Kwalitatief tekort aan cyber security professionals dreigt
De komende jaren zal de vraag naar cyber security professionals in Nederland toenemen, waardoor er vooral een kwalitatief tekort dreigt, zo blijkt uit onderzoek (pdf) dat is uitgevoerd in opdracht van het Wetenschappelijk Onderzoeks- en Documentatie Centrum (WODC) van het ministerie van Veiligheid en Justitie. Volgens de onderzoekers is een tekort aan professionals een grote kwetsbaarheid voor de weerbaarheid van de vitale sectoren.
In de "Nationale Cybersecurity Strategie 2" wordt benadrukt dat het Kabinet over voldoende cybersecuritykennis en -kunde wil beschikken. Daarom is het belangrijk dat er op de korte en op de (middel)lange termijn evenwicht is tussen vraag en aanbod op de arbeidsmarkt voor professionals binnen de publieke en private organisaties. De Nationaal Coördinator Terrorisme en Veiligheid (NCTV) wilde dan ook inzicht krijgen in de aard en omvang van een (eventueel) tekort aan deze professionals.
De onderzoekers deden vacature-onderzoek, hadden expertmeetings en hielden interviews. Aan de hand daarvan stellen ze dat de vraag in Nederland naar cyber security professionals zal stijgen. De verwachte stijging van de vraag geldt voor zowel technische als niet-technische functies. Wel zal door de digitalisering en automatisering van werkzaamheden de vraag naar MBO-opgeleiden binnen de ICT afnemen. De vraag naar hoger opgeleiden daarentegen zal toenemen. Voor technisch dominante functies waarbij cybersecurity een onderdeel is wordt de grootste groei verwacht.
Voldoende professionals
Als het gaat om het aantal mensen om deze vacatures te vullen zijn er in principe voldoende professionals. Vorig jaar bleken er ruim voldoende deelnemers in een relevante vooropleiding te zitten. Tegelijkertijd leiden deze aantallen maar zeer beperkt tot instroom in cybersecurity-gerelateerde functies. Veel bredere HBO- en WO-opleidingen hebben cybersecurity maar beperkt in het programma ingebouwd en er zijn (nog) weinig specialistische cybersecurityopleidingen. Dit leidt ertoe dat studenten niet of pas relatief laat cybersecurity als optie meenemen in hun overwegingen ten aanzien van hun verdere studie of loopbaan.
"Er wordt dus een toename van de vraag naar cyber security professionals verwacht en het potentieel aan professionals is in principe voldoende. Tegelijkertijd moet echter worden geconstateerd dat functies moeilijk te vervullen zijn", concluderen de onderzoekers. Oorzaken hiervoor blijken gerelateerd aan kwalitatieve discrepanties en intransparanties op de arbeidsmarkt. "De opgave lijkt niet zozeer te zijn om meer mensen op te leiden, maar veeleer om hen tijdens hun opleiding te interesseren voor cybersecurity en voor banen in die sector." Op de korte termijn wordt er dan ook voor aansluitingsproblemen gewaarschuwd.
Reacties (16)
Als er nou echt security mensen werden aangenomen ipv mensen in pak, dan is het probleem zo opgelost. Maar aangezien de hele security branche op dit moment nog veel gebakken lucht is, is er alleen plek voor pakken.
Dit weet ik uit eigen ervaring, want je kunt nog zoveel ervaring hebben, maar als je niet glad geschoren bent, kort haar en in pak loop, wordt je niet aangenomen. Ben al meerdere keren afgewezen op uiterlijk. Kennis genoeg
Dus zolang mensen nog steeds naar de buitenkant kijken ipv wat mensen kunnen, zal dit zo blijven...
TheYOSH
Dit weet ik uit eigen ervaring, want je kunt nog zoveel ervaring hebben, maar als je niet glad geschoren bent, kort haar en in pak loop, wordt je niet aangenomen. Ben al meerdere keren afgewezen op uiterlijk. Kennis genoeg
Dus zolang mensen nog steeds naar de buitenkant kijken ipv wat mensen kunnen, zal dit zo blijven...
TheYOSH
Als je geen cybersecurity professionals kan vinden zal je ze zelf moeten opleiden. Kip-ei probleem.
