‘Loopbaanontwikkeling is een probleem’

Peter-Vermeulen

Het is misschien een wat treurige constatering, maar als CISO loop je constant achter de feiten aan. Voor een belangrijk deel is dat inherent aan IT-beveiliging. Hoe goed je de boel ook dichttimmert, er zitten altijd zwakke plekken in je beveiliging die je pas ontdekt als er iemand doorheen is gekomen. En dan wordt een deel van de aanvallen ook nog eens in een snel tempo geavanceerder.

Daarnaast is de IT-omgeving een alsmaar sterker bewegend doel. Constant worden nieuwe applicaties in gebruik genomen, komt er nieuwe apparatuur het netwerk binnen en worden nieuwe manieren bedacht om workloads te verwerken en data op te slaan. Het zwaartepunt van de security-investeringen blijft in Nederland echter hardnekkig liggen bij netwerkbeveiliging. En dat terwijl de meeste security beslissers aangeven dat er onvoldoende kennis in huis is om het gebruik van slimme mobiele apparaten en cloudoplossingen afdoende te kunnen beveiligen.

Intussen neemt het belang van IT voor de organisatie is snel tempo toe. Steeds meer producten en processen worden ‘gedigitaliseerd’. Veel CISO’s zijn zich ervan bewust dat principes als secure by design en private by design mede bepalend worden voor het succes van de gehele organisatie. Dat betekent dat ze vroeg betrokken moeten worden bij het de ontwikkeling van toepassingen en steeds meer ook bij het ontwerp van de processen zelf. Terwijl er dus aan de ene kant steeds meer aan de technische kant wordt geëist, worden zachte vaardigheden en de kennis van bedrijfsprocessen steeds meer een vereiste. Dat is geen eenvoudige opgave, maar het heeft ook iets moois te bieden aan de security professional: doorgroeimogelijkheden.

Het hebben van doorgroeimogelijkheden is voor een IT-security professional geen vanzelfsprekendheid. Natuurlijk, je bent constant aan het leren en je krijgt regelmatig de kans om je kennis te verdiepen met behulp van cursussen. Maar zeker bij middelgrote bedrijven zijn er niet altijd evenveel mogelijkheden om in de organisatie door te groeien. Van de Nederlandse organisaties met 50 of meer medewerkers biedt net iets minder dan de helft de security professionals de kans om zich te laten certificeren, bijvoorbeeld als CISSP. Een vergelijkbaar aantal biedt kansen om de technische vaardigheden te vergroten.

Het is opvallend te zien dat inmiddels 1 op de 3 organisaties aangeeft dat ze ook buiten het securitygebied trainingsmogelijkheden aanbieden. Ook op het vlak van zachte vaardigheden zegt bijna 1 op de 3 mogelijkheden aan te bieden. Maar hoewel er redelijk veel trainingsmogelijkheden worden aangeboden, blijven de doorgroeimogelijkheden steken. In de meeste organisaties geldt dat een security professional een security professional is en blijft. Natuurlijk neemt de senioriteit gaandeweg toe en blijven er ontwikkelingsmogelijkheden, maar het is minder eenvoudig om een grote stap te maken. Juist nu er steeds meer wordt gevraagd van de breedte van de kennis van de security professional, is het wenselijk om een breder carrièreperspectief te kunnen bieden. Het is gunstig voor de organisatie als securitykennis in meerdere lagen van de organisatie te vinden is en er zo steeds meer met een securitybril naar nieuwe producten en diensten en allerlei kleine en grote procestransformaties wordt gekeken. En het zorgt ervoor dat de security professional langer bij je blijft of juist bij je wil komen werken.

Doorgroeimogelijkheden voor IT-security professionals (N=225)

Vraag: Welke mogelijkheden biedt u de security professionals binnen uw organisatie?

 Bron: Nationale IT-Security Monitor 2015, Pb7 Research

Natuurlijk geldt niet voor iedere IT-security professional dat deze op zoek is naar een verbreding met een uitgebreide kennis van bedrijfsprocessen. Veel professionals willen zich juist liever verdiepen en eventueel specialiseren. Bij sommige organisaties is die ruimte er, maar bij heel veel organisaties is er geen ruimte voor vergaande specialisatie, omdat de schaal simpelweg ontbreekt. Om deze medewerkers toch gemotiveerd te houden, zou je kunnen overwegen om samen met een andere partij, of meerdere partijen, deze schaal te creëren. Maak bijvoorbeeld goede afspraken met een security specialist. Met zo’n partij zou je een onderhoudsplan kunnen maken over het gehele kennisniveau, zodat het kennisniveau altijd op het juiste peil is en security professionals toegang krijgen tot meer doorgroeimogelijkheden.

Natuurlijk zou je dat ook kunnen realiseren door alles uit te besteden, maar dat is voor veel organisaties geen gewenste situatie. Een hybride variant ligt vaak eerder voor de hand. Ook zien we dat steeds meer organisaties van managed security services gebruik gaan maken. Sommige security-activiteiten, bijvoorbeeld monitoring, lenen zich daar zeer goed voor, omdat het in-huis vaak een behoorlijk arbeidsintensieve klus is geworden. En deze kan veel baat kan hebben bij automatisering en schaalvergroting. Dat biedt ruimte om andere prioriteiten op te pikken, maar niet iedere security professional die zo zijn activiteiten (deels) ziet verdwijnen, zit daar per se op te wachten. De hybride variant, co-sourcing zo je wilt, kan deze transitie makkelijker maken voor zowel de professional (elders doorgroeien) en voor de CISO.

Op dit moment maken veel security beslissers zich zorgen over de doorgroeimogelijkheden die securitymedewerkers wordt geboden. Maar 44% van de respondenten in de Nationale IT-Security Monitor zegt dat er voldoende loopbaanmogelijkheden zijn binnen de eigen organisatie voor security professionals. Als we dat combineren met de behoefte aan nieuwe vaardigheden die meekomt met nieuwe technologie als cloud, mobiel, Big Data, of het Internet der Dingen, kunnen we een bedreiging en een kans zien. Er is een bedreiging dat security het niet meer kan bolwerken, met alle negatieve gevolgen van dien. En er is een kans om door samenwerking het kennisniveau naar een hoger niveau te tillen en security professionals nieuwe kansen te bieden.

Peter Vermeulen is directeur van Pb7 Research