3 De vraag op de arbeidsmarkt naar Cyber Security Professionals
3.6 Afsluitende opmerkingen
We zien dat de arbeidsmarkt per functiegroep verschilt. De verschillen betreffen de func-tieomschrijvingen en functie-eisen in termen van gevraagde opleidingen, competenties en behaalde certificaten. Ook het profiel van de werkgevers verschilt per functiegroep wat een aanwijzing is dat het om verschillende arbeidsmarkten gaat. De arbeidsmarkt van technisch dominante cybersecurity professionals wordt gedomineerd door de consul-tancy en detacheringsbedrijven. Naast deze bedrijven zijn er maar weinig organisaties die een aantrekkelijk, gevarieerd werkaanbod kunnen bieden aan de professionals. In de arbeidsmarkt voor de technisch dominante functies waarin cybersecurity een onderdeel is zijn softwareontwikkelaars de belangrijkste afnemers. Echter, de ‘softwareontwikkelaars’ worden meer en meer een zeer gedifferentieerde groep, werkzaam in verschillende sec-toren. De arbeidsmarkt van niet technisch dominante cybersecurity professionals kent een zeer gevarieerd palet aan werkgevers. Dit heeft te maken met het feit dat deze pro-fessionals, als schakel tussen techniek en organisatie, niet veelvuldig in organisaties no-dig zijn. De arbeidsmarkt voor niet technisch dominante functies waarin cybersecurity een onderdeel is, kent vooral in de auditing wereld een aantal grote spelers.
Omdat het om verschillende arbeidsmarkten gaat, is het gerechtvaardigd ook discrepan-ties tussen vraag en aanbod en oplossingsrichtingen separaat te beschrijven (zie hoofd-stuk 5).
Ten aanzien van de vestigingsplaats van de vragende organisaties, geldt voor alle func-tiegroepen dat veel organisaties gevestigd zijn in de Randstad (Noord-Holland, 30%; Zuid-Holland, 20%; Utrecht 15%).
De analyse van de vraag naar Cyber Security Professionals wijst op een aantal interes-sante aspecten van de dynamiek in de markt:
De markt vraagt veelvuldig om technici, terwijl dit niet altijd nodig blijkt te zijn. Dit lijkt een symptoom van niet goed weten wat nodig is om een organisatie veilig te maken. Hierdoor wordt de oplossing gezocht in technische hulpmiddelen, tools en checklists. Echter, cybersecurity gaat veel minder over techniek dan over weet hebben van de bedrijfskundige processen en het opstellen van een risicoanalyse en dreigingsprofiel. Hierbij komt de vraag wat deze dreiging in termen van tech-niek betekent pas aan het einde aan de orde, niet aan het begin. Het is dit
symp-61 toom waarvan organisaties beter doordrongen moeten zijn. Met andere woorden, organisaties moeten beter ingelicht worden wat cybersecurity inhoudt.
Gebrek aan securitybewustzijn, met name bij kleinere bedrijven. Veel kleine MKB-bedrijven zijn niet geïnteresseerd in cybersecurity. “Het overkomt ons toch niet”. Men vergeet dat cybercrime zeer goed georganiseerde misdaad is: als er iets te halen valt, komen ze er vroeg of laat wel achter.
Cybersecurity wordt vaak als een kostenpost gezien. Nu nog wordt beveiliging ge-zien als kostenpost (functionaliteit als economische meerwaarde). Dit moet ver-anderen en dit vraagt om een verdere ontwikkeling naar volwassenheid van de ICT-sector als geheel. Als de ICT écht volwassen wordt, kan dit betekenen dat de CSP eigenlijk niet meer nodig is: het probleem lost zich op. Gegeven bezuinigin-gen en reorganisaties komt cybersecurity bij een aantal organisaties onder druk te staan.
Krapte op de arbeidsmarkt heeft een stuwende werking op de arbeidsvoorwaar-den. Publieke organisaties kunnen vaak niet meegaan met de privaatgeboden sa-larissen. Aan de andere kant wordt aangegeven dat het salaris minder belangrijk is dan het takenpakket, het type klussen en de bredere organisatie waarin de CSP werkt.
