Tekort aan cybersecurityprofessionals maakt organisaties kwetsbaar
4 augustus 2016 -
Intel Security heeft, in samenwerking met het Amerikaanse Center for Strategic and International Studies (CSIS), een nieuw rapport gepubliceerd, getiteld ‘Hacking the Skills Shortage’. Dit rapport onderzoekt het wereldwijde tekort aan cybersecurityspecialisten en de gevolgen hiervan voor zowel organisaties als landen.
Een meerderheid (82 procent) van de respondenten bevestigt dat er een tekort aan cybersecurityspecialisten is. Volgens 71 procent is dit tekort verantwoordelijk voor directe en meetbare schade aan organisaties, die door het gebrek aan securitytalent aantrekkelijke doelwitten worden voor cybercriminelen.
"Een tekort aan mensen met cybersecurityvaardigheden levert rechtsreeks schade op voor ondernemingen, waaronder het verlies van bedrijfsgegevens en intellectueel eigendom," zegt James A. Lewis, senior vice president en director van het Strategic Technologies Program bij CSIS. "Dit is een wereldwijd probleem: een meerderheid van de respondenten in de onderzochte landen kan het tekort aan cybersecurityspecialisten koppelen aan schade die hun organisatie heeft opgelopen."
Bedrijfsgegevens kwijt
Hoewel een op de vier respondenten bevestigt dat hun organisatie belangrijke bedrijfsgegevens is kwijtgeraakt ten gevolge van het gebrek aan cybersecurityvaardigheden, lijkt het er niet op dat dit tekort op de korte termijn zal worden opgelost. Volgens de deelnemers aan het onderzoek zal tegen 2020 naar schatting vijftien procent van de cybersecurityfuncties binnen hun organisatie onvervuld blijven. Gezien de toename in het gebruik van de cloud, mobile computing en het Internet of Things, evenals de toename in cyberaanvallen over de hele wereld, is het essentieel dat er iets wordt gedaan aan het tekort aan cybersecurityspecialisten.
Stortvloed aan hacks
"Hoewel in de beveiligingssector uitgebreid wordt overlegd over hoe om te gaan met de stortvloed aan hacks en data-inbraken, hebben overheden en de private sector nog onvoldoende gedaan om het tekort op het gebied van cybersecuritytalent terug te dringen," zegt Wim van Campen, vice president Noord en Oost Europa, Intel Security. "Om deze situatie aan te pakken moeten we alternatieve vormen van educatie inzetten en meer trainingsmogelijkheden bieden. Ook moeten we veel meer automatiseren zodat de beschikbare mensen meer in de frontlinie kunnen opereren. En we moeten zorgen voor meer diversiteit op de cybersecurity werkvloer."
Stijgende vraag
De vraag naar cybersecurityprofessionals groeit sneller dan de vraag naar andere professionals. Vooral aan mensen met diep technische kennis is veel behoefte. Kennis en vaardigheden op het gebied van intrusion detection, het ontwikkelen van veilige software en het verminderen van de effecten van aanvallen, werden door de respondenten veel hoger gewaardeerd dan ‘soft skills’, zoals samenwerken, leidinggeven en effectief communiceren.
Vier aspecten
Het rapport onderzoekt vier aspecten van het tekort aan cybersecurityprofessionals:
Uitgaven aan cybersecurity: uit de grootte en groei van budgetten voor cybersecurity blijkt welke prioriteit bedrijven en landen toekennen aan beveiliging. Zoals valt te verwachten, gaan landen en industriesectoren die meer uitgeven aan cybersecurity beter om met het tekort aan beveiligingsspecialisten. Dit tekort heeft volgens 71 procent van de respondenten geleid tot directe en meetbare schade voor hun organisatie.
Educatie en training: slechts 23 procent van de respondenten zegt dat opleidingen studenten goed voorbereiden op werk in deze sector. Niet-traditionele, praktijkgerichte leermethodes, zoals hands-on training, gaming en hackathons, kunnen effectiever zijn om cybersecuritykennis en -vaardigheden op te bouwen en bij te houden. Ruim de helft is van mening dat het tekort aan beveiligingsvaardigheden groter is dan het tekort aan andere IT-beroepen.
