SANS Institute: Bedrijven moeten op jacht naar security-specialisten onder eigen medewerkers

Stay tuned, abonneer!

Bedrijven en organisaties krijgen steeds meer te maken met digitale bedreigingen. Maar het ontbreekt hen vaak aan de juiste mensen om aan deze gevaren het hoofd te kunnen bieden. Bedrijven doen er daarom goed aan om zelf in alle lagen van de organisatie, medewerkers te zoeken die over de juiste capaciteiten voor cybersecurity-specialist beschikken om hen verder op te leiden. Daarnaast zou ook de overheid best een steentje kunnen bijdragen, zo laat cybersecurity-opleider en -onderzoeksinstituut SANS Institute ons in een gesprek weten.

Cybersecurity staat meer dan ooit op de agenda van het bedrijfsleven. Anno 2019 neemt het aantal aanvallen schrikbarend snel toe. Denk bijvoorbeeld aan het aantal met internet verbonden devices, oftewel Internet of Things (IoT)-apparaten, dat blijft toenemen. Deze nieuwe lading endpoints vormt logischerwijs een aantrekkelijk doelwit voor kwaadwillenden. En ook industriële systemen, de zogeheten ICS/SCADA-systemen waarover we eerder spraken met Applied Risk, worden steeds meer met het internet verbonden. Dat maakt ze automatisch een doelwit.

Kortom, bedrijven krijgen het druk met het beveiligen van hun systemen. Maar helaas is er een groot gebrek aan gekwalificeerde specialisten voor dit specifieke werk. Zowel binnen de bedrijven zelf, als daarbuiten. Zo blijkt uit onderzoek dat er op dit moment een mondiaal tekort is van maar liefst 2,93 miljoen beveiligingsexperts, waarvan alleen al 142.000 in de EMEA-regio. Dit heeft een behoorlijke impact op het bedrijfsleven. Volgens dezelfde studie geeft maar liefst 63 procent van de respondenten aan dat hun organisaties een tekort hebben aan specialisten die zich exclusief met security-zaken bezighouden.

Ook geeft bijna 60 procent van de ondervraagde bedrijven en organisaties aan dat zij door dit gebrek aan specialisten hoge beveiligingsrisico’s lopen voor cyberaanvallen. Het is volgens Michael Heering, marketing director bij SANS EMEA, dan ook noodzakelijk om dit zogeheten ‘skills gap’ of gebrek aan cybersecurityspecialisten snel te verkleinen.

Talent vinden is moeilijk

Talent op cybersecuritygebied vinden en natuurlijk ook kunnen behouden om zo dit gat in expertise te kunnen dichten, kost echter veel geld. Voor veel bedrijven, zeker die buiten de enterprise-markt, kan dat een behoorlijk knelpunt zijn omdat zij het budget niet hebben om schaarse en dure cybersecurity-experts in dienst te nemen of in te huren. Bovendien is het voor de eigen IT-medewerkers vaak ook lastig om cybersecurity in hun takenpakket op te nemen, omdat dit er vaak als ‘extra’ bijkomt en zo niet de volledige aandacht krijgt die het eigenlijk wel zou moeten krijgen.

Zoek de ‘verborgen juwelen’

Een handige oplossing voor dit probleem, zo geeft Heering aan, is het expliciet zoeken van verborgen talent binnen de eigen organisatie. Veel bedrijven hebben het volgens hem nog niet in de gaten dat dit een goede oplossing kan zijn. Vaak zijn er al medewerkers, van de receptie tot aan de productieafdeling, die wellicht best in cybersecurity geïnteresseerd zijn en over de benodigde competenties beschikken. Denk daarbij aan analytisch vermogen, maar ook bijvoorbeeld goed communiceren. Cybersecurity-specialisten moeten goed en duidelijk kunnen overbrengen wat zij doen en hebben ontdekt. Andere belangrijke eigenschappen die deze ‘verborgen’ medewerkers zouden moeten hebben, zijn onder meer een goed anticiperend vermogen of goede intuïtie en een sterke mentale weerbaarheid.

Een interne zoektocht naar deze ‘verborgen juwelen’ kan het mes uiteindelijk aan twee kanten laten snijden. Aan de ene kant hoeven bedrijven op deze manier niet meer extern te zoeken en te werven en besparen daardoor kosten. Aan de andere kant krijgen medewerkers een nieuw carrièreperspectief. Eigenlijk, populair gezegd, dus een win-win situatie.

