Loopbaan

Carriere

IT-beveiliger worden? Dit moet u weten en kunnen

2 november 2012

Op de site van IT Job Board staan nu 140 banen waarin vraag is naar ‘beveiligingsskills’. Dat is 7,5 procent van het totale aantal geadverteerde vacatures op de site. Peter Healey, directeur van IT Job Board, ziet de vraag naar security­kennis “eigenlijk voortdurend stijgen in de afgelopen zeven jaar. Als de cijfers van 2011 vergeleken worden met die van 2012 tot nu toe, gaat het zelfs om een stijging met 14 procent.”

De cijfers illustreren dat goede beveiliging steeds noodzakelijker wordt. Niet alleen neemt het aantal aanvallen enorm toe, de hoeveelheid data die beschermd moet worden groeit ook zeer fors. En steeds meer aanvallen komen in de openbaarheid, waardoor organisaties zich veel beter bewust zijn geworden van de gevaren. Daar komt nog bij dat de overheid zijn inspanningen op het gebied van IT-beveiliging aan het opschroeven is en daarvoor veel nieuwe medewerkers nodig heeft. Zo wordt er binnen het Ministerie van Defensie een ‘cyberleger’ opgebouwd, breidt de KLPD zijn High Tech Crime Units fors uit en groeit ook het National Cyber Security Center, dat per 1 januari is gestart. De IT-beveiligingsdienstverleners groeien bovendien enorm, omdat diezelfde overheid niet snel genoeg eigen mensen kan werven terwijl de aanvallen onverminderd doorgaan.

Niet eenvoudig

Het zou toch makkelijk moeten zijn. Na ruim vier jaar crisis zitten veel ervaren IT’ers thuis. Enige omscholing zou toch moeten volstaan om hen geschikt te maken voor de IT-beveiligers, zou je denken. Dat is echter zeker niet zo eenvoudig. De zoekende werkgevers krijgen genoeg aanbiedingen van sollicitanten, maar kwantiteit is hier niet een garantie voor kwaliteit. Want wat moet je nu precies kunnen of leren om hier daadwerkelijk aan de slag te gaan?

IT Job Board ziet grofweg vraag naar twee soorten skills voor beveiligingsexperts. Op het gebied van System Security is er vraag naar certified ethical hackers, vooral bij banken, de overheid en andere organisaties waar gevoelige informatie wordt beheerd. Daarnaast is er vraag naar mensen die gecertificeerd zijn met CISSP voor het begeleiden van projecten, het uitvoeren van audits en het maken van risco-analyses. Hier geldt volgens IT Job Board bovendien dat systeembeveiligingsexperts ook over soft skills moeten beschikken. Daarbij gaat het om communicatie, samenwerking en overtuigingskracht. “Ze moeten in staat zijn om zowel aan IT’ers als aan de directie uit te leggen hoe systemen werken, waar de zwakke punten zitten en wat er moet gebeuren om ze te beveiligen. Hier komen zaken bij kijken die bijna los staan van technologie. Zorgen dat iedereen de deur van het datacenter op slot doet bijvoorbeeld”, zegt Healey.

Diploma’s

Wie zich met cursussen wil laten omscholen in IT-security komt snel terecht bij opleidingen voor CISSP, CISMP en CISM. CISSP staat voor Certified Information Systems Security Profession. CISMP (Certificate in Information Security Management Principles) richt zich op beleid, regelgeving en strategie voor leidinggevende beveiligingsexperts. De cursussen hiervoor worden door veel opleiders aangeboden. CISM is een vergelijkbare kwalificatie. Maar niet elke werkgever hecht veel waarde aan zulke opleidingen. Charlie Miller, de Amerikaanse ethical hacker en security-onderzoeker die naam maakte met het hacken van Apple-systemen, is bijvoorbeeld niet onder de indruk van certificaten of diploma’s. Miller werkt momenteel bij consultantsbureau Accuvant, en als er mensen bij hem komen solliciteren, is CISSP niet echt iets wat hem over de streep trekt. “Diploma’s zijn geen garanties voor skills. En skills zijn ook weer niet te meten. Ik kijk dus naar de bugs die ze gevonden hebben en hoeveel presentaties ze gegeven hebben.”

Bruce Schneier daarentegen gelooft juist weer wel in certificaten. De beveiligingsexpert bij BT wijst erop dat je door certificaten en diploma’s te halen toch laat zien dat je iets kunt.

Minimaal HBO

Voor veel functies wordt wel minimaal een HBO-niveau gevraagd. Inmiddels hebben veel hogescholen en universiteiten opleidingen ontwikkeld in de richting van IT-security. Ervaring leert dat mensen met zo’n afgeronde opleiding momenteel tamelijk makkelijk een baan vinden. Een HBO-opleiding en zeker een universitaire opleiding op het gebied van IT-beveiliging is wat directeur Benelux Martijn Lommers van Kaspersky Lab betreft altijd welkom. “Voorwaarde is wel dat je kennis up-to-date is.” En dat de sollicitant op zijn minst enige basiskennis heeft in ontwikkeltalen zoals C++.