Door Anoniem: Als er nou echt security mensen werden aangenomen ipv mensen in pak, dan is het probleem zo opgelost. Maar aangezien de hele security branche op dit moment nog veel gebakken lucht is, is er alleen plek voor pakken.
Dit weet ik uit eigen ervaring, want je kunt nog zoveel ervaring hebben, maar als je niet glad geschoren bent, kort haar en in pak loop, wordt je niet aangenomen. Ben al meerdere keren afgewezen op uiterlijk. Kennis genoeg
Dus zolang mensen nog steeds naar de buitenkant kijken ipv wat mensen kunnen, zal dit zo blijven...
TheYOSH
Dit weet ik uit eigen ervaring, want je kunt nog zoveel ervaring hebben, maar als je niet glad geschoren bent, kort haar en in pak loop, wordt je niet aangenomen. Ben al meerdere keren afgewezen op uiterlijk. Kennis genoeg
Dus zolang mensen nog steeds naar de buitenkant kijken ipv wat mensen kunnen, zal dit zo blijven...
TheYOSH
Kennelijk hebt u dus, wat het artikel noemt, een "aansluitingsprobleem".
Dat hoor ik wel vaker. Meer vraag naar informatiebeveiligers. Maar in de praktijk zie ik daar weinig van terug. Het aantal serieuze informatiebeveiligingsvacatures is behoorlijk laag.
Daarnaast snap ik het tekort ook wel. Werken in de informatiebeveiligingsbranche is nou niet altijd even bevredigend. Je inzet wordt gezien als overbodige ballast en de waardering voor je werk is dus laag. Zelf overweeg ik ook om wat anders te gaan doen. Begin langzamerhand wel klaar te zijn met informatiebeveiliging.
Daarnaast snap ik het tekort ook wel. Werken in de informatiebeveiligingsbranche is nou niet altijd even bevredigend. Je inzet wordt gezien als overbodige ballast en de waardering voor je werk is dus laag. Zelf overweeg ik ook om wat anders te gaan doen. Begin langzamerhand wel klaar te zijn met informatiebeveiliging.
19-05-2015, 21:46 door
karma4
Andere uitleg PDF.
Er zijn 2 onderzoeksvragen gesteld. 1/ Is er nu dan wel een tekort aan kwalitatief/kwantatief mensen 2/ Hoe kunnen de tekorten worden opgelost. Dat de vragen tegelijkertijd gesteld worden geeft aan dat de eerste vraag niet gesteld is.
Conclusie 1 is wezenlijk het is meer een orgnisatievraagstuk met de verantwoordelijk in de boardroom niet bij een techneut.
Conclusie 4 is gebaseerd op vacatures (bescheiden) met de aanname dat het wel zal groeien. (indicaties).
Conclusie 5 neemt aan dat de groei zit (technisch dominant) in het deel dat de bedrijven graag offshoren/outsourcen
Conclusie 7 gaat uit van de bestaande aantallen in de opleidingen, maar neemt gemakshalve aan dat er mismatch is.
Conclusie 9 no 6 gezamenlijke verantwoordelijkheid gericht op bewustwording ......
Die laatste is een fraaie. Het is niet technisch en wordt op dit moment door falend management gefrustreerd (pag 60 onderzoek te oppervlakkig uitgewerkt op dat aspect)
Management Samenvatting:
Er zijn geen aavnullende acties voor security mensen nodig, die zijn er genoeg op de markt.
Er is beter opgeleid management nodig die cybersecurity op hoog niveau begrijpt en niet frustreerd. Dat is een ander transitiepad en ander aandachtsgebied voor de root-cause. Die conlusie slaat terug naar de opdrachtgever is mogelijk daarom vermeden op die ongewenste uitkomst.
Er zijn 2 onderzoeksvragen gesteld. 1/ Is er nu dan wel een tekort aan kwalitatief/kwantatief mensen 2/ Hoe kunnen de tekorten worden opgelost. Dat de vragen tegelijkertijd gesteld worden geeft aan dat de eerste vraag niet gesteld is.
Conclusie 1 is wezenlijk het is meer een orgnisatievraagstuk met de verantwoordelijk in de boardroom niet bij een techneut.
Conclusie 4 is gebaseerd op vacatures (bescheiden) met de aanname dat het wel zal groeien. (indicaties).
