Menu
Carrière

6 tips voor een carrièreswitch naar security-pro

Je kunt meer dan je denkt, maar sta wel stil bij wat je jezelf aandoet.

Security is een van de IT-deelgebieden die het meest in trek is. Volgens IT-vacaturesite Dice is de vraag naar beveiligingsspecialisten tussen 2014 en vorig jaar gestegen met 40 procent, tegenover 16,8 procent het jaar ervoor. "Van alle groeiende technologiegebieden, groeit security het meest", aldus Dice-directeur Bob Melk.

Tegelijkertijd wijst onderzoek van ISC2 uit dat de meeste bedrijven (62 procent van de respondenten) geen geschikt IT-beveiligingspersoneel heeft en dat bijna de helft (45 procent) moeite heeft om gekwalificeerde mensen te vinden. Over 5 jaar is naar verwachting wereldwijd een tekort ontstaan van 1,5 miljoen security-professionals.

Omdat bedrijven moeite hebben deze vacatures te vullen, gaan de salarissen omhoog en daarmee komt er ook meer interesse van IT'ers die security-vaardigheden willen ontwikkelen. "Het betaalt goed en er is veel vraag naar", vertelt werver Julie Oates van technische specialisten bij digitaal marketingbedrijf Mondo. "Er zijn al zoveel banen en dat zullen er meer en meer worden."

We vroegen diverse deskundigen naar hoe je je voordeel kunt doen met dit tekort, maar ook naar redenen waarom het misschien juist geen goede zet is om de overstap te maken.

1. Gebrek aan juiste ervaring hoeft niet in de weg te staan

Veel van de huidige vraag is naar specialisten die enkele jaren ervaring hebben in het vakgebied, vertelt Oates. Zulke functies kunnen tot twee ton per jaar opleveren. Het onderzoek van ISC2 wijst erop dat de grootste groei verwacht wordt onder de vraag naar beveiligingsarchitecten en -ontwikkelaars.

Tegelijkertijd is er behoefte aan brede beveiligingsvaardigheden, zegt Julien Bellanger, CEO van applicatiebeveiligingsbedrijf Prevoty. "Er zijn zoveel verschillende vaardigheden nodig voor beveiliging en er is niet één persoon die al deze rollen kan vervullen", aldus de CEO. "Je hebt een groot team nodig voor alle beveiligingsvereisten", inclusief mensen die het netwerk en netwerkverkeer, hardwareappliances, applicaties en bedrijfsbehoefte achter die applicaties begrijpen."

Risicomanager Tony Martin-Vegue licht toe dat beveiliging allerlei disciplines omvat. "Inclusief programmeurs, risicomanagers, PR-deskundigen die kunnen praten met bedrijfsprofessionals in hun taal, personeel dat menselijk gedrag begrijpt en zelfs mensen met een economische achtergrond. "Als je een bedrijfskundige studie hebt gedaan of financiën begrijpt, zou ik je zelfs zonder beveiligingsexpertise als risicomanager aannemen, omdat economie en financiën draaien om het begrijpen van risico's.

Een psycholoog kan volgens hem ook van nut zijn door inzicht te hebben in hoe je gedrag van gebruikers kunt beïnvloeden. "Je hebt een basis nodig van technisch inzicht of kennis over informatietechnologie, maar je kunt wat je al kent gebruiken om jezelf te ontwikkelen", aldus Martin-Vegue. "Je begint niet op nul."

2. Bekijk het op lange termijn

De grootste behoefte de komende tijd is op het gebied van software- en applicatiebeveiliging, denken de deskundigen. "Het grootste probleem waar we nu mee te maken hebben draait om onbeveiligde code en slechte softwareontwikkelprocessen", vertelt Jeff Combs, directeur bij wervingsbureau voor IT-securityspecialisten ISE Talent.

"Mensen ontwikkelen al een halve eeuw of langer software, maar pas de laatste tien jaar zijn we gaan kijken naar softwarebeveiliging", aldus Combs. De uitdagingen waar jonge professionals die nu een carrière in security kiezen volgens hem mee te maken blijven krijgen, draaien grotendeels om softwareontwikkeling en programmeren.

Nu al is het gat tussen vraag en aanbod groot, zegt Prevoty's Bellanger, vooral omdat er nog relatief weinig aanbod voor scholing is op dit gebied. Getalenteerde programmeurs vinden daarbij een baan bij een groot techbedrijf veel aanlokkelijker dan een baan in beveiliging. "Die vragen ons constant of we nog goede applicatiebeveiligers hebben waar ze gebruik van kunnen maken."

