IT-security skills: herschik je manschappen zoals elke goede strateeg

Tot 3,4 miljoen IT-securityprofielen wereldwijd tekort tegen 2021: afhankelijk van de bron kan het een paar honderdduizend verschillen, maar het blijft een hallucinant cijfer. Tijd voor een actieplan in deze War on talent. En waarom zou je geen militaire tactiek toepassen?

Net als in een echte oorlog kan je wachten tot de tegenstander actie onderneemt en daar dan op reageren met een tegenoffensief. Of je kan ervoor zorgen dat je een strategisch aanvalsplan ontwikkelt waarmee je voorbereid bent op wat kan komen. En de veldslag wint. En later misschien ook de oorlog. The War on Talent.

Training, training, training

Als je deze oorlogstaal omzet naar onze security-sector kan je in eerste instantie investeren in opleiding. Je kan bijvoorbeeld jongeren warm maken en trainen voor een carrière in de IT-security . De securitysector beschikt daarvoor over een aantal aantrekkelijke troeven: voldoende uitdagingen, een aanwezigheid in de frontlinie van de technologiesector en jobzekerheid(zeker met de komst van alle IoT-toepassingen en toestellen). Enige nadeel: de resultaten van deze investeringen in opleiding zijn pas op lange termijn zichtbaar. Want wie nu aan hogere studies start, is ten vroegste pas over drie jaar beschikbaar op de arbeidsmarkt. Wat je wel kan doen om het proces te versnellen, is inzetten op in-house training. Je kan bijvoorbeeld de eigen mensen zelf trainen en investeren in hun continu leertraject.

Hoe moet deze war on talent dan op korte termijn verder evolueren? Naast nieuwe rekruten binnenhalen, kan je als bedrijf de beschikbare manschappen herschikken, waarbij je de aantrekkingskracht van de IT-securitysector zeker niet mag onderschatten.

Laat me dat even verduidelijken. Momenteel gaat gemiddeld 10% van alle IT-investeringen naar security. Kijk je naar de personeelsbezetting, dan zijn er vandaag voor elke IT-securityspecialist maar liefst 12 andere ICT’ers aan de slag. Daar ligt een opportuniteit , want zij hebben al een IT-opleiding achter de rug, zij hebben de interesse, beschikken wellicht over enkele certificaten. Ze hebben dus IT-knowhow. Je kan hen verder op de job trainen om hen de nodige security skills bij te brengen en dus de gaten in je verdediging op te vullen. Dus, als het ware, Het probleem is echter dat er ook een groot tekort is aan deze ‘andere’ ICT’ers. Automatisatie gaat dat trouwens de eerste 3 tot 5 jaar nog niet oplossen. Op lange termijn kunnen we deze kloof wel dichten met AI, maar dat zal in de eerste plaats een effect hebben op de business, en pas later bij je IT-departement.

Kijk je naar de personeelsbezetting, dan zijn er vandaag voor elke IT-securityspecialist maar liefst 12 andere ICT’ers aan de slag.

Een grote opportuniteit ligt bij profielen waar je relatief gemakkelijk rekruten voor vindt. Wat ik boven alles belangrijk vindet is passie. Wanneer deze mensen een affiniteit hebben met IT en analytisch van geest zijn, dan kunnen zij zeer goede en gemotiveerde securityspecialisten worden, ook al hebben zij geen IT-diploma.

Allianties sluiten

Quasi geen enkel leger uit de recente wereldgeschiedenis heeft op zijn eentje een oorlog gewonnen. Altijd werden er allianties gevormd die de doorslag gaven. O ok in onze securitysector kan het vormen van allianties voordeel opleveren. Dat je zou moeten samenwerken met de CIO of CISO van een concurrerend bedrijf lijkt misschien niet ideaal, m aar alleen lukt het niet meer tegen een wereldwijd leger hackers.

Neem nu bijvoorbeeld een securityprocedure bij een DDoS-aanval in de bankensector. Dat plan is tot in de puntjes uitgewerkt, maar de procedure van bank A is wellicht even goed als de procedure van bank B. Een groot deel ervan kan dus hergebruikt worden. In principe had één team aan de procedure voor beide bedrijven kunnen werken en zou je enkel de bedrijfsspecifieke zaken moeten bijpassen. Zo kan het andere IT-team op andere securityprojecten inzetten. Door samen te werken en uit te besteden kan je de beschikbare securitymanschappen dus efficiënter gebruiken.

Bovendien kan je in dergelijke setting – denk maar aan de Cybersecurity Coalition – ook best practises delen en kan je onderling het kennisniveau opkrikken: training door de community als het ware. In zo een alliantie kan je anderen eveneens sneller op de hoogte brengen van een mogelijke aanval, waardoor de impact geminimaliseerd wordt of de aanval wordt tenietgedaan nog voor hij actief is.

Ook bij SecureLink zien wij hier de meerwaarde van in. Wij werken al op verschillende projecten als facilitator tussen bedrijven. We zitten zo bijvoorbeeld met verschillende CIO’s uit een specifieke sector samen aan tafel om een strategisch plan op te stellen rond de nieuwe NIS-wetgeving. Zulke initiatieven lonen en steeds meer klanten willen hier deel van uitmaken. Sharing is caring.

Externe troepen

Zoals eerder aangegeven, kan je als bedrijf investeren in het aanwerven van eigen IT-specialisten, maar is dat vaak moeilijk. Een andere efficiëntieoefening is om een beroep te doen op securitydiensten van externen, die alle knowhow van hun beschikbare securityspecialisten samenbrengen. In plaats van per bedrijf één specialist (die nooit alles kan omvatten) in huis te halen, kan je de hulp inroepen van een facilitator die met meerdere specialisten in een SOC (Security Operations Center) werkt.

Voordelen zijn dat je met een beperkter team meerdere bedrijven kan monitoren, dat je sneller correlaties kan leggen en eventuele aanvallen ook sneller kan afblokken. Klanten krijgen er dus ook de lessons learnt van andere bedrijven bij waardoor ze hun eigen veiligheid kunnen verhogen zonder zware financiële inspanningen voor de uitbouw van een eigen IT Security-team. Bovendien werken deze SOC’s 24/7. Als je in een bedrijf alleen instaat voor IT-security, ga je ‘s avonds naar huis om te slapen. Cybercrime gaat echter niet slapen. In een SOC staat er altijd iemand op wacht.

Heb je dan toch iemand in-house nodig? Dan kan je als bedrijf bepaalde profielen gaan inhuren. Een CISO-as-a-Service bijvoorbeeld. Deze oorlog win je niet alleen. Dat is wel duidelijk.

Dit is een ingezonden bijdrage van Tom Decaluwé, COO bij SecureLink. Via deze link vind je meer informatie over de activiteiten van het bedrijf.