Kwalitatief tekort aan cyber security professionals dreigt
De komende jaren zal de vraag naar cyber security professionals in Nederland toenemen, waardoor er vooral een kwalitatief tekort dreigt, zo blijkt uit onderzoek (pdf) dat is uitgevoerd in opdracht van het Wetenschappelijk Onderzoeks- en Documentatie Centrum (WODC) van het ministerie van Veiligheid en Justitie. Volgens de onderzoekers is een tekort aan professionals een grote kwetsbaarheid voor de weerbaarheid van de vitale sectoren.
In de "Nationale Cybersecurity Strategie 2" wordt benadrukt dat het Kabinet over voldoende cybersecuritykennis en -kunde wil beschikken. Daarom is het belangrijk dat er op de korte en op de (middel)lange termijn evenwicht is tussen vraag en aanbod op de arbeidsmarkt voor professionals binnen de publieke en private organisaties. De Nationaal Coördinator Terrorisme en Veiligheid (NCTV) wilde dan ook inzicht krijgen in de aard en omvang van een (eventueel) tekort aan deze professionals.
De onderzoekers deden vacature-onderzoek, hadden expertmeetings en hielden interviews. Aan de hand daarvan stellen ze dat de vraag in Nederland naar cyber security professionals zal stijgen. De verwachte stijging van de vraag geldt voor zowel technische als niet-technische functies. Wel zal door de digitalisering en automatisering van werkzaamheden de vraag naar MBO-opgeleiden binnen de ICT afnemen. De vraag naar hoger opgeleiden daarentegen zal toenemen. Voor technisch dominante functies waarbij cybersecurity een onderdeel is wordt de grootste groei verwacht.
Voldoende professionals
Als het gaat om het aantal mensen om deze vacatures te vullen zijn er in principe voldoende professionals. Vorig jaar bleken er ruim voldoende deelnemers in een relevante vooropleiding te zitten. Tegelijkertijd leiden deze aantallen maar zeer beperkt tot instroom in cybersecurity-gerelateerde functies. Veel bredere HBO- en WO-opleidingen hebben cybersecurity maar beperkt in het programma ingebouwd en er zijn (nog) weinig specialistische cybersecurityopleidingen. Dit leidt ertoe dat studenten niet of pas relatief laat cybersecurity als optie meenemen in hun overwegingen ten aanzien van hun verdere studie of loopbaan.
"Er wordt dus een toename van de vraag naar cyber security professionals verwacht en het potentieel aan professionals is in principe voldoende. Tegelijkertijd moet echter worden geconstateerd dat functies moeilijk te vervullen zijn", concluderen de onderzoekers. Oorzaken hiervoor blijken gerelateerd aan kwalitatieve discrepanties en intransparanties op de arbeidsmarkt. "De opgave lijkt niet zozeer te zijn om meer mensen op te leiden, maar veeleer om hen tijdens hun opleiding te interesseren voor cybersecurity en voor banen in die sector." Op de korte termijn wordt er dan ook voor aansluitingsproblemen gewaarschuwd.
Dit weet ik uit eigen ervaring, want je kunt nog zoveel ervaring hebben, maar als je niet glad geschoren bent, kort haar en in pak loop, wordt je niet aangenomen. Ben al meerdere keren afgewezen op uiterlijk. Kennis genoeg
Dus zolang mensen nog steeds naar de buitenkant kijken ipv wat mensen kunnen, zal dit zo blijven...
TheYOSH
Dit weet ik uit eigen ervaring, want je kunt nog zoveel ervaring hebben, maar als je niet glad geschoren bent, kort haar en in pak loop, wordt je niet aangenomen. Ben al meerdere keren afgewezen op uiterlijk. Kennis genoeg
Dus zolang mensen nog steeds naar de buitenkant kijken ipv wat mensen kunnen, zal dit zo blijven...
TheYOSH
Kennelijk hebt u dus, wat het artikel noemt, een "aansluitingsprobleem".
Daarnaast snap ik het tekort ook wel. Werken in de informatiebeveiligingsbranche is nou niet altijd even bevredigend. Je inzet wordt gezien als overbodige ballast en de waardering voor je werk is dus laag. Zelf overweeg ik ook om wat anders te gaan doen. Begin langzamerhand wel klaar te zijn met informatiebeveiliging.
Er zijn 2 onderzoeksvragen gesteld. 1/ Is er nu dan wel een tekort aan kwalitatief/kwantatief mensen 2/ Hoe kunnen de tekorten worden opgelost. Dat de vragen tegelijkertijd gesteld worden geeft aan dat de eerste vraag niet gesteld is.
Conclusie 1 is wezenlijk het is meer een orgnisatievraagstuk met de verantwoordelijk in de boardroom niet bij een techneut.
