uhm het probleem is niet alleen dat er niet zoveel "cyber" specialisten zijn. het is dat de overheid ze te weinig betalen om het de moeite waard te laten zijn om bij de overheid te werken. De Salarissen die de overheid aanbied zijn ver onder wat het bedrijfsleven als salaris aanbieden. Ook bij freelance opdrachten, waar je in het bedrijfsleven bijvoorbeeld 100-125 per uur kan vragen is het bij de overheid vaak niet meer dat 80 euro, heb ook lager gezien. waarom zou je dan in hemelsnaam bij de overheid gaan werken

Het zou helpen als je aan de best practices houd zoals bijvoorbeeld "dataminimalisatie", "principle of least privilege" en dergelijke. Daarnaast is het misschien handig om de "red tape" en "bureaucratische molen" weg te halen zodat degene die verstand hebben ook daadwerkelijk hun werk kunnen doen zonder elke keer 20 vergaderingen en 10 goedkeuringen te moeten wachten...

Ten slotte kan het helpen door publieke bronnen te creëren waar iedereen nut van heeft. Een nationale cybersecurity wiki voor alle best-practices, need-2-knows en incident-response procedures waar iedereen bij kan. En dat in Nederlandse taal, zodat ook gewone mensen het kunnen lezen en dus te weten komen dat je niet zomaar op linkjes moet klikken...

Tja men mag wel iets meer betalen dan 'schaal 12'. Begin eens met schaal 15 of so.

Werk draait niet alleen om geld.
Ik lees zoveel berichten waar zaken niet goed gaan bij de overheid. Een goede motivatie om er zelf te gaan werken en het te verbeteren. Daarnaast een bijdrage leveren aan de veiligheid van ons land is mijn inziens nog belangrijker dan geld.

De vergelijking tussen loondienst en freelance uurtarieven vind ik opmerkelijk, die twee lijken mij niet goed vergelijkbaar.

Daarnaast heeft de rijksoverheid recent nog een rapport gepubliceerd waarin de salarissen tussen IT-functies bij de overheid vergeleken werden met de commerciële sector [0]. Hieruit blijkt dat de salarissen tot en met schaal 12 bovengemiddeld beter betalen. Met name op secundaire arbeidsvoorwaarden als pensioen, vakantiedagen is dat beter geregeld. Mobiliteit is lager dan marktconform, vanwege de gebruikelijke leaseauto's in het bedrijfsleven. Schaal 13 betaalt vergelijkbaar en vanaf schaal 14 is het lager dan marktconform. Ter referentie worden de (meeste/medior niveau) cybersecurityfuncties ingedeeld in schaal 12, wat dus bovengemiddeld betaalt.

In ieder geval op basis van dat recente rapport ben ik erg sceptisch op iedereen die schrijft dat de overheid te weinig zou betalen. En dan schrijf ik als cybersecurityspecialist in het bedrijfsleven. Je moet alleen tegen de bureaucratische geneuzel en stroperige werkprocessen kunnen.

[0] Arbeidsvoorwaardenonderzoek Rijksoverheid ICT https://www.rijksoverheid.nl/documenten/rapporten/2023/11/06/arbeidsvoorwaardenonderzoek-rijksoverheid-ict

Dan zou ik zeggen veel plezier met daar soliciteren? Voor mij is geld belangrijkste motivatie met alle absurde prijs stijgingen en acijnze. Als een bedrijf niet met een goed salaris *en* secundaire voorzieningen komt dan draai ik me er niet voor om.

Daarnaast is het ook fijn management te hebben dat kennis heeft van zaken en niet elke dag een overleg hoef in te plannen om een rapportage of project uit te leggen. Veel succses met dat vinden bij de overheid.

Te vaak meegemaakt dat iemand met een flut universitaire studie en wat workshops boven je staat en even z'n plasje over je moet doen, zodat je weet wie de baas is. Mogelijk is het ondertussen verbeterd, maar te lezen aan de reacties niet echt.

