haar ivoren toren, is flexibel, kan omgaan met feedback, heeft oor en oog voor de behoeftes van de gebruiker, en denkt actief mee over alternatieven om de business optimaal te faciliteren zonder risico’s te nemen.
Tegelijkertijd staat de securityspecialist sterk in zijn of haar schoenen en stelt hij of zij waar nodig duidelijke kaders – want ook in de toekomst zal niet álles kunnen.
- Skill #4: leergierig en breed geïnteresseerd
Je bent afgestudeerd in information security management en staat te popelen om cybercriminelen de pas af te snijden. Maar om als securityconsultant écht van waarde te kunnen zijn, moet je eerst de nodige meters in het veld maken. Nu de gevaren en dreigingen steeds talrijker zijn en elkaar steeds sneller opvolgen, worden leergierigheid en een brede interesse steeds belangrijker. De securityspecialist van de toekomst is een autodidact, die kennis als een spons opzuigt.
Dat betekent óók dat pure technische skills relatief minder belangrijk worden ten opzichte van zogenoemde soft skills. Iemand die gezondheidswetenschappen, criminologie of bedrijfskunde heeft gestudeerd en vanuit die achtergrond de overstap maakt naar it-security: het is allang geen uitzondering meer. Gezien de snelheid waarmee het vakgebied zich ontwikkelt, zijn gretigheid en intrinsieke motivatie belangrijker dan ooit.
Welke skills vind jij dat de security-specialist van de toekomst moet hebben? Laat het hieronder weten.
(Met dank aan Joep Kremer, Managing Security Consultant bij Ilionx.)
– hoop bullshit kunnen accepteren
– “autodidact, die kennis als een spons opzuigt” 🙂
– werken zonder mandaat
– wel verantwoording moeten nemen als het toch mis gaat
– werken voor een prikkie