Vanuit mijn werk zie ik veel van de cybersecurity-markt en haar behoefte met betrekking tot securitymensen en -diensten. Bedrijven zijn erg hard op zoek naar werknemers en consultants die ‘iets met security’ kunnen. Reden hiervoor is de wens om meer grip te krijgen op dit onderwerp wat zonder dat zij erom hebben gevraagd, een enorme rol is gaan spelen in hun business. Het issue echter met deze cybermensen, deze helden in nood, is dat zij zich over het algemeen in een aantal onderwerpen hebben gespecialiseerd en vaak niet alles kunnen. Net als ieder ander mens, zeg maar. Toch zien we vaak in aanvragen en vacatures een hele rits aan vereisten voor securitymanagement rollen die eigenlijk alle kanten op gaan qua inhoud.
Seems like all infosec people need the follow experience:
— Socially Distant Jerry (@Maliciouslink) December 24, 2018
10 years military command
10 years C programming
10 years pen testing
10 years helpdesk
10 years network engineer
10 years sysadmin
10 years reverse engineer
Plus a CISSP and Bachelors degree
Hoewel het heel realistisch is om op zoek te gaan naar iemand die iets van techniek en iets van beleid snapt en zo de brug kan vormen tussen IT en de business, is het iets minder realistisch om dan ook van die persoon te vragen dat hij op beide vlakken grondig gespecialiseerd is. Dit om de simpele reden dat het maar één mens is die een beperkte hoeveelheid tijd heeft om ergens goed in te worden. En het mag cliché klinken, maar iemand die zijn hobby heeft gemaakt van techniek, is vaak het liefst achter de computer te vinden en zit minder lekker als hij aan een CEO moet uitleggen wat de strategische vraagstukken zijn in cybersecurity en business continuïteit. Andersom kan iemand die heel goed is in governance onderwerpen vaak zijn technische kennis niet optimaal bijhouden omdat stakeholders managen nu eenmaal ook tijdsintensief is. Daarnaast moet iets je ook nog eens gewoon liggen. Er valt een hoop aan te leren en veel mensen kunnen hun zwakke punten absoluut verbeteren. Maar de vraag is of het eerlijk is om van een gepassioneerde hacker te vragen om heel de dag met managers in gesprek te zijn, of om van een security officer te vragen om een code review te doen (spoiler: kan ‘ie niet, meestal). Tenzij je met een vijfpotig schaap te maken hebt natuurlijk, maar die zijn zeldzaam.
No. What you really mean is you want a 22-25 year old with 10 years of experience, a CISSP and OSCP, programming experience before birth, have a college degree from CMU or MIT. Bonus: you have given a talk at DEF CON or Black Hat. https://t.co/4Gt28HWwEp
— Ming Chow (@0xmchow) December 31, 2018
Wat zou de oorzaak zijn van het feit dat men in cybersecurity snel denkt dat ze te maken heeft met wondermensen die overal goed in zijn? Is dat omdat het voor de meeste bedrijven toch te lastig is om de differentiatie te begrijpen, of willen ze met zo min mogelijk budget alle checkboxes met betrekking tot security afvinken? Ik denk zelf dat het een combinatie is van de twee. De keren dat ik hierover in gesprek gegaan ben kwam daaruit dat men wel besefte dat security meerdere onderwerpen en specialismen behelst maar niet precies wist hoe dit dan onderverdeeld kon worden, en dit al helemaal niet kon zien in verschillende rollen. Bovendien was er maar 1 FTE gebudgetteerd. Gelukkig zien we hier langzaam wel verandering in komen. Sommige grotere bedrijven en overheidsinstanties hebben al veel duidelijker hun security-afdelingen staan en daarin verschillende rollen gespecificeerd, maar bij veel bedrijven en instellingen valt hier nog heel wat te halen. Vooral als je verder gaat kijken naar de werkzaamheden achter de functieomschrijvingen (‘alles met security’).
Ik denk dat een belangrijk deel van de oplossing voor dit probleem ligt bij de bedrijven die security-dienstverlening aanbieden. Want als wij, als degenen die er dan maar alles van moeten weten, het al niet eens helemaal met elkaar eens zijn, hoe kunnen we dan van onze klant verwachten dat hij wél precies weet wat hij wil. Het belangrijkste alternatief in deze hoek dat ik op dit moment zie is Cyberveilig Nederland. Deze brancheorganisatie werkt met een grote groep security bedrijven aan het standaardiseren en begrijpelijk maken van de verschillende soorten security-dienstverlening. Dit gaat zeker helpen om de wereld van security wat overzichtelijker te maken zodat men ook gerichter op zoek kan naar wat er nodig is voor zijn organisatie.
Roos Dijkxhoorn