Conclusie 4 is gebaseerd op vacatures (bescheiden) met de aanname dat het wel zal groeien. (indicaties).
Conclusie 5 neemt aan dat de groei zit (technisch dominant) in het deel dat de bedrijven graag offshoren/outsourcen
Conclusie 7 gaat uit van de bestaande aantallen in de opleidingen, maar neemt gemakshalve aan dat er mismatch is.
Conclusie 9 no 6 gezamenlijke verantwoordelijkheid gericht op bewustwording ......
Die laatste is een fraaie. Het is niet technisch en wordt op dit moment door falend management gefrustreerd (pag 60 onderzoek te oppervlakkig uitgewerkt op dat aspect)
Management Samenvatting:
Er zijn geen aavnullende acties voor security mensen nodig, die zijn er genoeg op de markt.
Er is beter opgeleid management nodig die cybersecurity op hoog niveau begrijpt en niet frustreerd. Dat is een ander transitiepad en ander aandachtsgebied voor de root-cause. Die conlusie slaat terug naar de opdrachtgever is mogelijk daarom vermeden op die ongewenste uitkomst.
De Amerikanen zoeken ze, de Belgen zoeken ze, iedereen zoekt ze. Die schaarste is misschien nog ergens goed voor.
En zolang het bedrijfsleven wel fatsoenlijk betaald helpt dit ook al niet echt.
- Schoolverlaters zijn vooral geïnteresseerd in het offensieve deel, lekker inbreken dus. Ze vergeten daarbij dat rapporteren en gesprekken met klanten dan ook een groot deel van de werkzaamheden uitmaken ;) Tevens is een bedrijf dat niet zelf security verkoopt vaak niet direct geholpen met iemand die alleen maar spul kapot wil maken. En dat je weet hoe je in moet breken wil helemaal nog niet zeggen dat je weet hoe je een probleem goed op moet lossen.
- HR afdelingen van bedrijven hebben geen idee hoe ze kandidaten moeten selecteren, welke punten op een CV nu van toepassing zijn op de vacature.
- Veel bedrijven zeggen wel dat ze actief bezig zijn met security, maar ze doen vooral compliancy. Lekker voldoen aan de wet en je ISO norm halen, en dan zit het wel snor. Stukje realiteit dat te maken heeft met o.a. de boetes die er gelden. Dat gaat dus door de nieuwe wetgevingen veranderen..en daarom zie je nu zo'n run op security professionals.
- Defensieve security is veel politiek. Heeft te maken met hoe een bedrijf investeert tegenover de ingeschatte risico's. Dit geeft een enorme druk op de schouders van de security professional omdat het vaak enorm lastig is om een probleem uit te drukken in geld. Zeker als je wat langer in het vak zit is dit iets waar je soms behoorlijk gefrustreerd van kan raken.
- Recruiters, sourcers, networkers ze vallen je constant lastig met vacatures die helemaal niet relevant zijn voor je interesse vlak of je ervaring. Net als een HR afdeling hebben ze geen idee waar ze het over hebben en hoe ze iemand moeten beoordelen op een match met de vacature.
- Een doos van 300K in het netwerk zetten lost niet automagisch je security problemen op. Ondanks dat leveranciers dat vaak wel beweren en bedrijven dat aannemen. Informatiebeveiligingstools zijn typisch van die "if you put shit into it, you get shit out of it"-apparaten. Om goed in te kunnen regelen moet een bedrijf eerst goed nadenken over wat ze nu precies willen. Er moet beleid gemaakt worden waarnaar je een engineer kan vertellen hoe het ingeregeld moet gaan worden. Je kan niet van 1 engineer verwachten dat hij in zijn eentje snapt hoe de complete infrastructuur werkt én dat hij de risico-inschattingen kan maken die nodig zijn om de classificaties juist te implementeren. En dat diezelfde engineer het daarna ook constant bij houdt en acteert op de bevindingen. Ook security mensen zelf vallen vaak in deze valkuil.
Dat is ook nooit anders geweest: De markt bestaat uit nietweters die "even snel" al hun beveiligingsproblemen opgelost willen zien en dat is ook precies waar deze keizerskleermakers zich op richten.
"If you're not part of the solution, there's good money to be made in prolonging the problem."
In dat laatste opzicht is deze aan de overheid leverende computerbranche niet anders dan alle andere aan de overheid leverende computerbranches. Overigens.
Zeer gevaarlijk dus, als mensen niet voldoende geïnformeerd/getraind zijn hiertegen.
- Schoolverlaters zijn vooral geïnteresseerd in het offensieve deel, lekker inbreken dus. Ze vergeten daarbij dat rapporteren en gesprekken met klanten dan ook een groot deel van de werkzaamheden uitmaken ;) Tevens is een bedrijf dat niet zelf security verkoopt vaak niet direct geholpen met iemand die alleen maar spul kapot wil maken. En dat je weet hoe je in moet breken wil helemaal nog niet zeggen dat je weet hoe je een probleem goed op moet lossen.