Conclusie 5 neemt aan dat de groei zit (technisch dominant) in het deel dat de bedrijven graag offshoren/outsourcen
Conclusie 7 gaat uit van de bestaande aantallen in de opleidingen, maar neemt gemakshalve aan dat er mismatch is.
Conclusie 9 no 6 gezamenlijke verantwoordelijkheid gericht op bewustwording ......
Die laatste is een fraaie. Het is niet technisch en wordt op dit moment door falend management gefrustreerd (pag 60 onderzoek te oppervlakkig uitgewerkt op dat aspect)
Management Samenvatting:
Er zijn geen aavnullende acties voor security mensen nodig, die zijn er genoeg op de markt.
Er is beter opgeleid management nodig die cybersecurity op hoog niveau begrijpt en niet frustreerd. Dat is een ander transitiepad en ander aandachtsgebied voor de root-cause. Die conlusie slaat terug naar de opdrachtgever is mogelijk daarom vermeden op die ongewenste uitkomst.
Zolang we nog traditioneel blijven en de mannen in pakken meer moeten verdienen dan de echte professional. en als binnen de overheid een topper niet meer mag verdienen dan zijn baas.. wordt dit niet opgelost.
De Amerikanen zoeken ze, de Belgen zoeken ze, iedereen zoekt ze. Die schaarste is misschien nog ergens goed voor.
En zolang het bedrijfsleven wel fatsoenlijk betaald helpt dit ook al niet echt.
De Amerikanen zoeken ze, de Belgen zoeken ze, iedereen zoekt ze. Die schaarste is misschien nog ergens goed voor.
En zolang het bedrijfsleven wel fatsoenlijk betaald helpt dit ook al niet echt.
de CISSP's van deze wereld zou een rode vlag moeten zijn voor onvermogen. Een vd grote problemen is een ongeinformeerde HR afdeling
Cyber security doe je met passie en je ziet het als een doel,en niet met een gerelateerde opleiding. Autodidacten zorgen ervoor dat cyber security zich zodanig ontwikkeld dat de mensen met HBO opleiding in de ICT altijd achter de feiten aanlopen. Een autodidact zorgt altijd voor de snelle kennis de feiten en ontwikkeling hierin. Deze branche ontwikkeld zich daarom constant.
20-05-2015, 07:53 door
Ar0xA
Ik doe dit nu een paar jaar en de volgende dingen vallen me op in de informatiebeveiligingsbranche:
- Schoolverlaters zijn vooral geïnteresseerd in het offensieve deel, lekker inbreken dus. Ze vergeten daarbij dat rapporteren en gesprekken met klanten dan ook een groot deel van de werkzaamheden uitmaken ;) Tevens is een bedrijf dat niet zelf security verkoopt vaak niet direct geholpen met iemand die alleen maar spul kapot wil maken. En dat je weet hoe je in moet breken wil helemaal nog niet zeggen dat je weet hoe je een probleem goed op moet lossen.
- HR afdelingen van bedrijven hebben geen idee hoe ze kandidaten moeten selecteren, welke punten op een CV nu van toepassing zijn op de vacature.
- Veel bedrijven zeggen wel dat ze actief bezig zijn met security, maar ze doen vooral compliancy. Lekker voldoen aan de wet en je ISO norm halen, en dan zit het wel snor. Stukje realiteit dat te maken heeft met o.a. de boetes die er gelden. Dat gaat dus door de nieuwe wetgevingen veranderen..en daarom zie je nu zo'n run op security professionals.
- Defensieve security is veel politiek. Heeft te maken met hoe een bedrijf investeert tegenover de ingeschatte risico's. Dit geeft een enorme druk op de schouders van de security professional omdat het vaak enorm lastig is om een probleem uit te drukken in geld. Zeker als je wat langer in het vak zit is dit iets waar je soms behoorlijk gefrustreerd van kan raken.
- Recruiters, sourcers, networkers ze vallen je constant lastig met vacatures die helemaal niet relevant zijn voor je interesse vlak of je ervaring. Net als een HR afdeling hebben ze geen idee waar ze het over hebben en hoe ze iemand moeten beoordelen op een match met de vacature.