Overheden zijn vooral goed in anderen stapels rapporten, procedures, en wat al niet meer, te laten produceren. Die dan weer getoetst en geëvalueerd dienen te worden, in plaats van vooraf te zorgen dat de boel echt veiliger is.

Ondernemers, met name MKB'rs, worden stapelgek van al die regulering. Voor hen zijn het meer overheadskosten die kostbare uren laten verzanden in allerlei te produceren documenten die doorspekt zijn met bewoordingen als "organisatorische inbedding van maatregelen", in plaats van iets als een fatsoenlijke SIEM inrichten, waar dan ook een kundig persoon dagelijks iets nuttigs mee doet.

Heb mijzelf ooit opgegeven als burger vrijwilliger, binnen 10 minuten afgewezen. Ok, dan mag je mij achteraf inhuren als brandblusser en wederom alle adviezen in de wind slaan, want belachelijk duur audit rapport van zus en zo zegt dit of dat. Ondertussen nog geen moer gedaan dat daadwerkelijk aanhoudend verschil maakt, voor het zoveelste jaar. Nee, de genoemde aandachtspunten worden, min of meer, afgewerkt en daarna wachten we op het volgende rapport.

Neem WBP, AVG en nu weer NIS2, noem al die in papier verzandende wettelijke verplichtingen maar op (waarbij je ook nog, als het even kan, rekening moet houden met SDG's en allerlei regelhulpenvoorbedrijven.nl erbij moet passen), want we hebben niks beters te doen of zo.

Eens met @Anoniem 16:32, het zou vele malen effectiever zijn om allerlei (audit) scripts te ontwikkelen waarover iedere Jan Doedel kan beschikken en toepassen, zodat je in minimale tijd weet hoe je wat waar (technisch) dient op te krikken. Je kunt organisatorisch en academisch complete boekenkasten vullen, maar als je in de (technische) praktijk van alledag niet stappen vooruit maakt, dan ga je zwaar achterlopen in de wapenwedstrijd die cybersecurity nu eenmaal is.

Neem zoiets simpels als Shadow Admins, hackers zijn daar gek op. Weet u wat Shadow Admins zijn, hoe ze te identificeren? Wat er tegen te doen? Hoe helpt uw Overheid daarbij?

Noem iets geks. Neem voor een miljard of wat licenties af om alle ondernemers te voorzien van Enterprise niveau cybersecurity technische middelen, en zie wat dat voor verschil gaat maken in de praktijk, in plaats van boekenkasten vullen met documenten waar nauwelijks iemand nota van heeft. En nee, doe dat niet in samenwerking met multinational consultancy bedrijven, want die gaan ingebakken meerwerk inbouwen, resulterend in minder voor meer.

De mentaliteit van boekenkasten moeten vullen, en vele overleggen later, zodat het op papier goed geregeld is (feitelijk wensdenken) houdt effectiviteit en efficiëntie in de praktijk juist tegen.

Die over geld beginnen zijn in de praktijk meestal de middelmatige, zij gaan voor geld en beroep op
de tweede plaats.

Ik geloof niets van een tekort aan "cybersecurityspecialisten".

Er is ongetwijfeld wel een groot tekort aan "cybersecuritymagicians" die tevens aan de volgende criteria voldoen:

• "Politieke sensitief", oftewel STFU en doe precies zoals je gezegd wordt (ook als dat tegen jouw principes indruist - wij hebben veel tapijten met bobbels);

• De belangrijkste KPI voor jouw functioneren, met directe invloed op jouw salaris, is een substantiële verlaging van het aantal cybersecurityincidenten, uitsluitend die waarvan de kans groot is dat deze tot reputatieschade van- en/of schadeclaims voor de organisatie leiden;

• Je neemt volledige verantwoordelijkheid voor de IB maar krijgt geen vast budget;

