- Nieuw rapport door Intel Security en CSIS wijst op ernstig wereldwijd tekort aan cybersecurityprofessionals
- Het tekort aan cybersecurityspecialisten is groter dan het tekort aan andere IT-professionals
- Het tekort aan cybersecurityvaardigheden levert aanzienlijke schade op
- Driekwart van de respondenten is van mening dat overheden niet voldoende investeren in het ontwikkelen van cybersecuritytalent
- Hands-on, praktische trainingen worden gezien als een betere manier om relevante vaardigheden op te doen dan traditionele opleidingen
Schiphol-Rijk, 3 augustus 2016 – Intel Security heeft, in samenwerking met het Amerikaanse Center for Strategic and International Studies (CSIS), een nieuw rapport gepubliceerd, getiteld ‘
Hacking the Skills Shortage’. Dit rapport onderzoekt het wereldwijde tekort aan cybersecurityspecialisten en de gevolgen hiervan voor zowel organisaties als landen. Een meerderheid (82%) van de respondenten bevestigt dat er een tekort aan cybersecurityspecialisten is. Volgens 71 procent is dit tekort verantwoordelijk voor directe en meetbare schade aan organisaties, die door het gebrek aan securitytalent aantrekkelijke doelwitten worden voor cybercriminelen.
Infographic:The Cybersecurity
Workforce Deficit (klik voor volledige infographic)
“Een tekort aan mensen met cybersecurityvaardigheden levert rechtsreeks schade op voor ondernemingen, waaronder het verlies van bedrijfsgegevens en intellectueel eigendom”, zegt James A. Lewis, senior vice president en director van het Strategic Technologies Program bij CSIS. “Dit is een wereldwijd probleem: een meerderheid van de respondenten in de onderzochte landen kan het tekort aan cybersecurityspecialisten koppelen aan schade die hun organisatie heeft opgelopen.”
Hoewel een op de vier respondenten bevestigt dat hun organisatie belangrijke bedrijfsgegevens is kwijtgeraakt ten gevolge van het gebrek aan cybersecurityvaardigheden, lijkt het er niet op dat dit tekort op de korte termijn zal worden opgelost. Volgens de deelnemers aan het onderzoek zal tegen 2020 naar schatting 15 procent van de cybersecurityfuncties binnen hun organisatie onvervuld blijven. Gezien de toename in het gebruik van de cloud, mobile computing en het Internet of Things, evenals de toename in cyberaanvallen over de hele wereld, is het essentieel dat er iets wordt gedaan aan het tekort aan cybersecurityspecialisten.
“Hoewel in de beveiligingssector uitgebreid wordt overlegd over hoe om te gaan met de stortvloed aan hacks en data-inbraken, hebben overheden en de private sector nog onvoldoende gedaan om het tekort op het gebied van cybersecuritytalent terug te dringen”, zegt Wim van Campen, vice president Noord en Oost Europa, Intel Security. “Om deze situatie aan te pakken moeten we alternatieve vormen van educatie inzetten en meer trainingsmogelijkheden bieden. Ook moeten we veel meer automatiseren zodat de beschikbare mensen meer in de frontlinie kunnen opereren. En we moeten zorgen voor meer diversiteit op de cybersecurity werkvloer.”
De vraag naar cybersecurityprofessionals groeit sneller dan de vraag naar andere professionals. Vooral aan mensen met diep technische kennis is veel behoefte. Kennis en vaardigheden op het gebied van intrusion detection, het ontwikkelen van veilige software en het verminderen van de effecten van aanvallen, werden door de respondenten veel hoger gewaardeerd dan ‘soft skills’, zoals samenwerken, leidinggeven en effectief communiceren.
Het rapport onderzoekt vier aspecten van het tekort aan cybersecurityprofessionals:
- Uitgaven aan cybersecurity: uit de grootte en groei van budgetten voor cybersecurity blijkt welke prioriteit bedrijven en landen toekennen aan beveiliging. Zoals valt te verwachten, gaan landen en industriesectoren die meer uitgeven aan cybersecurity beter om met het tekort aan beveiligingsspecialisten. Dit tekort heeft volgens 71 procent van de respondenten geleid tot directe en meetbare schade voor hun organisatie.
- Educatie en training: slechts 23% van de respondenten zegt dat opleidingen studenten goed voorbereiden op werk in deze sector. Niet-traditionele, praktijkgerichte leermethodes, zoals hands-on training, gaming en hackathons, kunnen effectiever zijn om cybersecuritykennis en -vaardigheden op te bouwen en bij te houden. Ruim de helft is van mening dat het tekort aan beveiligingsvaardigheden groter is dan het tekort aan andere IT-beroepen.
- Werkgeversaspecten: hoewel het geen verrassing is dat het salaris de belangrijkste motiverende factor is bij de werving, zijn er nog andere aspecten belangrijk bij het aantrekken en behouden van toptalenten. Bijvoorbeeld trainingsmogelijkheden, groeikansen en de reputatie van de IT-afdeling van het bedrijf. Bijna de helft van de respondenten noemt gebrek aan opleidingsmogelijkheden of het ontbreken van ondersteuning als zij zich verder willen ontwikkelen als veel voorkomende redenen voor het vertrek van talent.