Op dit gebied zijn twee soorten mensen nodig: programmamanagers en daadwerkelijke uitvoerders. Bedrijven zijn het beste af door zo'n manager intern aan te nemen om vervolgens diens specialisme te gebruiken door hem andere beveiligingsspecialisten aan te trekken, ze te begeleiden en hun vaardigheden aan te vullen met het juiste trainingsaanbod.

Van applicatiebeveiliging kunnen IT-vakmensen doorgroeien naar andere deelgebieden, zoals architectuur- of cloudbeveiliging. Bellanger wijst erop dat andere keuze - bijvoorbeeld netwerk- of hardwarebeveiliging - mogelijk beperkender is. "Als ik weer 18 was en vandaag voor de keuze zou staan, zou ik kiezen voor applicatiebeveiliging of een DevOps-team."

3. Schat je huidige vaardigheden niet te laag in

Als je nu een systeem-, netwerk- of databasebeheerder bent, ben je volgens Martin-Vegue al voor driekwart klaar voor bepaalde gebieden binnen informatiebeveiliging als ethisch hacke, pentesten en functies binnen informatiezekerheid (ook wel Information Assurance).

Professionals met zo'n achtergrond begrijpen hoe systemen werken en hoe gebruikers toegang krijgen. "Het is geen grote stap van gebruikers configureren naar controleren van compliance met standaarden en frameworks. Het is makkelijker overstappen als je die basis hebt."

Sterker nog, Combs zegt dat zo'n achtergrond een sterk pluspunt kan zijn. "Om goed te zijn in beveiliging is het belangrijk om een stevige basis te hebben in systeembeheer, netwerkbeheer of softwareontwikkeling", zegt hij. "Het is belangrijk om te weten hoe het onder de motorkap werkt, ook al zijn er veel aspecten die niet technisch zijn. Daardoor ben je betrouwbaarder voor andere mensen en heb je de kennis om op lange termijn succesvol te zijn."

Dice's Melk denk dat CIO's om die reden beter af zijn als ze de bestaande IT-organisatie beter kunnen ontwikkelen om beveiligingsvaardigheden te ontwikkelen, in plaats van dat er expertise van buiten word aangetrokken. "Er moet meer gedaan worden dan enkel salarissen of secundaire voorwaarden te verbeteren. Bedrijven moeten interne talenten verder ontwikkelen om het gat te overbruggen."

Dice probeert zelfs de gemeenschappelijke vaardigheden te inventariseren van verschillende IT- en securityfuncties en daarmee benodigde vaardigheden kunnen opstellen op basis van wat er nodig is. "Er zijn een heleboel banen waar mensen vanuit verschillende rollen met gerelateerde eigenschappen naar een beveiligingsfunctie kunnen overstappen", aldus Melk.

"Als je kijkt naar de vereiste kennis en ervaring bij security auditors, -engineers en -projectmanagers zie je veel dezelfde eisen als bij netwerkbeveiliging of Intrusion Detection."

Maar er is weinig kennis over welke vaardigheden precies vereist zijn om de overstap te kunnen maken en wat de snelste manier is om dat te bereiken. "We proberen de overstap zo kort en kosteloos mogelijk te maken", zegt hij. "Het ligt voor de hand om terug te gaan naar school en een diploma te halen, maar het is niet de enige optie."

4. Je hoeft niet terug naar school

De lat voor kennis ligt hoog, maar er zijn nog nooit eerder zoveel resources om bij te leren, zegt Combs, of het nou via gratis online lessen of certificeringen is of het aansluiten bij een security-community. Bijvoorbeeld SANS, OWASP, ISACA, ISSA en ISC2 zijn actieve community's van beveiligingsdeskundigen die hun ideeën kunnen delen. Je bij OWASP voegen is volgens Bellanger een goede manier om advies in te winnen over certificeringen en om een baan te krijgen.

Martin-Vegue adviseert om te beginnen met een gratis online cursus om basisconcepten te leren via een opleidingsdienst als Coursera of EdX. Daarna kun je bepalen welk subveld voor jou een goede keus is. "Als je een baseline eenmaal hebt, zoek dan naar iets wat je enthousiast maakt voor informatiebeveiliging en specialiseer daarin", vertelt hij.

Melk is het ermee eens dat online cursussen een geweldige manier zijn om je vaardigheden uit te breiden, vooral als je werkgever geen trainingen biedt. "je kunt op eigen houtje cursussen nemen zonder dat je een opleiding hoeft te doen om een bachelor of master in cybersecurity te halen."