- Een doos van 300K in het netwerk zetten lost niet automagisch je security problemen op. Ondanks dat leveranciers dat vaak wel beweren en bedrijven dat aannemen. Informatiebeveiligingstools zijn typisch van die "if you put shit into it, you get shit out of it"-apparaten. Om goed in te kunnen regelen moet een bedrijf eerst goed nadenken over wat ze nu precies willen. Er moet beleid gemaakt worden waarnaar je een engineer kan vertellen hoe het ingeregeld moet gaan worden. Je kan niet van 1 engineer verwachten dat hij in zijn eentje snapt hoe de complete infrastructuur werkt én dat hij de risico-inschattingen kan maken die nodig zijn om de classificaties juist te implementeren. En dat diezelfde engineer het daarna ook constant bij houdt en acteert op de bevindingen. Ook security mensen zelf vallen vaak in deze valkuil.
- Schoolverlaters zijn vooral geïnteresseerd in het offensieve deel, lekker inbreken dus. Ze vergeten daarbij dat rapporteren en gesprekken met klanten dan ook een groot deel van de werkzaamheden uitmaken ;) Tevens is een bedrijf dat niet zelf security verkoopt vaak niet direct geholpen met iemand die alleen maar spul kapot wil maken. En dat je weet hoe je in moet breken wil helemaal nog niet zeggen dat je weet hoe je een probleem goed op moet lossen.
- HR afdelingen van bedrijven hebben geen idee hoe ze kandidaten moeten selecteren, welke punten op een CV nu van toepassing zijn op de vacature.
- Veel bedrijven zeggen wel dat ze actief bezig zijn met security, maar ze doen vooral compliancy. Lekker voldoen aan de wet en je ISO norm halen, en dan zit het wel snor. Stukje realiteit dat te maken heeft met o.a. de boetes die er gelden. Dat gaat dus door de nieuwe wetgevingen veranderen..en daarom zie je nu zo'n run op security professionals.
- Defensieve security is veel politiek. Heeft te maken met hoe een bedrijf investeert tegenover de ingeschatte risico's. Dit geeft een enorme druk op de schouders van de security professional omdat het vaak enorm lastig is om een probleem uit te drukken in geld. Zeker als je wat langer in het vak zit is dit iets waar je soms behoorlijk gefrustreerd van kan raken.
- Recruiters, sourcers, networkers ze vallen je constant lastig met vacatures die helemaal niet relevant zijn voor je interesse vlak of je ervaring. Net als een HR afdeling hebben ze geen idee waar ze het over hebben en hoe ze iemand moeten beoordelen op een match met de vacature.
- Een doos van 300K in het netwerk zetten lost niet automagisch je security problemen op. Ondanks dat leveranciers dat vaak wel beweren en bedrijven dat aannemen. Informatiebeveiligingstools zijn typisch van die "if you put shit into it, you get shit out of it"-apparaten. Om goed in te kunnen regelen moet een bedrijf eerst goed nadenken over wat ze nu precies willen. Er moet beleid gemaakt worden waarnaar je een engineer kan vertellen hoe het ingeregeld moet gaan worden. Je kan niet van 1 engineer verwachten dat hij in zijn eentje snapt hoe de complete infrastructuur werkt én dat hij de risico-inschattingen kan maken die nodig zijn om de classificaties juist te implementeren. En dat diezelfde engineer het daarna ook constant bij houdt en acteert op de bevindingen. Ook security mensen zelf vallen vaak in deze valkuil.
Hoezo, dreigt? De "security industrie" is een samenraapsel om het luidst kwakende en over ETHISCHE hoedkleur kibbelende s'kiddies, er zit geen inhoud in, en ze trekken vooral de verkeerde mensen met de verkeerde inslag aan, ze blijven moedwillig over de verkeerde zaken discussieren, en zo verder. Het is een zooitje.
Dat is ook nooit anders geweest: De markt bestaat uit nietweters die "even snel" al hun beveiligingsproblemen opgelost willen zien en dat is ook precies waar deze keizerskleermakers zich op richten.
"If you're not part of the solution, there's good money to be made in prolonging the problem."
In dat laatste opzicht is deze aan de overheid leverende computerbranche niet anders dan alle andere aan de overheid leverende computerbranches. Overigens.
Dat is ook nooit anders geweest: De markt bestaat uit nietweters die "even snel" al hun beveiligingsproblemen opgelost willen zien en dat is ook precies waar deze keizerskleermakers zich op richten.