• Je bent jong en lekker kneedbaar (wij mogen niet op leeftijd discrimineren, maar doe geen moeite als je ouder bent dan 50, dan liegen we dat we andere kandidaten "beter in het team vinden passen" of dat de functie op termijn intern zal worden vervuld) en hebt minstens 30 jaar ervaring in hybride lokaal/cloud omgevingen;

• Je hebt, aantoonbaar, een goede gezondheid en dient ervoor te tekenen dat je geen kinderwens hebt;

• Je draait mee in ons 24x7 schema (waarbij extra inzet van jou verwacht wordt vanwege gebrek aan belangstelling voor onze vacatures);

• Je vervult elke andere taak die je wordt opgedragen. Je rapporteert aan de chef van de afdeling systeembeheer;

• Je bezit een academische graad en op z'n minst CISSP, CEH, MVP certificeringen, etcetera;

• Zit wel op LinkedIn maar niet op Mastodon en zeker niet op security.nl;

• Een VOG en een positieve uitslag van een uitgebreide screening zijn een voorwaarde;

• Je krijgt een Nokia 3310 en een Acer laptop te leen met W10 Pro (waarop je geen adminrechten hebt en geen software op mag installeren en/of instellingen mag wijzigen);

• Je hebt recht op het gebruik van onze deelfiets (voor zover beschikbaar en mits je het niet erg vindt dat het zadel is gestolen);

• Parkeren kan in de Q-park parkeergarage (€25 voor een dagkaart) op slechts 4km loopafstand. Openbaar vervoer rijdt uitsluitend omstreeks de spitsuren door het indrustriegebied waar ons kantoorpand is gevestigd;

• Het betreft een tijdelijk contract voor de maximaal wettelijk toegestane contractduur. Via een truc kunnen wij dat contract meermaals verlengen.

GLWT

ik neem aan dat dit cynisch bedoeld is? Commercieele bedrijven mogen ook wel wat meer mogen betalen..... (zegt een cybersecurity specialist ).

Goh, een groot deel van deze "eisen" zouden zo uit het bedrijfsleven kunnen komen. :-)

Misschien wel, maar met de grote verantwoordelijkheid en de hoeveelheid werk die op je bordje komt te liggen zijn de salarissen gewoon te laag. Als je met dat salaris de maandelijkse lasten niet kan betalen is de keuze snel gemaakt. vooral bij freelance opdrachten gaat gemiddeld 1/3 van het verdiende bedrag op aan bedrijfskosten (reiskosten zitten in het tarief) en dingen als verzekeringen e.d.
Bij sommige aanbiedingen die ik heb gehad was van mijn kant de vraag, wil je dat ik failliet ga met of zonder werk. Deze overheidsinstantie heeft later ook de aanvraag ingetrokken omdat er geen enkele persoon zich erop had ingeschreven. Maar wat anders had je verwacht als je max 65 euro per uur wil betalen.

Vergeet niet dat je naast een lager salaris ook nog eens geen mandaat krijgt, minesteriële verantwoordelijkheid gaat boven alles, inclusief informatiebeveiliging ook al staat dat laatste in de agenda waardegedreven digitaliseren.
Daarnaast zit al het security personeel bij IT, is de CISO verantwoordelijkheid schuldig aan de CIO (en ja dat heeft de overheid de laatste jaren pas geïmplementeerd terwijl wereldwijd iedereen dat nu juist aan het afschaffen is) en de term "risico eigenaar" is helemaal vies en eng.