- HR afdelingen van bedrijven hebben geen idee hoe ze kandidaten moeten selecteren, welke punten op een CV nu van toepassing zijn op de vacature.
- Veel bedrijven zeggen wel dat ze actief bezig zijn met security, maar ze doen vooral compliancy. Lekker voldoen aan de wet en je ISO norm halen, en dan zit het wel snor. Stukje realiteit dat te maken heeft met o.a. de boetes die er gelden. Dat gaat dus door de nieuwe wetgevingen veranderen..en daarom zie je nu zo'n run op security professionals.
- Defensieve security is veel politiek. Heeft te maken met hoe een bedrijf investeert tegenover de ingeschatte risico's. Dit geeft een enorme druk op de schouders van de security professional omdat het vaak enorm lastig is om een probleem uit te drukken in geld. Zeker als je wat langer in het vak zit is dit iets waar je soms behoorlijk gefrustreerd van kan raken.
- Recruiters, sourcers, networkers ze vallen je constant lastig met vacatures die helemaal niet relevant zijn voor je interesse vlak of je ervaring. Net als een HR afdeling hebben ze geen idee waar ze het over hebben en hoe ze iemand moeten beoordelen op een match met de vacature.
- Een doos van 300K in het netwerk zetten lost niet automagisch je security problemen op. Ondanks dat leveranciers dat vaak wel beweren en bedrijven dat aannemen. Informatiebeveiligingstools zijn typisch van die "if you put shit into it, you get shit out of it"-apparaten. Om goed in te kunnen regelen moet een bedrijf eerst goed nadenken over wat ze nu precies willen. Er moet beleid gemaakt worden waarnaar je een engineer kan vertellen hoe het ingeregeld moet gaan worden. Je kan niet van 1 engineer verwachten dat hij in zijn eentje snapt hoe de complete infrastructuur werkt én dat hij de risico-inschattingen kan maken die nodig zijn om de classificaties juist te implementeren. En dat diezelfde engineer het daarna ook constant bij houdt en acteert op de bevindingen. Ook security mensen zelf vallen vaak in deze valkuil.
Snelle term: GiGo-kast of te wel "Garbage In - Garbage Out".
Er is geen enkele training bovendien die je op een effectieve en efficiënte manier leert omgaan met het inrichten van security architectuur, security management en risk management processen in organisaties op een business driven manier die inhoudelijk ook echt rekening houdt met moderne techniek. Veel van de achterliggende komt uit financiële audit methoden die onvoldoende geen rekening houden met de moderne operationele en technische werkelijkheid. Veel van de standaarden worden ook ontwikkeld door publieke en private organisaties die zelf een groot belang hebben bij de wijze waarop de standaard wordt ingericht. Daarmee heb je gelijk ook het grootste probleem te pakken. De grote 4 letter clubs willen geld verdienen met het verhuren van consultants. Echte technische security expertise heeft men niet of nauwelijks in de aantallen die commercieel interessant zijn. Dus richt je je aandacht op methoden waar je wel mensen voor kan leveren...Alleen leveren die methoden vaak qua technische risico mitigatie bar weinig op.
En dat is nou juist waar veel van het risico zit in een tijd dat de cybercriminelen letterlijk de oorlog aan het winnen zijn omdat men op kennis gebied VEEL verder is dan de meeste managers in organisaties. Het is alsof een moderne soldaat in een vliegend exoskelet met laser wapens het gevecht aan gaat met middeleeuwse soldaten. Af en toe raakt een pijl de moderne soldaat maar eigenlijk zijn de middeleeuwse soldaten kansloos. Het is een kwestie van tijd dat ze het slachtoffer worden op een of andere wijze. Ze weten het alleen nog niet...
Daar komen naar mijn mening ook de ideeën over geschoren mensen in pakken vandaan, als je van mening bent dat je wel de kennis hebt maar toch niet aangenomen wordt zou ik eerder vermoeden dat het in de communicatieve vaardigheden zit dan in de mate waarin je haar goed zit.
Dit weet ik uit eigen ervaring, want je kunt nog zoveel ervaring hebben, maar als je niet glad geschoren bent, kort haar en in pak loop, wordt je niet aangenomen. Ben al meerdere keren afgewezen op uiterlijk. Kennis genoeg
Dus zolang mensen nog steeds naar de buitenkant kijken ipv wat mensen kunnen, zal dit zo blijven...
TheYOSH
Een "securitymens" moet ook kunnen samenwerken. Medewerkers vinden het niet aangenaam als u een zweetbaas bent of rondloopt in de kleding der zwervers.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.