"If you're not part of the solution, there's good money to be made in prolonging the problem."
In dat laatste opzicht is deze aan de overheid leverende computerbranche niet anders dan alle andere aan de overheid leverende computerbranches. Overigens.
20-05-2015, 08:37 door
superglitched
De echt goede jongens hebben het vak natuurlijk niet op school geleerd. Dat maakt het werven er niet makkelijker op. Misschien kunnen ze een voorbeeld nemen aan de politie met haar cybercrime challenges.
Door Anoniem: de CISSP's van deze wereld zou een rode vlag moeten zijn voor onvermogen. Een vd grote problemen is een ongeinformeerde HR afdeling
Precies. Het hoeft niet eens per se een professional hacker te zijn. Met wat social engineering skills kom je al binnen. Even voordoen als printer monteur, de hard drive eruit halen en vervangen met een nieuwe. En je hebt al waarschijnlijk genoeg informatie op die drive om te starten met mailen naar interne mensen en je voor te doen als een ander.Zeer gevaarlijk dus, als mensen niet voldoende geïnformeerd/getraind zijn hiertegen.
Door Ar0xA: Ik doe dit nu een paar jaar en de volgende dingen vallen me op in de informatiebeveiligingsbranche:
- Schoolverlaters zijn vooral geïnteresseerd in het offensieve deel, lekker inbreken dus. Ze vergeten daarbij dat rapporteren en gesprekken met klanten dan ook een groot deel van de werkzaamheden uitmaken ;) Tevens is een bedrijf dat niet zelf security verkoopt vaak niet direct geholpen met iemand die alleen maar spul kapot wil maken. En dat je weet hoe je in moet breken wil helemaal nog niet zeggen dat je weet hoe je een probleem goed op moet lossen.
- HR afdelingen van bedrijven hebben geen idee hoe ze kandidaten moeten selecteren, welke punten op een CV nu van toepassing zijn op de vacature.
- Veel bedrijven zeggen wel dat ze actief bezig zijn met security, maar ze doen vooral compliancy. Lekker voldoen aan de wet en je ISO norm halen, en dan zit het wel snor. Stukje realiteit dat te maken heeft met o.a. de boetes die er gelden. Dat gaat dus door de nieuwe wetgevingen veranderen..en daarom zie je nu zo'n run op security professionals.
- Defensieve security is veel politiek. Heeft te maken met hoe een bedrijf investeert tegenover de ingeschatte risico's. Dit geeft een enorme druk op de schouders van de security professional omdat het vaak enorm lastig is om een probleem uit te drukken in geld. Zeker als je wat langer in het vak zit is dit iets waar je soms behoorlijk gefrustreerd van kan raken.
- Recruiters, sourcers, networkers ze vallen je constant lastig met vacatures die helemaal niet relevant zijn voor je interesse vlak of je ervaring. Net als een HR afdeling hebben ze geen idee waar ze het over hebben en hoe ze iemand moeten beoordelen op een match met de vacature.
- Een doos van 300K in het netwerk zetten lost niet automagisch je security problemen op. Ondanks dat leveranciers dat vaak wel beweren en bedrijven dat aannemen. Informatiebeveiligingstools zijn typisch van die "if you put shit into it, you get shit out of it"-apparaten. Om goed in te kunnen regelen moet een bedrijf eerst goed nadenken over wat ze nu precies willen. Er moet beleid gemaakt worden waarnaar je een engineer kan vertellen hoe het ingeregeld moet gaan worden. Je kan niet van 1 engineer verwachten dat hij in zijn eentje snapt hoe de complete infrastructuur werkt én dat hij de risico-inschattingen kan maken die nodig zijn om de classificaties juist te implementeren. En dat diezelfde engineer het daarna ook constant bij houdt en acteert op de bevindingen. Ook security mensen zelf vallen vaak in deze valkuil.
- Schoolverlaters zijn vooral geïnteresseerd in het offensieve deel, lekker inbreken dus. Ze vergeten daarbij dat rapporteren en gesprekken met klanten dan ook een groot deel van de werkzaamheden uitmaken ;) Tevens is een bedrijf dat niet zelf security verkoopt vaak niet direct geholpen met iemand die alleen maar spul kapot wil maken. En dat je weet hoe je in moet breken wil helemaal nog niet zeggen dat je weet hoe je een probleem goed op moet lossen.
