Home Thema's Beveiliging en privacy De oorzaak van het grote tekort aan cybersecurity professionals en wat bedrijven eraan kunnen doen
Beveiliging en privacy

De oorzaak van het grote tekort aan cybersecurity professionals en wat bedrijven eraan kunnen doen

cybersecurity
Achtergrond

Hoe bedrijven met een combinatie van passie en training voor het beste cybersecurity-talent kunnen zorgen.

Uit onderzoek van de 2020 Cybersecurity Workfoce Study blijkt dat het wereldwijde tekort aan cybersecurity professionals voor het eerst is gedaald sinds dit wordt bijgehouden. Er hebben zich dit jaar 700.000 geschoolde professionals aangesloten in dit vakgebied, wat neerkomt op een toename van 25% in een jaar tijd.

Ondanks dit positieve nieuws is het gat nog altijd enorm en laat het onderzoek een tekort zien van 3,21 miljoen werknemers in dit vakgebied. Het gaat dus allemaal de goede kant op, al gaat de voortgang erg langzaam. Daarnaast zijn er nog steeds enkele mythes die moeten worden aangepakt om écht een verschil te willen maken.

Eén van de grootste mythes rondom het enorme tekort aan cybersecuritytalenten is dat het grotendeels, al dan niet volledig, valt te wijten aan het gebrek aan bekwame sollicitanten. Maar zo simpel is het niet. Bedrijven spelen namelijk een enorme rol in het bijscholen van bestaande of nieuwe medewerkers, maar ook in het begrijpen van hun eigen specifieke en unieke vereisten én het wegnemen van onrealistische verwachtingen van potentieel talent.

Vraag en aanbod

De vraag naar cybersecuritytalenten is extreem veel hoger dan het aanbod. Er is niet alleen behoefte aan meer mensen in de scholing van deze tak, maar bedrijven moeten ook de waarde van bestaande kandidaten leren begrijpen. Enkele issues rond het aannemen van cybersecurity professionals laten bredere personeelsproblemen zien: iedereen wil een afgewerkt product, maar niemand wil het markttarief betalen. Je hoort dan vaak argumenten als: “Ik heb geen tijd om iemand op te leiden, ik moet deze bedreigingen vanavond oplossen!” Hoewel het probleem bekend is en het sentiment gewaardeerd wordt, laat het feit dat er nog geen balans is tussen vraag en aanbod zien dat het probleem misschien niet helemaal correct geformuleerd of uitbetaald wordt. Als iedereen altijd het complete pakket aanbiedt, zal niemand het ooit krijgen.

Het verschil tussen computertechnologie en cybersecurity

Een andere kwestie in deze branche is dat veel organisaties vereisten lijken op te stellen voor cybersecuritypersoneel. Zo eisen ze bijvoorbeeld vaak een bachelordiploma in computertechnologie. Dit was wellicht ooit een goede strategie, maar tegenwoordig komen computertechnologie en cybersecurity steeds minder met elkaar overeen. Dit heeft verschillende redenen. De meeste mensen die in de computertechnologie werken willen software schrijven. Bovendien bieden de meeste computertechnologische studietrajecten weinig inhoud over beveiliging. Dit komt gedeeltelijk omdat er simpelweg ontzettend veel andere segmenten te behandelen zijn, maar ook deels omdat kennis over beveiliging nog niet zo’n groot deel uitmaakt van de toekomstige carrières in development.

Toch blijft DevSecOps veelbelovend en ontwikkelaars zullen na verloop van tijd meer aandacht besteden aan de beveiliging, maar zo ver zijn we voorlopig nog niet. Het moge duidelijk zijn dat beveiliging het meest in de buurt komt van computertechnologie, zowel op het gebied van kennis als dagelijks gedrag. Maar een afgestudeerde computertechnoloog die in de cybersecurity gaat werken, heeft dan toch veel onnodige informatie geleerd en zal ook veel moeten inhalen. Als niemand deze gaten opmerkt en erkent kan het zijn dat de kandidaten ongetalenteerd of ongemotiveerd overkomen

Wat is cybersecurity?

