Gezocht: miljoenen securityspecialisten

Guy Kindermans Guy Kindermans is freelance journalist bij Data News.

Naar schatting staan vandaag wereldwijd meer dan een miljoen informatiebeveiliging- en cybersecurity-gerelateerde jobs open. Geen wonder dat u een carrièrewissel overweegt!

Het cijfer van één miljoen (!) openstaande securityjobs gaat al enkele jaren mee, maar is allicht nog een onderschatting van de reële nood. Een nood die overigens nog stevig gaat toenemen. Zo berekenen studies het tekort aan security experten wereldwijd op meer dan 3,5 miljoen personen tegen 2021. Ook in België stijgt de vraag naar securityspecialisten snel, en vindt men op jobsites vlot honderden aanbiedingen.

Voorts zijn er heel wat redenen waarom informatiebeveiliging en cybersecurity ‘hot’ zullen blijven. Denk maar aan de steeds nieuwe aanvalswijzen van misdadigers, terroristen, spionagediensten (ook van commerciële concurrenten) en de vele amateur-hackers, of aan de securityverschrikkingen door onkunde en achteloosheid in de werelden van het Internet of Things en industriële automatisering. Daar tegenover staan dan weer de groeiende eisen van de wet om aan informatiebeveiliging te werken, zoals onder meer vermeld in de Algemene Verordening Gegevensbescherming (GDPR). ‘Persoonsgegevens moeten door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is […], ‘ lezen we daar in artikel 5.

Kortom, geen betere tijd dan vandaag om de overstap te overwegen!

Het is veeleer hoe je brein werkt, dan wat je weet

Wie is geschikt?

Wie maakt daarbij de meeste kans op slagen? ICT’ers, technici, politie- of ordedienst-veteranen (LEO), of nog iemand anders? Volgens James Lyne, hoofd Research & Development bij security-opleidingsspecialist SANS Institute, zijn de drempels voor ICT’ers en LEO-veteranen zeker lager, maar vaak is het meer een kwestie van “aanleg, om te slagen in de omscholing. Het is veeleer hoe je brein werkt, dan wat je weet.” Zo is het belangrijk om uit grote datasets snel relevante informatie te plukken en die efficiënt aan te wenden – een van de 17 kenmerken waarop kandidaat-cursisten door SANS Institute worden getoetst.

Overigens is er “nog nood aan alle specialismen, zelfs in de meest populaire, zoals ‘penetration testing’, ” met wellicht de grootste vraag naar ‘blue team capabilities’, oftewel expertise in cyberverdediging. Denk daarbij ook aan expertise om de nieuwste ‘eindpunten’ zoals smartphones te beveiligen, zeg maar “alle toestellen die van data doordrenkt zijn.” Ze baren dezelfde zorgen als meer klassieke systemen, zij het met een verschillende aanpak van bescherming.

En dan is er nog het schier braakliggend terrein van het Internet of Things – van slimme thermostaten en meters tot autonome auto’s en slimme steden. De grote verscheidenheid (en aantallen) van IoT-toestellen, de uiterst snelle ontwikkelingen, de fundamentele verschillen met bedrijfsgerichte informatiesecurity en de huidige grote IoT security-achteloosheid maken dit tot een universum van nieuwe security-job opportuniteiten (van consultancy langs ‘pen testing’ tot experten met kennis van de ‘low level’ lagen in IoT systemen).

Hoe aanpakken?

Hoe pak je best de nodige bijscholing aan? “Er zijn natuurlijk verschillende leerstijlen, vaak afhankelijk van het individu, ” onderkent Lyne, wat de keuze tussen een klassikale of online cursus (mee)bepaalt. “Een klassikale training biedt allicht meer contact met personen die al de harde lessen hebben geleerd, en dit in een ‘hands on’ training meegeven.” Voor Lyne is immers ‘toetsenbord’-ervaring een cruciale hoeksteen! U leert het door het te doen, niet door theorie te lezen. En leer niet alleen het standaard gebruik van mainstream tools, maar veeleer hoe echte hackers denken en werken. Interessant hiervoor zijn ‘training ranges’ (virtuele oefengebieden), zoals onder meer het Netwars aanbod van SANS Institute (met ‘gamification’ aanpak).

Wie een job op een hoger niveau nastreeft, kan best uitzoeken welke ‘skills’ patronen de aanwervers echt zoeken, en daar op inspelen

Heel populair zijn de verschillende certificatieprogramma’s in de security wereld. Gaat u voor een meer commercieel certificaat (zoals van Cisco, Microsoft, …) of veeleer een productonafhankelijk certificaat (zoals deze van Sans Institute, Isaca en anderen)? “Vaak gaan personen voor een certificaat om een eerste job in de wacht te slepen, ” stelt Lyne, “om zo de aanwervende persoon te overtuigen van hun expertise. […] Wie een job op een hoger niveau nastreeft, kan best uitzoeken welke ‘skills’ patronen de aanwervers echt zoeken, en daar op inspelen.”

Interessant is overigens dat Isaca – de wereldwijde vereniging van auditors en securityspecialisten – een certificaat specifiek voor instappers heeft ontwikkeld: het CSX (Cybersecurity Nexus) programma. Dat voorziet zowel in kennis van ‘fundamentals’ (CSXF, basisconcepten) als het ‘practitioner’ certificaat (CSXP, hands-on kennis). De examens worden online afgenomen, na het volgen van virtuele cursussen of workshops (ook in België).

Ook aan de hogescholen en universiteiten groeit de aandacht voor security-(bij)scholing. Zo biedt Howest al een poos het Computer & Cyber Crime @home (CCCP@Home) programma aan, voor wie werk en studie combineert. Op de site van het Centre for Cyber Security Belgium (ccb.belgium.be) vind je een overzicht van alle ict security gerelateerde opleidingen/cursussen aan hogescholen en universiteiten in België. Voor wie wat dichter bij ICT wil blijven, is er tevens de jaarlijkse SecAppDev (weeklange) cursus, met focus op de ontwikkeling van veilige software – een initiatief van de KULeuven en Solvay Business School (in samenwerking met Owasp).

Nog lange tijd

Allicht vraagt u zich af of het tekort aan securityspecialisten (in het bijzonder van instapniveau) niet door een verregaande automatisering van het securitygebeuren zal worden opgelost. Vandaag wordt al gewerkt aan ‘next gen’ producten en diensten die in toenemende mate steunen op AI, ‘deep/machine learning’, de integratie van ‘threat intelligence’ (kennis van acute dreigingen) en dies meer. Naast het veranderende gevarenlandschap vormt dit een bijkomende reden voor continue bijscholing en verdieping van de expertise (inclusief nieuwe technologieën, zoals blockchain). Ondertussen blijft wel de acute nood aan meer securityspecialisten. Dus veel succes gewenst met uw carrièrewissel!

Fout opgemerkt of meer nieuws? Meld het hier

Partner Content