De stelling die je poneert raakt een probleem dat niet in een of twee A4'tjes beschreven kan worden. De problemen worden ook niet alleen (of niet zozeer) veroorzaakt door de security organisaties, zoals je in je laatste paragraaf suggereert. Als ik kijk naar de security klussen die ik uitvoer, dan zijn de problemen veel breder dan een stel salesmensen of consultants die zich met de term "senior dit", "principal dat", "lead X" binnen proberen te kletsen. Om maar wat zaken te noemen:
- Slecht management. Verkeerde prioriteitsstelling, ontslaan van mensen en verwachten dat de kwaliteit hetzelfde blijft, geen keuzes durven maken, teveel praten, besluiten teveel af laten hangen van politieke spelletjes/ gunsten/ het inlossen van wederdiensten, security kennis/houding/gedrag uit balans, te weinig kennis bij sleutelfiguren, golfbaanbesluiten die de mist in lopen, voornamelijk brandjes blussen om de boel bij elkaar te houden, teveel prioriteiten in een te kort tijdsbestek, slechte middellange termijn planningen, onrealistische deadlines, verkeerde besparingen, security niet belegd bij een duidelijke verantwoordelijke (of bij iemand die geen verstand van zaken heeft en inhoudelijk dus niet kan corrigeren of bijsturen), ... Ik heb alle mogelijke varianten gezien.
- Slechte communicatie tussen de bovenlaag en de onderlaag, tussen afdelingen onderling, tussen leverancier en afnemer, tussen collega's ....
- Deadline-gedreven projecten, waarbij het halen van de deadline belangrijker is dan het opleveren van een goed product. De variant van scrum: producten meer dan eens op hun Minimum Viable Product status laten hangen, waardoor alles net niet af is en net niet goed werkt.
- Toegenomen complexiteit, waardoor alles met alles samenhangt en je slim moet zijn om alle verbanden nog te zien. Bij historisch gegroeide netwerken kunnen net nieuw binnengekomen externen nauwelijks of nooit al die verbanden zien. Een ex-manager van mij gaf zelfs aan: ik wil alleen nog HBO'ers en WO'ers hier hebben, want de infrastructuur is te complex.
- Cover your ass sfeer, waardoor niemand meer fouten durft te maken en mensen zaken laten liggen of afschuiven.
- Slechte beheersing van de techniek door de betrokkenen. Je kunt tegenwoordig geen generalist meer zijn en dan ook nog een professional in 5 of 6 gebieden. Dat kon misschien nog ten tijde van Windows NT4. Veel IT'ers lopen achhter in kennis. Ik blijf studeren en merk dat ik links en rechts op sommige gebieden wordt ingehaald. Learning on the job brengt je ook maar tot een zeker niveau, en dat geldt ook voor die zogenaamde seniors die worden binnengehaald en waar al die prachtige flutcertificaten niet van worden gecontroleerd.
- Te weinig budget voor trainingen en het binnen houden van eigen mensen. "De externen lossen het wel op", terwijl kennis van eigen netwerken, de evolutie van een applicatielandschap, kennis van de eigen organisatie e.d. heel veel kan betekenen voor het goed inrichten en veilig laten draaien van een IT infrastructuur
- ....
Ik kan zo nog wel even doorgaan. Het probleem ligt niet alleen bij die cybersecurity mensen. Dat is hetzelfde als leveranciers van slechte auto's de schuld geven dat ze rotzooi verkopen, maar jij toch die auto koopt. Op een gegeven moment moet je het probleem ook bij jezelf zoeken. Je hoeft geen gebruik te maken van de diensten van die partijen! Leidt mensen zelf op. Trek daar geld voor uit. Bindt mensen aan je met bezielend leiderschap, goede beloning, een goede en open bedrijfssfeer, en een uitdagende baan. Zoek niet naar de alleskunner die net is afgestudeerd maar wel op senior niveau voor €2000 moet presteren. Stel geen onrealistische eisen. En hanteer fatsoenlijke methoden om die externen en die leveranciers van security diensten te beoordelen, aan te nemen/ te contracteren en te managen. Als ik zie hoe dat bij sommige bedrijven gaat, dan schieten de tranen me in de ogen. Dat (sales- en consultancy)mensen daar misbruik van maken, dat heb je dan voor een groot deel aan jezelf te wijten.