Securityexpert wordt manager

Schaars goed blijft duur goed, zeker als je een ‘certificaat’ op zak hebt. En de securityexpert moet meer manager worden.

Schaars goed blijft duur goed, zeker als je een ‘certificaat’ op zak hebt. En de securityexpert moet meer manager worden.

Dat en meer leert de jaarlijkse ‘Global Information Security Workforce’ studie van (ISC)2, uitgevoerd door Frost & Sullivan. Het International Information Systems Security Certification Consortium – ietwat bondiger wordt dat (ISC)2 – is de organisatie die persoonsgebonden expertise-‘certificaten’ als het populaire CISSP (Certified Information Systems Security Professional) certificaat schraagt. Jaarlijks peilt (ISC)2 wereldwijd naar de werksituatie van securityexperten, ook in Europa.

Uit de resultaten blijkt duidelijk de groeiende bezorgdheid in bedrijven voor de mogelijke nadelige gevolgen van securityproblemen. Het verlies van reputatie en het bijhorend verlies van vertrouwen onder de klanten (een topzorg voor 71 procent van de respondenten), de noodzaak om te voldoen aan overheids- en sectoriële securityverplichtingen én het besef dat de hoogste bedrijfsleiding vaak ook persoonlijk aansprakelijk is, zijn factoren die hiertoe bijdragen.

Een derde van de respondenten stelt dan ook dat ze overwegend met managementtaken te maken hebben, terwijl 48 procent meent dat dit over enkele jaren voor hen het geval zal zijn. Niet minder dan 33 procent van de respondenten rapporteren al rechtstreeks aan de bedrijfsleiding (en ca. een derde ressorteert onder het it-departement). Volgens Frost & Sullivan zal de toename van wereldwijde en regionale wetgevingen en reglementeringen (PCI, EU Directive 2002/58/EC, ISO 270018/27002 e.a.) de rechtstreekse communicatie met het bedrijfsmanagement nog doen groeien.

Het aantal securityspecialisten steeg in 2007 wereldwijd tot ca. 1,6 miljoen, en naar verwachting (Frost & Sullivan) worden dat er 2,7 miljoen in 2012. Voor Europa gaat het om respectievelijk 405.900 en 737.470 securityexperten. Bij 27 procent van de respondenten steeg tevens het budget voor securitygerelateerd personeel.

Dat alles heeft een impact op de aanpak van de veiligheidsexperten. Zo onderkennen de respondenten de nood om naast een specifieke securitykennis (inzake technologie en dreigingen) ook meer zakelijke expertise te verwerven (zoals kunnen communiceren, onderhandelen, management e.a.). Meer opleidingen in die richtingen worden dan ook gezocht en gevraagd. Overigens telde Europa wel het laagste percentage (27%) respondenten dat het opleidingsbudget zag stijgen in het voorbije jaar (en het hoogste percentage bij wie het daalde). Wel bleek meer dan de helft van de respondenten optimistisch is wat betreft de stijging van hun opleidingsbudgetten.

Voor degenen die veiligheidsexperten moeten aanwerven, groeit het belang van ‘certificaten’, als een soort garantie voor het reële expertiseniveau van de personen die zich aandienen. Volgens 78 procent van hen is zo’n certificaat ‘erg belangrijk’ tot nogal ‘belangrijk’ bij de aanwerving. Het legt de bezitters ervan geen windeieren. Werknemers met een certificaat van (ISC)2 bijvoorbeeld konden tot 30 procent meer verloning noteren in Europa. Wel brengt zo’n certificaat de verplichting tot continue bijscholing mee, zoniet vervalt het. Een groeiend probleem vormt de veelheid aan ‘neutrale’ (niet aan een beveiligingsleverancier gebonden) of ‘leverancier-specifieke’ certificaten, respectievelijk meer dan 40 en meer dan 25. Ze vormen niet meteen een absolute garantie, waardoor er stemmen opgaan om veeleer vanuit goed gedefinieerde functieprofielen te werken (zie kadertje).

Toch blijven certificaten een belangrijk element en (ISC)2 speelt hierop in met de ontwikkeling van een nieuw certificaat: Certified Secure Software Lifecycle Professional (CSSLP). Het uitgangspunt is dat het securityprobleem het best aan de wortel wordt aangepakt en dat vandaag meer dan 70 procent van de kwetsbaarheden zich op applicatieniveau aandienen. Kortom, een CSSLP moet onderlegd zijn in de ‘best practices’ om doorheen de hele levenscyclus van software het securityaspect te behartigen. Momenteel loopt nog een studieronde rond CSSLP, met medio 2009 de eerste mogelijkheid om het examen af te leggen.