Dat soort tarieven zie je freelance in de commerciële sector ook, het probleem is bij die tarieven niet alleen wat de opdrachtgever er voor wil betalen maar ook de marges van de pojer bedrijven of ketens van pjer bedrijven als er meerdere tussen zitten (heb tot 5 mensen handelaren meegemaakt).
Daarnaast concureren dat soort bureautjes altijd alleen maar op rijs, want inhoudelijk snappen ze er toch niets van, aangedreven door de prijsstelling en laagste-bod-meeste-punten aanpak van de opdrachtgevers zelf.
Dan heb je nog het probleem dat er debiele eisen worden gesteld, een greep uit wat ik gezien heb in meer dan dan 15 jaar dat soort aanbiedingen lezen:

* certificeringen vragen die niet van toepassing zijn: een pentest certificaat voor een CISO bijvoorbeeld als belangrijkste eise, prince 2 voor een CISO

* Certificeringen vragen waar je vijf jaar werkervaring voor nodig hebt, maar 3 jaar werkervaring is voldoende om de rol te kunnen uitvoeren

* Technische rollen aanbieden (selectie) zoals firewall beheerder aan iemand die al jaren ISO/CISO rollen doet
* Er staat CISO bij een rol, dus ben je ongeschikt om een ISO rol te doen want daar zochten ze niet naar (eerste regel CV werkervaring)

* Rol omschrijving sluit totaal niet aan bij de uiteindelijke werkzaamheden

* Certificeringen eisen die bekend staan maar omdat je daar mogelijk wat lastig een candidaad mee vind staat er bij "of vergelijkbaar" wat lijdt tot mensen die claimen dat ze de certificeringen hebben tenminste als je ctrl+f doet op het CV

* Te veel certificeringen eisen in de hoop dat iemand er minimaal eentje heeft (een CISSP of CISM of CISA is echt wat anders dan een CHE of onbekendere dingen)

* Privacy gerelateerd, dus deels ook InfoSec omdat veel InfoSec professionals claimen dat ze het ook snappen: juridische opleiding vereist voor een privacy rol

* En dan hebben we het nog niet over de wurgcontracten van de brokers als HeadFirst (wil je bijtijds betaald krijgen? Moet je 3 euro per uur extra marge afstaan, inclusief voor allerlei verzekeringen die je natuurlijk al lang hebt), stapel constructies van zogenaamde samenwerkende clubs als LinkIT en IT Staffing die de tarieven nodeloos verlaagd zogenaamd omdat de opdrachtgever dat vereist heeft wat neit waar blijkt te zijn.

Kortom: de experts zijn er wel maar het is een lijst aan factoren waarom ze niet gevonden, of willen gevonden, worden om financieel en intellectueel te worden uitgebuit door luie opdrachtgevers en pojer constructies.

Geef mijn portie overheidswerk maar aan fikkie, en dan bedoel ik hier echt het vuur.
Heb als cybersecurity persoon werk gedaan voor de overheid en daar is helaas geen eer te behalen. De ambtelijke organisatie vind informatiebeveiliging eng, en als je door goed je werk te doen allerlei security problemen vind, dan ben je maar lastig en dat rapport mag nooit WOO-baar worden want dat is slecht voor de bewindspersoon.
Kortom heb na een jaar besloten om een andere baan te vinden. Ik vind het niet erg als je dingen moet uitleggen of dat ze niet precies weten hoe het opgelost moet worden, maar dat ze niets met ernstige bevindingen willen doen omdat het slecht voor de bewindspersoon zou zijn (of eigenlijk het zou slecht zijn voor hun zelf). Ik wil wel mijn werk kunnen uitvoeren.
Dit is waarom ik heb besloten om nooit meer een overheidsopdracht te doen, kan mijn tijd wel beter besteden dan vechten tegen de bierkai

Ja belachelijke praktijken waar een handje grote jongens in de sector ook btw vrolijk aan meedoen.