Als je eenmaal weet welke richting je op wilt, is het tijd om een certificering te behalen, omdat die nog altijd goed staan aangeschreven in de sector, legt Martin-Vegue uit. "Mensen zeggen wel eens dat ze niets zeggen over je echte vaardigheden in de praktijk, maar de waarheid is dat werkgevers er wel naar kijken. Zelfs als je denkt dat ze inderdaad nutteloos zijn: je hebt certificeringen nodig om aan een baan te komen."

Voor hogere posities is vooral de CISSP-certificering vaak een vereiste. Volgens Martin-Vegue is voor risicomanagement CRISC van ISACA van essentieel belang. Als je meer wilt dan een juniorpositie voor het beheer van firewalls, is een leverancierscertificering van bijvoorbeeld Cisco of Juniper een goed idee. Als je programmeert is een een SSDLC-certificering volgens Bellanger bewijs dat je verstand hebt van applicatiebeveiliging.

5. Weet waar je aan begint

Er is zijn nadelen aan dit vakgebied en dat zijn bijvoorbeeld stress en burn-out. "Op beveiligingscongressen wordt vaak gepraat over depressie en het begint een onderwerp te worden in de sector", licht Martin-Vegue toe. "Als je het gevoel hebt dat je niet met die druk kunt omgaan, is het waarschijnlijk geen goed idee om een carrière in beveiliging te ambiëren."

De oorzaak van dit verschijnsel ligt volgens experts in de houding van bedrijven richting hun beveiligingsspecialisten. Als er een inbraak is, wordt er aangenomen dat iemand bij beveiliging zijn werk niet goed heeft gedaan. In het geval van publieke datadiefstal "is het ontwrichtend voor zowel klanten als werknemers", zegt Martin-Vegue. "Mensen worden ontslagen, de koers daalt en je raakt het vertrouwen van het publiek kwijt. Als je de persoon bent die in het jaar richting de hack achter het toetsenbord zat bij de toegangscontrolesystemen, komt dat hard aan."

Naast het feit dat beveiligingsspecialisten onder dat zwaard van Damocles zitten, wordt de securityfunctie ook vaak los gezien van de bedrijfsvoering, legt applicatiebeveiliger Bellanger uit. De business waardeert het niet als beveiligingsmiddelen worden ingezet rond een initiatief als dat vertragingen oplevert, maar tegelijkertijd krijgt je de schuld als beveiliging faalt. "Het kan een erg eenzame, afgezonderde positie zijn."

Die situatie zal veranderen op de lange termijn, vermoedt hij, als security een volwaardig onderdeel gaat uitmaken van de bedrijfsvoering. "Als beveiliging overal aanwezig is en klopt met de business, heb je een heleboel minder stress in het team", aldus Bellanger. "Het bedrijf moet begrijpen dat het vroeger of later slachtoffer van een succesvolle aanval wordt. Nu is dat begrip er niet, waardoor er met vingers wordt gewezen."

"Een carrière in beveiliging vereist dat je in verschillende gebieden sterk bent", zegt wervingsspecialist Combs. De technologie verandert steeds, dreigingen evolueren, regels veranderen en je bent in constant gevecht om budget waardoor "je nooit een punt bereikt waarop het werk af is."

In het onderzoek van(ISC)2 gaf meer dan drie kwart van de respondenten aan tevreden te zijn met de huidige functie, maar de sector ondervond een verloop van bijna twintig procent. Dat is de grootste churn rate die het instituut ooit heeft gemeten.

6. Volg je passie; niet het geld

De vraag - en de salarissen - kunnen een aanlokkelijk voorstel zijn, maar het moet niet de enige drijfveer zijn. Aan de positieve kant is IT-beveiliging een mooi vak waarbij je deel uit maakt van een gemeenschap, aldus Bellanger, vooral als je het vergelijkt met softwareontwikkeling. "Beveiligers vormen een ontzagwekkende, hechte community die goed samen werkt."

Je weet dat security een vak voor jou is als je zo iemand bent die wil weten hoe dingen werken, ze kapotmaakt en weer repareert, zegt Combs. "Er is een buitenproportionele hoeveelheid van kunstenaars, muzikanten, creatieveling en asymmetrisch denkende mensen die in deze sector aan de slag zijn gaan. Uiteindelijk draait het om persoonlijke wens. Belangrijk zijn interesse om te begrijpen wat er onder het oppervlakte ligt en het niet accepteren van aannames."

20 / 25