Yuri Bobbert, CEO en oprichter van beveiliger B-Able, heeft specifiekere eisen. “Wij hebben mensen nodig met bedrijfskundige kennis, want het gaat ons om risicomanagement. Je moet beveiliging zien als iets bedrijfskundigs. De link van IT naar bedrijfsvoering moet worden gelegd. Je moet de impact kunnen zien van beveiligingsoplossingen op je bedrijfsvoering. Mensen die dat kunnen, zijn heel moeilijk te vinden. Veel IT’ers willen wel die kant op, maar zij blijven toch in enen en nullen praten. De enige oplossing is dan dat je bedrijfskundigen zoekt en hen zelf meer IT- en securitykennis bijbrengt.” Bobbert constateert wel dat er steeds meer opleidingen zijn die de combinatie aanbieden, zoals NOVI, de hogeschool Utrecht en de Universiteit van Antwerpen, waaraan hij zelf als onderzoeker is verbonden.

HP heeft vergelijkbare wensen. Het gewenste niveau is minimaal HBO, maar er is meer. “We zoeken zeker voor de consultancy-functies mensen met ervaring op bedrijfskundig en technologisch gebied. Grondige kennis van de markt van onze klanten is ook nodig. Security begint namelijk niet meer bij de IT – hoe gek dat ook klinkt – maar op het niveau daarboven. Laat je daar steken vallen, dan helpt geen enkele oplossing”, zegt een woordvoerder van HP.

Het Nationaal Cyber Security Center dat per 1 januari dit jaar van start is gegaan, breidt naarstig uit en heeft nog zeker 11 vacatures te vullen. Van hen wordt ook op zijn minst een HBO-niveau verwacht. Maar, zo stelt een woordvoerder van het NCSC: “Het belangrijkste voor een nieuwe collega is dat hij kennis heeft van de inhoud en snel kan opereren en signaleren in een hectische omgeving.” Maar er wordt ook veel technische kennis gevraagd.

Praktische vaardigheden

Hoeveel certificaten en diploma’s ook gevraagd worden voor beveiligingsexperts, juist in dit werk zijn toch altijd veel praktische vaardigheden vereist. Joost Pol, directeur van Certified Secure: “Wij kregen hier heel veel sollicitanten die wel de nodige certificeringen hadden, maar praktische vaardigheden misten. Die mensen komen uit de IT en zijn vaak papieren tijgers. Maar wij wilden weten of ze ook basale praktische vaardigheden hadden. Vaak merkte je na een tijdje in dienst dat ze die bijna niet hadden. En daarvoor waren geen certificeringen beschikbaar.” Hij merkte dat het moeilijk was om in te schatten hoe goed sollicitanten in de praktijk zijn, ondanks de berg certificaten die ze bij zich hadden. Dus ontwikkelde Certified Secure maar zelf certificeringen voor praktische vaardigheden op het gebied van IT-beveiliging. Inmiddels heeft het bedrijf zo’n 4500 certificaten uitgegeven. De meeste belangstelling trekken de testen voor veilig programmeren en veilig systeembeheer. “Daar zijn ook de meeste banen voor beschikbaar op dit moment”, verklaart Pol. Maar er zijn ook testen voor penetratietesten en auditing. “Dat wordt meer gevraagd bij specialistische functies en die zijn er gewoon minder.” De testen bestaan uit online challenges. In een virtuele omgeving moet de kandidaat bijvoorbeeld aantonen dat een site problemen heeft, een server veilig maken of een firewall inrichten.

De certificeringen worden inmiddels goed gewaardeerd door werkgevers, merkt Pol. “In het begin was het een kwestie van roeien tegen de stroom in, maar het belang dringt nu ook bij grotere bedrijven door.” Zo heeft zijn bedrijf een grote challenge ontwikkeld voor de KLPD. Die zoekt nu veel mensen die ook nog eens praktisch iets moeten kunnen. “Dat filter je er gelijk uit met onze test”, zegt Pol.

Aanvullende eisen

Aan beveiligingsexperts kleeft een behoorlijk nerdy imago. Hackersconferenties versterken dit beeld. Maar van de meeste beveiligers worden goede communicatieve skills gevraagd. Zo heeft HP een duidelijk ‘type mens’ voor ogen bij de security-experts die zij zoekt: “Communicatief en een teamspeler.” En ook de beveiligers die NCSC op zijn wensenlijstje heeft staan moeten communicatief zijn. “Ze moeten goed kunnen schrijven, verantwoordelijkheidsgevoel hebben, discreet zijn en kunnen samenwerken.”

Bugjager Miller wijst er ook op dat een echte IT-beveiliger volhardend moet zijn. “Je moet hiervoor vol kunnen houden, want het is veeleisend werk. Passie en liefde voor dit werk zijn nodig. Anders kun je er niet de tijd en inzet voor vinden die ervoor vereist zijn. Zeker niet op de lange termijn.”

Bruce Schneier zoekt nog iets anders in de geest van de beveiliger. “Je moet een bepaalde instelling hebben die niet veel mensen van nature hebben, maar die wel essentieel is. Je moet bedenken hoe je dingen kapot kunt maken, terwijl technici er van nature juist op gericht zijn dingen zo goed mogelijk te laten werken. Je moet dus denken als een aanvaller, een vijand of een crimineel. Anders zul je nooit beveiligingsproblemen kunnen vinden.”

En daarbij moet de grens tussen goed en kwaad heel duidelijk zijn voor de beveiliger. Hoe talentvol, kundig of ervaren je ook bent, bij Kaspersky Lab komt een hacker met een strafblad er niet in. Orders van oprichter Eugene Kaspersky zelf. “Je kunt zo iemand toch niet met goed fatsoen naar een bank sturen”, zegt Martijn van Lom, directeur Benelux van Kaspersky Lab.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!