- HR afdelingen van bedrijven hebben geen idee hoe ze kandidaten moeten selecteren, welke punten op een CV nu van toepassing zijn op de vacature.
- Veel bedrijven zeggen wel dat ze actief bezig zijn met security, maar ze doen vooral compliancy. Lekker voldoen aan de wet en je ISO norm halen, en dan zit het wel snor. Stukje realiteit dat te maken heeft met o.a. de boetes die er gelden. Dat gaat dus door de nieuwe wetgevingen veranderen..en daarom zie je nu zo'n run op security professionals.
- Defensieve security is veel politiek. Heeft te maken met hoe een bedrijf investeert tegenover de ingeschatte risico's. Dit geeft een enorme druk op de schouders van de security professional omdat het vaak enorm lastig is om een probleem uit te drukken in geld. Zeker als je wat langer in het vak zit is dit iets waar je soms behoorlijk gefrustreerd van kan raken.
- Recruiters, sourcers, networkers ze vallen je constant lastig met vacatures die helemaal niet relevant zijn voor je interesse vlak of je ervaring. Net als een HR afdeling hebben ze geen idee waar ze het over hebben en hoe ze iemand moeten beoordelen op een match met de vacature.
- Een doos van 300K in het netwerk zetten lost niet automagisch je security problemen op. Ondanks dat leveranciers dat vaak wel beweren en bedrijven dat aannemen. Informatiebeveiligingstools zijn typisch van die "if you put shit into it, you get shit out of it"-apparaten. Om goed in te kunnen regelen moet een bedrijf eerst goed nadenken over wat ze nu precies willen. Er moet beleid gemaakt worden waarnaar je een engineer kan vertellen hoe het ingeregeld moet gaan worden. Je kan niet van 1 engineer verwachten dat hij in zijn eentje snapt hoe de complete infrastructuur werkt én dat hij de risico-inschattingen kan maken die nodig zijn om de classificaties juist te implementeren. En dat diezelfde engineer het daarna ook constant bij houdt en acteert op de bevindingen. Ook security mensen zelf vallen vaak in deze valkuil.
Snelle term: GiGo-kast of te wel "Garbage In - Garbage Out".
Het grote probleem in de wereld van de informatiebeveiliging is dat veel mensen het verschil niet weten tussen een echte technische security architect, een penetratie tester en een incident handler voor een SIEM omgeving. De veel gehoorde klacht dat CISSP en andere certificeringen weinig garantie bieden op daadwerkelijke vakbekwaamheid is voor een groot deel waar. Ik heb er tientallen opgeleid bij een grote bank en het niveau is ondanks de certificeringen sterk wisselend. De verouderde en vaak bijzonder botte modellen die gehanteerd worden zijn in de moderne tijd vaak amper meer toepasbaar. Na het lezen van de CISSP, CISA en CISM boeken heb je wel enig idee over de onderwerpen maar net zoals met autorijden is je theorie halen niet voldoende. Je moet echt rijervaring hebben anders kan men amper de theorie toepassen.
Er is geen enkele training bovendien die je op een effectieve en efficiënte manier leert omgaan met het inrichten van security architectuur, security management en risk management processen in organisaties op een business driven manier die inhoudelijk ook echt rekening houdt met moderne techniek. Veel van de achterliggende komt uit financiële audit methoden die onvoldoende geen rekening houden met de moderne operationele en technische werkelijkheid. Veel van de standaarden worden ook ontwikkeld door publieke en private organisaties die zelf een groot belang hebben bij de wijze waarop de standaard wordt ingericht. Daarmee heb je gelijk ook het grootste probleem te pakken. De grote 4 letter clubs willen geld verdienen met het verhuren van consultants. Echte technische security expertise heeft men niet of nauwelijks in de aantallen die commercieel interessant zijn. Dus richt je je aandacht op methoden waar je wel mensen voor kan leveren...Alleen leveren die methoden vaak qua technische risico mitigatie bar weinig op.
En dat is nou juist waar veel van het risico zit in een tijd dat de cybercriminelen letterlijk de oorlog aan het winnen zijn omdat men op kennis gebied VEEL verder is dan de meeste managers in organisaties. Het is alsof een moderne soldaat in een vliegend exoskelet met laser wapens het gevecht aan gaat met middeleeuwse soldaten. Af en toe raakt een pijl de moderne soldaat maar eigenlijk zijn de middeleeuwse soldaten kansloos. Het is een kwestie van tijd dat ze het slachtoffer worden op een of andere wijze. Ze weten het alleen nog niet...