Heb twee jaar terug meegemaakt een klant van ons had een onverwacht beveiliging onderzoek ingesteld op ons netwerk waarbij bepaalde punten naar voren kwamen. Sommige goed sommige waren dom en kon je aan zien dat ze enkel een quickscan hadden gedaan.
Bijvoorbeeld de achterhaalde regel dat je niet over poort 22 ssh moet laten gaan. (wij hebben heel ssh uit) Daar tegennkwam er goed advies over security headers uit maar de reactie snelheid op de bevindingen en reactie ging verdacht snel. Dus I threw them for a loop. Verzon bij een antwoord waar goede reden voor was om het door te voeren een bshit antwoord waarom niet en ja hoor nog geen dag later was er een revisie op de bevindingen omdat de klant (die dus geen kennis heeft hierover) tegen de auditor had gezegd ik ga mee in de reactie.

Dus toen ging dat hele onderzoek rapport weer de prullenbak in en zijn we devolledige medewerking gestopt wegens gevaar voor klant zijn haat continuiteit.

Ga geen naam noemen maar ik weet dat de zelfde partij ook voor de overheid vaak werkten blijkbaar sijpelt die mentaliteit dus ook door bij reguliere commerciele klanten.

En dan vergeet je nog dat je die certificeringen moet hebben met een aantal jaar werkervaring waarmee je ze niet eens kan halen (minimale eisen), openbaar vervoer wordt volledig vergoed (overheid) maar auto maar 7 cent per KM om het vooral te ontmoedigen en je moet het aantal incidenten wel verminderen maar naast geen budget krijg je ook de tools niet om ze uberhaupt op te sporen of te detecteren en als dat dan wel kan dan luistert het hoofd systeembeheer per definitie niet want dat kost hem zijn baan.

Maar ja dat krijg je ook als je het cyber security noemt, dat is gewoon een buzword voor IT security en vooral geen business aangelegenheid (wat informatiebeveiliging / information security wel is).
Of ze noemen het informatieveiligheid want informatiebeveiliging klinkt zo negatief.

Pay peanuts, get monkeys.

En als ze wel "marktconform" betalen, dan wordt er weer geklaagd dat de overheid zo duur is en geld verspilt.
Met zijn allen voor een dubbeltje op de eerste rang willen zittten.

Alles wat hierboven staat.

En buiten dat, voor en na het coronacircus is thuiswerken, en part-time (als in 15-20 uur per week) nog steeds niet normaal.

Een gezonde mens zit niet onder kunstlicht 40 uur per week achter een scherm.


Bovendien hadden ze zelf het antwoord al gegeven, lage pakkans.

Ga liever blackhat zelf wat doen dus. Hoef ik ook de corrupte Staat waarvan ik de authoriteit op basis van een of andere koningsbloedlijn - en in het verleden geplante vlag en getrokken grenslijn niet erken.

Er zijn al immens meer tekorten op de arbeidsmarkt.
Midden en kleinbedrijf grotendeels op retour.
De great reset weet wat - lock downs - alles digitaal onder dictatoriale controle brengen. Nederland al houtje touwtje land.
Droevig maar voor rupsje nooit genoeg noodzakelijk.

#laufer

Natuurlijk. Gemiddeld gesproken zijn technerds gewoon totaal ongeschikt als beslisser of beleidsmaker.
Veel te veel dictator mentaliteit in het heilige belang van hun geloof (sjekjoerity, of One True OS)


En je bedoelt dat dingen die tot reputatie schade of schadeclaims leiden eigenlijk niet zo belangrijk zijn, want je moet vooral bezig zijn met perfecte compliance aan de een of andere RFC die je gaaf vindt ?

Je kunt echt wel stellen dat het soort (cyber) security incidenten die publicitair/reputatie schadelijk zijn inderdaad fokking slecht zijn als ze gebeuren.

Dus terecht om die die hoge prioriteit krijgen.

Bedoel je niet dat je geen oneindig budget krijgt en dat zo oneerlijk vindt ?
Gewoonlijk krijgt iemand die op een stoel zit als budget houder (geen uitvoerend handje) echt wel een vast budget.


Of je bent gewoon niet zo goed meer .

Wat onredelijk , iemand zoeken die niet meteen afwezig gaat zijn.