- Regeringsbeleid: ruimt driekwart van de respondenten zegt dat overheden onvoldoende investeren in het ontwikkelen van cybersecuritytalent.
Situatie in Nederland
Omdat Nederland niet is meegenomen in het onderzoek door CSIS, heeft ICT-platform Computable de vragen voorgelegd aan een aantal van zijn industrie-experts. Uit de reacties blijkt dat het tekort ook in ons land zorgen baart.
“De benodigde vaardigheden zijn natuurlijk sterk afhankelijk van de rol: er bestaat niet zoiets als ‘de cybersecurityprofessional’. Maar over het algemeen zijn technische securityvaardigheden schaars onder cybersecurityprofessionals. Vaardigheden om op een technisch niveau securitymaatregelen te evalueren en te omzeilen –dezelfde vaardigheden die door criminele hackers gebruikt worden – zijn onvoldoende aanwezig”, zegt Christiaan Ottow, Security Coach bij Computest / Pine Digital Security. Op de vraag in hoeverre opleidingsprogramma’s bijdragen aan het klaarstomen van cybersecurityprofessionals voor de industrie, antwoord Ottow: “De meeste opleidingsprogramma's richten zich nu op de ‘zachte’ kant van cybersecurity: risk management, organisatieprocessen, etc. Dat is nodig, maar de technische diepgang ontbreekt behoorlijk bij dergelijke opleidingen. Op bepaalde cybersecurityfuncties kan je beter instromen als programmeur of vanuit een andere IT-functie dan vanuit zo'n cybersecurityopleiding.”
Rob van der Veer, Principal consultant bij SIG, ziet nog een andere reden voor het tekort aan securitytalent: ”De belangrijkste reden dat we in Nederland een tekort hebben aan securityvaardigheden zit in onze cultuur. In ons land verdien je als technisch specialist of ontwikkelaar minder geld en aanzien dan een manager. Het gevolg is dat de handige techneuten uit de techniek promoveren en technische opleidingen onvoldoende interesse krijgen. Vraag maar eens in een collegezaal informatica wie er programmeur wil worden. Je zult maar een paar handen zien en misschien wel geen.” Ook de ernst van het tekort wordt door Van de Veer onderstreept: “Het lage niveau van cybersecurity is een directe bedreiging voor onze privacy en van de openbare orde. Immers, datalekken zijn aan de orde van de dag en het wachten is op uitval van kritieke infrastructuur.”
Jan van der Sluis, Client Security Principal, Hewlett-Packard Enterprise, stipt nog een ander aspect aan rond de benodigde skills voor securityprofessionals: “Onder cybersecurityprofessionals ontbreekt het nog weleens aan kennis rond actuele bedrijfsvoering en de communicatie naar de beslissers en de beleidsmakers. Veelal ligt dit thema nog teveel op een technisch niveau en de link naar het reactie- of herstelvermogen van de betreffende ondernemingen of instellingen zal helder verwoord moeten worden: wat te doen, wat zijn de risico’s, wat gaat het kosten, wie gaat het oplossen?”
Aanbevelingen
Het rapport doet een aantal aanbevelingen om het tekort aan cybersecuritytalent terug te dringen:
- Bepaal minimumkwalificaties voor startende cybersecurity-specialisten en accepteer ook niet-traditionele opleidingsmogelijkheden.
- Stimuleer de diversiteit op cybersecuritygebied en biedt meer mogelijkheden voor externe training.
- Kijk naar technologie voor het intelligent automatiseren van security.
- Verzamel aanvalsgegevens en ontwikkel betere meetmethoden om aanvallen snel te kunnen detecteren.
Het volledige rapport en meer aanbevelingen van Intel Security zijn te vinden via:
Hacking the Skills Shortage: A study of the international shortage in cybersecurity skills.
Onderzoeksmethode
Intel heeft het onderzoek waarop dit rapport is gebaseerd laten uitvoeren door de onafhankelijke technologie marktonderzoeker Vanson Bourne. Daarvoor zijn in mei van dit jaar 775 ITDM’s met een rol in cybersecurity online ondervraagd, in Australië (75), Duitsland (100), Israël (50), Japan (75), Mexico (75) het Verenigd Koninkrijk (100) en de Verenigde Staten (200). Alle respondenten waren afkomstig van organisaties met minstens 500 werknemers en waren afkomstig uit zowel de private als de publieke sector.
Over Intel Security
Intel Security zet zich met zijn McAfee-lijn van producten in om de digitale wereld veiliger en zekerder te maken voor iedereen. Kijk voor meer informatie op
www.intelsecurity.com. Intel Security is een divisie van Intel.
Contactpersonen voor de pers
MCS PR, Intel Security Persdesk, e-mail
intelsecurity@mcspr.nl, tel. 023 - 562 8208.
OPMERKING: Intel en het Intel logo, McAfee en het McAfee logo zijn gedeponeerde handelsmerken van Intel Corporation in de Verenigde Staten en/of andere landen. Alle andere gedeponeerde en niet-gedeponeerde handelsmerken in dit document zijn het eigendom van hun respectieve eigenaren.
© 2016 Intel Corporation