Werkgeversaspecten: hoewel het geen verrassing is dat het salaris de belangrijkste motiverende factor is bij de werving, zijn er nog andere aspecten belangrijk bij het aantrekken en behouden van toptalenten. Bijvoorbeeld trainingsmogelijkheden, groeikansen en de reputatie van de IT-afdeling van het bedrijf. Bijna de helft van de respondenten noemt gebrek aan opleidingsmogelijkheden of het ontbreken van ondersteuning als zij zich verder willen ontwikkelen als veel voorkomende redenen voor het vertrek van talent.
Regeringsbeleid: ruimt driekwart van de respondenten zegt dat overheden onvoldoende investeren in het ontwikkelen van cybersecuritytalent.
Situatie in Nederland
Omdat Nederland niet is meegenomen in het onderzoek door CSIS, heeft ICT-platform Computable de vragen voorgelegd aan een aantal van zijn industrie-experts. Uit de reacties blijkt dat het tekort ook in ons land zorgen baart.
"De benodigde vaardigheden zijn natuurlijk sterk afhankelijk van de rol: er bestaat niet zoiets als ‘de cybersecurityprofessional’. Maar over het algemeen zijn technische securityvaardigheden schaars onder cybersecurityprofessionals. Vaardigheden om op een technisch niveau securitymaatregelen te evalueren en te omzeilen – dezelfde vaardigheden die door criminele hackers gebruikt worden – zijn onvoldoende aanwezig," zegt Christiaan Ottow, Security Coach bij Computest / Pine Digital Security. Op de vraag in hoeverre opleidingsprogramma’s bijdragen aan het klaarstomen van cybersecurityprofessionals voor de industrie, antwoord Ottow: "De meeste opleidingsprogramma's richten zich nu op de ‘zachte’ kant van cybersecurity: risk management, organisatieprocessen, etc. Dat is nodig, maar de technische diepgang ontbreekt behoorlijk bij dergelijke opleidingen. Op bepaalde cybersecurityfuncties kan je beter instromen als programmeur of vanuit een andere IT-functie dan vanuit zo'n cybersecurityopleiding."
Nog een reden
Rob van der Veer, Principal consultant bij SIG, ziet nog een andere reden voor het tekort aan securitytalent: "De belangrijkste reden dat we in Nederland een tekort hebben aan securityvaardigheden zit in onze cultuur. In ons land verdien je als technisch specialist of ontwikkelaar minder geld en aanzien dan een manager. Het gevolg is dat de handige techneuten uit de techniek promoveren en technische opleidingen onvoldoende interesse krijgen. Vraag maar eens in een collegezaal informatica wie er programmeur wil worden. Je zult maar een paar handen zien en misschien wel geen." Ook de ernst van het tekort wordt door Van de Veer onderstreept: "Het lage niveau van cybersecurity is een directe bedreiging voor onze privacy en van de openbare orde. Immers, datalekken zijn aan de orde van de dag en het wachten is op uitval van kritieke infrastructuur."
Jan van der Sluis, Client Security Principal, Hewlett-Packard Enterprise, stipt nog een ander aspect aan rond de benodigde skills voor securityprofessionals: "Onder cybersecurityprofessionals ontbreekt het nog weleens aan kennis rond actuele bedrijfsvoering en de communicatie naar de beslissers en de beleidsmakers. Veelal ligt dit thema nog teveel op een technisch niveau en de link naar het reactie- of herstelvermogen van de betreffende ondernemingen of instellingen zal helder verwoord moeten worden: wat te doen, wat zijn de risico’s, wat gaat het kosten, wie gaat het oplossen?"
Aanbevelingen
Het rapport doet een aantal aanbevelingen om het tekort aan cybersecuritytalent terug te dringen:
Bepaal minimumkwalificaties voor startende cybersecurity-specialisten en accepteer ook niet-traditionele opleidingsmogelijkheden.
Stimuleer de diversiteit op cybersecuritygebied en biedt meer mogelijkheden voor externe training.
Kijk naar technologie voor het intelligent automatiseren van security.
Verzamel aanvalsgegevens en ontwikkel betere meetmethoden om aanvallen snel te kunnen detecteren.