De volgende trends die de vraag naar verschillende types CSP in de toekomst bepalen zijn waar te nemen:
De toegenomen beleidsaandacht zorgt dat het beroep van CSP meer in de schijn-werpers komt te staan en dat bedrijven meer bewust worden van de kwetsbaar-heid van hun ICT-systemen. Gegeven deze factoren zal enerzijds de vraag naar competente CSP’s toenemen, anderzijds kunnen deze factoren een aanzuigende werking hebben op mensen die kansen zien om in deze sector werkzaam te zijn of worden (toename van het aanbod).
Gezien de geschetste economische en bedrijfseconomische ontwikkelingen is het waarschijnlijk dat de vraag naar CSP’s toeneemt. Hierbij is het de vraag hoe be-drijven in de toekomst hun IT-beveiliging organiseren en dus, welke typen CSP’s nodig zijn bij welke bedrijven en organisaties.
Burgers en overheid moeten zich meer bewust worden van de risico’s, maar aan-gezien internet zich op alle terreinen van het dagelijkse leven manifesteert, is ook het omgaan met risico’s een alledaagse bezigheid. De sociaal-maatschappelijke context laat een groeiend belang van veilige systemen zien (security by design), hierdoor neemt de vraag naar een betere balans tussen functionaliteit en veilig-heid toe. Echter, omdat systemen nooit 100% veilig zijn, moeten zij ook te repa-reren zijn. Dit vraagt om competente CSP’s.
Verwacht kan worden dat de technologische ontwikkelingen alleen maar leiden tot een grotere vraag naar alle typen CSP’s, ook in branches/sectoren waar producten momenteel nog niet ‘connected’ zijn.
Wettelijke veranderingen (bijvoorbeeld Europese privacy richtlijn) hebben conse-quenties voor de ontwikkeling van vraag en aanbod op de arbeidsmarkt. De wet-geving vraagt meer van bedrijven en organisaties in termen van beveiliging. Cybersecurity is van een ICT-vraagstuk een organisatievraagstuk geworden. Dat
heeft zijn weerslag op wat voor typen CSP’s in de organisatie nodig zijn. Nemen bedrijven zelf mensen in dienst om de netwerksystemen te beveiligen, of maken zij gebruik van gespecialiseerde bureaus? Deze keuze bepaalt mede welke compe-tenties een bedrijf zelf in huis moet halen (Committee on Professionalizing the Na-tion’s Cyber Security Workforce; 2014).
Gegeven de in de vorige paragraaf geschetste ontwikkelingen t.a.v. digitalisering en de toenemende afhankelijkheid van (vitale infrastructurele) systemen, is de verwachting dat de vraag naar Cyber Security Professionals in de toekomst alleen maar zal groeien. De grootste stijging op de middellange termijn is voorzien met betrekking tot de techni-sche dominante functies waarin cybersecurity een onderdeel is. Dit komt doordat de
62 vraag naar veiligere systemen weerklinkt in de systeemontwikkeling en systeembeheer-sing. De vraag naar de balans tussen functionaliteit en beveiliging zal vaker aan de orde komen in de vraag naar ICT-systemen en softwarepakketten. Na een sterke groei in de eerste vijf jaar zal de vraag naar niet technische dominante cybersecurityfuncties licht dalen, doordat organisaties hun beveiliging in de organisaties hebben ingebed. Bij deze groep zal echter de vervangingsvraag tegen die tijd ook een rol gaan spelen in de ont-wikkeling van de vraag omdat professionals met pensioen gaan. In vacatures zal vaker om ervaren mensen worden gevraagd.
De vraag naar specialisten voor technisch dominante specialistische cybersecurityfuncties (hackers, pen testers) zal aanhoudend stijgen. Zij delen met cybercriminelen de rol van ‘front-runner’ in de ontwikkeling van cybersecurity. Om de technologische ontwikkelingen op het terrein van cybercrime bij te benen, zijn in de toekomst meer van deze technisch dominante specialisten nodig. Ook de niet technisch dominante functies waarin security een onderdeel vormt zal in de toekomst meer gevraagd worden. Het cyberdomein vormt een belangrijk deel van de leefwereld en daarom zijn verschillende aanpalende functies nodig waarin kennis van cybersecurity onontbeerlijk is.
63
4 Aanbod van Cyber Security Professionals:
onderwijs en opleiding
In dit hoofdstuk wordt allereerst ingegaan op de beschikbaarheid van informatie met be-trekking tot het aanbod en deelname. Daarna worden verschillende typen (aan cyberse-curity gerelateerde) onderwijs- en opleidingstrajecten in kaart gebracht en een beeld geschetst van het aantal studenten en deelnemers.