Meer stimulans vanuit de overheid

Een andere manier om het bestaande skills gap op het gebied van cybersecurity te verkleinen, is wellicht meer stimulans vanuit de overheid. Volgens SANS Institute kan de overheid zeer zeker een belangrijke rol spelen om meer cybersecurityspecialisten op de markt te krijgen. Op dit moment is de Nederlandse overheid al druk bezig met campagnes rondom cybersecurity, maar dan vooral op het vlak van preventie voor zaken als phising of social engineering.

De overheid kan, zo geeft Heering aan, ook bedrijven gaan stimuleren of samen programma’s -denk daarbij aan een soort Holland got Cybersecurity Talent–  om binnen de maatschappij en huidige beroepsbevolking op zoek te gaan naar de ‘verborgen’ talenten. In het Verenigd Koninkrijk zijn daar al verschillende initiatieven succesvol opgezet waarmee tientallen nieuwe securityspecialisten werden ontdekt, getraind en in het bedrijfsleven werden geplaatst.

In de Verenigde Staten zijn bijvoorbeeld al verschillende programma’s actief waarbij de overheid, in samenwerking met bijvoorbeeld een partij als SANS Institute, actief mensen stimuleert om zich te laten omscholen tot security-expert en organiseert daarvoor verschillende trainingsprogramma’s. Die worden ook door de security-industrie ondersteund.

Daarnaast kan de overheid een handje helpen, zo gaat de director marketing van de cybersecurity-opleidingsspecialist verder, door te gaan uitzoeken wat nu precies die skills gap is. Zit het bijvoorbeeld in het uitvoeren van zogeheten pentesten of is er een gebrek aan forensische expertise voor cybersecurity? En hoe zit het met de beveiliging van onze kritische infrastructuur als de energiesector, de dijken en andere waterkeringen of het wegennet? Zijn er daar wel voldoende experts voor? Wanneer dit skills gap valt te definiëren, is het voor zowel de overheid als het bedrijfsleven makkelijker om hierop gezamenlijk actie te ondernemen.

Jeugd enthousiasmeren voor cybersecurity

Een andere mogelijkheid waarbij de overheid kan helpen om cybersecurity meer op de kaart te zetten, is het stimuleren van de jeugd met op maat gemaakte lespakketten en trainingen. Heering vindt dat Nederland hiermee, vergeleken met het Verenigd Koninkrijk of landen in het Midden-Oosten, achterloopt. Volgens Heering moet bij de jeugd meer interesse worden gewekt om een carrière in cybersecurity te ambiëren.

Ook onder studenten kan de overheid meer interesse aanwakkeren om cybersecurity als toekomstig beroep te kiezen. Uit recent onderzoek van de opleidings- en onderzoeksspecialist blijkt namelijk dat in de hele EMEA-regio ongeveer 65 procent van de ondervraagden aangeeft best een carrière in cybersecurity te overwegen als zij in het algemeen meer over dit onderwerp zouden weten. Zelfs 81 procent van de respondenten geeft desgevraagd aan meer over cybersecurity te willen leren.

SANS Institute draagt steentje bij

Als cybersecurity-opleidings- en onderzoeksinstituut hoopt SANS Institute zijn steentje bij te dragen om meer en beter opgeleide cybersecurity-experts af te leveren die het bedrijfsleven en de overheid moeten beschermen, geeft Heering aan. Dit doet het onder andere met ruim 100 instructeurs die over de hele wereld trainingen aan geïnteresseerden geven.

Het gaat hierbij om trainingen over basis skills tot aan echte ‘deep dives’ op het gebied van threat intelligence of digital forensics. Daarnaast zijn er ook verschillende opleidings- en trainingsprogramma’s die zich op specifieke beroepsgroepen of bedrijfssectoren richten, zoals ambtenaren van strategische overheidsinstellingen of voor securityexperts in industriële sectoren die erg afhankelijk zijn van de eerdergenoemde ICS-of SCADA-systemen. De trainingen worden wereldwijd gegeven, waaronder Amsterdam en Brussel.

 

Amsterdam 20-25 mei 2019

Van 20 tot en met 25 mei 2019 geeft SANS Institute in het Marriot Hotel in Amsterdam weer een groot aantal trainingen en cursussen op het gebied van cybersecurity, zoals op het gebied van cyber defense, penetration testing, digital forensics, en voor het beveiligen van ICS/SCADA-systemen.

Nieuwe trainingen die in Amsterdam worden gegeven, gaan over Open-Source Intelligence (OSINT) Gathering Analytics en Advanced Incident Response, Threat Hunting, and Digital Forensics.

Geïnteresseerden in deze cybersecurity-cursussen kunnen hier meer informatie vinden over het programma, de kosten en de locatie vinden en zich tevens direct aanmelden.