Security is super belangrijk, voor de 36 uur dat ik werk. Daarna moeten de aanvallers maar even wachten tot ik weer op kantoor ben.


Eerst praten over verantwoordelijkheid en budget, en dan ben je een handje onderaan afdeling systeembeheer.
Blijkbaar haal je drie functies door elkaar.


Tering wat erg. Zomaar vragen naar mensen met wat bewezen kennis en nivo, en plaats van op de blauwe ogen , zwarte baard en het zwarte T-shirt geloven dat de drop-out echt l33t is.


98% van de posters op security.nl is inderdaad duidelijk niet (of hopelijk - nog niet) geschikt voor werk met enige verantwoordelijkheid.


En dat vind je verschrikkelijk onredelijk voor een security functie ?
Het moge niet _perfect_ zijn, maar proberen rotte appels eruit te vissen voordat ze in dienst komen is echt niet verkeerd.

Dat je dit als bezwaar opschrijft is op zichzelf al genoeg om de rest van je geklaag te kwalificeren als calimero gezeur.


Medewerker van de afdeling "mag niet vanwege security" vindt "mag niet vanwege security" heel erg. hahahaha.
Eat your own dogfood is een mooi principe .



Dat is wel hinderlijk.


Huh ? Je klaagde toch over overheids functies ? Die zitten in een stads-centrum waar parkeren amper kan, maar OV gewoonlijk wel voor de deur stopt.

Wie zo goed is als ie zelf denkt hier op dit forum hangt niet aan een 'vast' contract.

Dit was ooit heel normaal in de IT. Maar ik zal wel oud aan het worden zijn. :-)

IMHO heeft een rasechte IT-er geen 9.00-17.00 (kantoor)baan.
Die werkt ook in het weekend of 's-avonds als dat nodig is. Als het kan compenseer je dat op een rustig moment door de week, om niet te veel over die 36-40 uur heen te gaan.
Maar als het werk dat niet toe laat, (en de baas niet ligt te eikelen over de overuren!) dan is een 40, 50 of 60 urige werkweek op zijn tijd ook heel normaal.

Als je een 9 to 5 baantje zoekt met een max van maar 36 uur (of minder) van maandag tot vrijdag, dan ben je in de IT niet op zijn plek.

Werken zul je. Niet lanterfanten.

Zegt mijn baas ook altijd dat werk niet om geld draait maar hij wilt niks inleveren zodat ik er 100 bij kan. Dat het niet om geld draait zeggen alleen mensen die al te veel hebben en al in een betaalbare woning zitten.

Op werkzoeken.nl zie ik in de top 5 voor salarissen voor consultant cyber security 2x een overheidsinstantie staan (politie en werken voor NL). Op werken voor NL zie ik tig vacatures staan van € 4.500 tot € 7.000 per maand + aantrekkelijke secundaire voorwaarden. Op vacaturebank zie ik vacatures van CGI en EY maximaal net iet de 6k aantikken en 1 bedrijf wil wel tot € 7.900 gaan (auto optioneel).

Freelance is een heel ander scenario, natuurlijk ligt je uurtarief hoger maar je moet daar ook alles zelf voor regelen.

Kletskoek. Geld is ook iets wat je wordt gegund of niet. Kijk wat de reiskosten zijn en een betaalbaar huis is er niet. Dus is er ook focus op geld.

Inderdaad. Pas nog afgewezen met 30j ervaring. Niet eens op gesprek geweest en ik weet echt wel hoe je een cv met motivatie moet schrijven. Nog gevraagd naar reden afwijzing. Niet gekregen. Ongetwijfeld leeftijd.
Er zijn niet te weinig mensen maar te veel bedrijven!

Niks overheid 6000k https://www.werkzoeken.nl/vacatures/?filtered=1&from-company-profile=&what=overheid&r=30&where=&salary=6000&date= Alleen maar een econoom en een toezichthouder.