Er is geen enkele training bovendien die je op een effectieve en efficiënte manier leert omgaan met het inrichten van security architectuur, security management en risk management processen in organisaties op een business driven manier die inhoudelijk ook echt rekening houdt met moderne techniek. Veel van de achterliggende komt uit financiële audit methoden die onvoldoende geen rekening houden met de moderne operationele en technische werkelijkheid. Veel van de standaarden worden ook ontwikkeld door publieke en private organisaties die zelf een groot belang hebben bij de wijze waarop de standaard wordt ingericht. Daarmee heb je gelijk ook het grootste probleem te pakken. De grote 4 letter clubs willen geld verdienen met het verhuren van consultants. Echte technische security expertise heeft men niet of nauwelijks in de aantallen die commercieel interessant zijn. Dus richt je je aandacht op methoden waar je wel mensen voor kan leveren...Alleen leveren die methoden vaak qua technische risico mitigatie bar weinig op.
En dat is nou juist waar veel van het risico zit in een tijd dat de cybercriminelen letterlijk de oorlog aan het winnen zijn omdat men op kennis gebied VEEL verder is dan de meeste managers in organisaties. Het is alsof een moderne soldaat in een vliegend exoskelet met laser wapens het gevecht aan gaat met middeleeuwse soldaten. Af en toe raakt een pijl de moderne soldaat maar eigenlijk zijn de middeleeuwse soldaten kansloos. Het is een kwestie van tijd dat ze het slachtoffer worden op een of andere wijze. Ze weten het alleen nog niet...
Het punt dat jullie hier wel een beetje lijken te missen is dat het niet alleen gaat om mensen die weten waar het over gaat (technische kennis) maar ook over mensen die waar het over gaat gecommuniceerd krijgen naar de rest van het bedrijf. Dat gaat dus voornamelijk over communicatieve vaardigheden, en laten die nou meestal niet de sterkste kant zijn van de gemiddelde cybersecuritykenner. Dat is ook het gat aan professionals dat je in het bedrijfsleven ziet, je ziet kundige techneuten en je ziet een management dat best wil maar niet snapt, maar je ziet maar weinig die die twee bij elkaar kunnen brengen.
Daar komen naar mijn mening ook de ideeën over geschoren mensen in pakken vandaan, als je van mening bent dat je wel de kennis hebt maar toch niet aangenomen wordt zou ik eerder vermoeden dat het in de communicatieve vaardigheden zit dan in de mate waarin je haar goed zit.
Daar komen naar mijn mening ook de ideeën over geschoren mensen in pakken vandaan, als je van mening bent dat je wel de kennis hebt maar toch niet aangenomen wordt zou ik eerder vermoeden dat het in de communicatieve vaardigheden zit dan in de mate waarin je haar goed zit.
Door Anoniem: Als er nou echt security mensen werden aangenomen ipv mensen in pak, dan is het probleem zo opgelost. Maar aangezien de hele security branche op dit moment nog veel gebakken lucht is, is er alleen plek voor pakken.
Dit weet ik uit eigen ervaring, want je kunt nog zoveel ervaring hebben, maar als je niet glad geschoren bent, kort haar en in pak loop, wordt je niet aangenomen. Ben al meerdere keren afgewezen op uiterlijk. Kennis genoeg
Dus zolang mensen nog steeds naar de buitenkant kijken ipv wat mensen kunnen, zal dit zo blijven...
TheYOSH
Dit weet ik uit eigen ervaring, want je kunt nog zoveel ervaring hebben, maar als je niet glad geschoren bent, kort haar en in pak loop, wordt je niet aangenomen. Ben al meerdere keren afgewezen op uiterlijk. Kennis genoeg
Dus zolang mensen nog steeds naar de buitenkant kijken ipv wat mensen kunnen, zal dit zo blijven...
TheYOSH
Een "securitymens" moet ook kunnen samenwerken. Medewerkers vinden het niet aangenaam als u een zweetbaas bent of rondloopt in de kleding der zwervers.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
