‘Iedereen moet iets weten van gijzelingssoftware’

Tekort Wie beschermt bedrijven straks tegen hackers? Personeel is lastig te vinden. Zoek eens onder autisten, adviseert Capgemini.

Rekruteren buiten de gebaande paden, bijvoorbeeld door het aannemen van mensen met een autistische stoornis, is één van de mogelijke oplossingen voor het tekort aan cyberveiligheid-personeel. Illustratie Studio NRC

Bedrijven beschermen tegen hackers, gijzelingssoftware en andere cyberaanvallen; terwijl het harder nodig is dan ooit tevoren, zijn er te weinig mensen die het werk uit kunnen voeren. De kloof tussen de vraag vanuit bedrijven naar personeel voor internetbeveiliging en het aanbod van werknemers met voldoende vaardigheden wordt volgens onderzoek van IT-consultant Capgemini wereldwijd groter.

Het bedrijf ondervroeg voor een recent onderzoek, Cybersecurity Talent: The Big Gap in Cyber Protection, meer dan 750 werknemers en 500 managers van grote internationale bedrijven uit negen landen, waaronder Nederland. Meer dan de helft van de bedrijven gaf aan moeite te hebben met het vinden van getalenteerd cyberveiligheidpersoneel.

Een groot probleem, zegt Matthijs Ros, commercieel directeur Cybersecurity bij Capgemini in Nederland. Het voorkomen en afwenden van cyberaanvallen is de voornaamste taak van internetbeveiligers bij bedrijven. En juist daar hebben Nederlandse bedrijven steeds vaker mee te maken, blijkt uit cijfers van het Centraal Bureau voor de Statistiek: één op de vijf Nederlandse bedrijven werd in 2016 getroffen door een cyberaanval. Ros: „Met de grote hoeveelheid aanvallen, wordt een tekort steeds problematischer.”

Weet je niet zo veel van cyberveiligheid maar ben je wel op zoek naar (ander) werk? In deze sectoren zitten bazen weer om personeel te springen

In het onderzoeksrapport biedt Capgemini naar aanleiding van interviews met recruiters, vakverenigingen en academici verschillende oplossingen die bedrijven zelf uit kunnen voeren om het tekort op te vangen.

Bovengemiddeld intelligent

Rekruteren buiten de gebaande paden is een van die mogelijke oplossingen. „Mensen met een autistische stoornis zijn bijvoorbeeld vaak heel goed in het herkennen van patronen en hebben een groot probleemoplossend vermogen”, zo valt te lezen in het rapport.

Consultancybureau EY heeft dat advies al ter harte genomen: sinds een aantal maanden werken er twee mensen met een autistische stoornis op de cyberveiligheidafdeling, nu dertig man groot. „Er is een proefperiode van een half jaar, waarbij we kijken of het van beide kanten bevalt”, zegt Douwe Mik, directeur Cybersecurity van het bedrijf.

„Mochten de medewerkers zich bij EY toch niet op hun plek voelen, dan hebben wij een deal dat zij automatisch aan de slag kunnen bij de overheid om te kijken of dat wel iets voor hen is. Zo komen ze niet zonder werk te zitten.”

EY kwam in contact met de nieuwe werknemers via ITvitae, een opleidingsinstituut dat zich richt op het bijbrengen van IT-vaardigheden aan mensen in het autistische spectrum. Volgens onderzoek van de Vrije Universiteit en de Nederlandse Vereniging voor Autisme heeft meer dan de helft van de 170.000 mensen in Nederland met een vorm van autisme geen betaald werk, terwijl 67 procent van hen wel bovengemiddeld intelligent is.

De twee autistische werknemers zijn een aanwinst voor het team, zegt Mik, dat volgens hem altijd op zoek is naar meer personeel. „Naast onze ronde langs universiteiten en hogescholen voor jong talent en het rekruteren van mensen in het buitenland, moeten we andere middelen inzetten om die groei bij te kunnen benen.”

Het vraagt om wat extra inspanning, erkent Mik. Binnen zijn team worden een aantal managers begeleid door ITvitae om goed om te gaan met de nieuwe werknemers. „Dat gaat vooral over communicatie, je moet bijvoorbeeld heel duidelijk zijn en precies zeggen wat je verwacht.”

Ook het wegnemen van vooroordelen bij de nieuwe werknemers was belangrijk. „Er bestond een beeld van EY dat we allemaal in pak lopen en dat het een heel hiërarchisch bedrijf is. Gelukkig konden we duidelijk maken dat dat niet waar is: ik ben als baas net zo aanspreekbaar als de rest.”

Een ander advies van Capgemini is wat zij het decentraliseren van kennis noemen. Niet alleen de IT-afdeling, maar het gehele bedrijf moet kennis hebben van zaken als cyberaanvallen, gijzelingssoftware en datalekken.

Volgens Paul Muis, hoofd Academy bij computer- en beveiligingsbedrijf Fox-IT, is het geen overbodige luxe als iedereen binnen een organisatie kennis heeft van dergelijke zaken. „Een IT-manager is vaak een roepende in de woestijn, terwijl hij wel degene is die verantwoordelijk is op het moment dat het fout gaat.” Door bewustzijn te creëren, ontstaan ambassadeurs. „Al heb je één voorloper op iedere afdeling, dan wordt de last al verspreid gedragen.”

Het bedrijf geeft vanuit zijn academie verschillende cursussen op het gebied van internetbeveiliging. Een deel daarvan is expliciet gericht op het bijbrengen van kennis aan niet-IT’ers over cyberaanvallen. „Daarin laten we bijvoorbeeld zien hoe makkelijk het is om een wachtwoord te achterhalen en een account te kraken. Vervolgens laten we dan zien hoe een hacker te werk gaat.” Vooral voor financiële en personeelsafdelingen zijn zulke trainingen niet overbodig, zegt Muis. „Zij zijn vaak doelwit van phishingmails, besmette bijlagen of links.”

Losgeld betalen

Bij sommige bedrijven gaat het al goed, ziet Muis. „Er zijn bedrijven die ieder jaar een cyberaanval oefenen. Situaties met gijzelingssoftware bijvoorbeeld, waarbij losgeld betaald moet worden om bij informatie te kunnen.” Het is volgens Muis belangrijk die oefeningen met het gehele bedrijf te doen. „Een brandoefening kun je ook niet enkel oefenen met de mensen die verantwoordelijk zijn voor bedrijfshulpverlening.”

Maar of zulke bedrijfstrainingen het personeelstekort verkleinen, betwijfelt Muis. „Het kan een middel zijn om mensen te enthousiasmeren. Cybersecurity is een abstract begrip, door training en voorlichting kunnen mensen uit andere vakgebieden erachter komen dat het ze ook interessant vinden. We moeten creatief zijn om de vraag tegemoet te komen.”

    • Loeka Oostra