Een ander probleem is dat security op zichzelf een slecht gedefinieerde branche is. Er zijn immers zo veel verschillende vaardigheden, dat zelfs ervaren security experts het vaak niet met elkaar eens zijn over wat een security professional zou moeten weten en doen. Het veld omvat namelijk een groot aantal subdomeinen, of het nu gaat om malware-analyse, penetratietest, codebeoordeling, forensisch onderzoek, bedreigingsinformatie, risicobeoordeling, regelgevingen, cryptografie, netwerkbewaking of respons op incidenten. Elk segment vereist verschillende vaardigheden, persoonlijkheidstypen en training. Geen enkele instelling kan dit allemaal dekken.

Het veld omvat namelijk een groot aantal subdomeinen, of het nu gaat om malware-analyse, bedreigingsinformatie, risicobeoordeling, regelgevingen, netwerkbewaking of respons op incidenten. Elk segment vereist verschillende vaardigheden, persoonlijkheidstypen en training. Geen enkele instelling kan dit allemaal dekken.

Daarnaast zullen de behoeften van een bepaalde organisaties ook worden bepaald door hun strategie, beveiligingsarchitectuur en het perspectief van de wervingsmanager. Bedrijven zouden daarom goede kennis moeten hebben van de rol en de vaardigheden die zijn vereist. Dit betekent dus dat zelfs ervaren specialisten bereid moeten zijn zich aan te passen. Maar uiteindelijk is het belangrijkste dat de kandidaat interesse heeft in security. Als hij of zij dat heeft, kan de rest aangeleerd worden. Om die reden zou het beter zijn om in plaats van kant-en-klare kandidaten te zoeken, de praktische vaardigheden te ontwikkelen bij mensen die aangeven dat ze hier echt geïnteresseerd in zijn.

Investeren in talent

Het zou natuurlijk geweldig zijn als je een geniale security-expert zo van de plank zou kunnen trekken, maar zowel het verleden als de huidige ontwikkelingen in de branche duiden op de noodzaak om te laten groeien en bij te leren in plaats van te kopen. De truc is dan ook om eerst op passie te testen. Voor cybersecurityprofessionals is continu leren nou eenmaal een onderdeel van het werk. Als ze niet geïnteresseerd en gemotiveerd zijn om dit te doen, kunnen ze hier beter niet in doorgaan. Het zou zonde zijn van zowel hun tijd als jouw tijd als werkgever.

Ook is het veel waard dat veel van de beste kandidaten een non-traditionele achtergrond hebben en niet alleen maar bestaan uit computertechnologie studenten. Autodidacten, gepassioneerde hobbyisten en code-school kandidaten hebben al vaak laten zien dat ze bereid én in staat zijn om te leren en uit te blinken in dit vakgebied. Je kunt het beste mensen zoeken die security daadwerkelijk interessant vinden en die bereid zijn de diepte in te gaan. Dat zijn de mensen die je moet koesteren. 

Het is een ruwe benadering van de stand van zaken, met betrekking tot het inhuren van cybersecurityprofessionals op dit moment. In de juiste omgeving, met mentorschap, training en ondersteuning, zullen onbewezen maar gemotiveerde nieuwkomers op de lange termijn veel meer opleveren dan wanneer je geld gooit naar vooraanstaande computertechnologen wier vaardigheden en interesse eigenlijk in andere domeinen liggen. Hoe eerder meer organisaties dit inzien, des te sneller de vaardigheidskloof op dit gebied verleden tijd zal zijn.

Vertaald door Marjolein Sintenie. Bron: ITProPortal

Delen:

Wil je op de hoogte blijven? Schrijf je nu in voor
de nieuwsbrief of registreer direct

Trending topics
De ingrediënten voor het ideale hybride leslokaal
101 basisprincipes voor IT-security
Veilig blijven werken met Google, kan dat wel?
Schrijf je in voor onze Breens Nieuwsbrief

Schrijf je in voor onze Breens Nieuwsbrief

Ontvang wekelijks kennis en inspiratie over digitalisering en innovatie in het onderwijs in je mailbox.

Door op de button te klikken, meld je je aan voor de nieuwsbrief en ga je akkoord met de voorwaarden van Breens.

Bedankt voor je aanmelding voor de nieuwsbrief van Breens.nl, het kennis- en inspiratieplatform voor onderwijsprofessionals. Je ontvangt binnenkort de eerstvolgende editie in je mailbox.  We wensen je veel leesplezier! Het team van Breens.nl