English information
a
  • Home
  • Kenniscentrum

De externe resources van de cybersecurityketen

Door Artikel IB4-2024 - Vincent van Dijk, Rick Hofstede 12 dec 2024

Auteurs: Vincent van Dijk, eigenaar van Security Scientist, bereikbaar via vincent@securityscientist.net. Dr. Rick Hofstede, cybersecurity expert en oprichter van Cybermeester. Hij is bereikbaar via rick.hofstede@cybermeister.eu



‘We hebben meer resources nodig’, ‘We hebben niet de nodige expertise’, of: ‘Zo kunnen we het project niet op tijd afmaken’. Dit hoor ik vaak van te veel managers van grotere organisaties. Hun reflex is om externen in te huren, zonder te begrijpen welke specifieke vaardigheden en capaciteiten nodig zijn voor het project. Tips voor het inhuren van een securityprofessional.

“De huidige medewerkers zijn al tot de nok toe volgeboekt met hun dagelijkse werkzaamheden", vervolgt de manager, “maar we moeten het project binnen de deadline afronden. Laten we externen inhuren.” Dit is het moment waar de manager naar zijn telefoon grijpt en mensen begint te bellen die hij kent. Consultancybedrijven met potentiële expertise, security- en IT-serviceproviders die graag hun diensten of freelancers binnen hun netwerk aanbieden. “Wat heb je nodig?” vraagt de persoon aan de andere kant van de telefoon. “Uhh ...” zegt de manager terwijl hij nadenkt, “een security-architect”. Dit alles met de illusie dat in deze schaarse markt specialisten voor een klus per direct klaar zitten en dat inhuur realiseerbaar is op basis van expertise in plaats van capaciteit. Een jaar later heeft het project vertraging opgelopen, is het budget overschreden en zijn er nog zes specialisten ingehuurd om het project af te ronden. Wat is hier gebeurd?

Niet alle specialisten zijn hetzelfde
Bij het inhuren van externe resources voor cyberbeveiligingsrollen en -projecten moet je begrijpen dat niet alle externe krachten gelijk zijn. De effectiviteit van deze resources hangt sterk af van expertise, ervaring en hoe goed ze integreren met het bestaande team. Simpelweg iedereen inhuren met een hartslag en het trefwoord dat je nodig hebt (bijvoorbeeld ‘security-architect’), is niet de juiste aanpak. En het gaat er niet alleen om de juiste mensen te vinden, maar ook om te begrijpen welke specifieke vaardigheden en capaciteiten nodig zijn voor het project en hoe deze externe bronnen beheerd en geïntegreerd zullen worden. Maar voordat je dat kunt doen, laten we eerst eens kijken naar het soort extra handen dat je kunt inhuren.

Er zijn diverse mogelijkheden om specialisten in te huren:

  1. Consultancybedrijven
  2. Cybersecurityproviders
  3. IT-providers
  4. Freelancers

Consultancybedrijven
Wij, de gemiddelde managers, kijken sceptisch naar de grote consultancybedrijven. Dit komt vooral doordat ze worden gekarakteriseerd door hun hoge uurtarief in relatie tot hun veronderstelde gebrek aan praktijkervaring, dat laatste zelfs als we kijken naar de grote vier adviesbureaus. Toch blijven we ze op grote schaal inhuren omdat zij de mensen zijn die op ‘hoger niveau’ denken. Ze bieden strategische begeleiding en helpen onze beveiligingsinspanningen vorm te geven,hoewel vaak te abstract. Hun betrokkenheid vertaalt zich echter regelmatig niet in praktisch, hands-on werk dat we zo hard nodig hebben om de resource gap van onze interne medewerkers en projecten te dichten; te vaak blijven ze steken in de modellen die ze aanhangen. Dit zorgt voor een frustrerende cyclus: we betalen voor waardevol advies op hoog niveau, maar hebben nog steeds niet de mankracht voor de implementatie.

Cybersecurityproviders
Beveiligingsproviders bieden een meer geïntegreerde oplossing. Ze komen met modulaire diensten die strategisch toezicht en operationele uitvoering omvatten. Ze functioneren vaak als artner, die niet alleen de mensen heeft; maar ook de diensten, producten en leveranciers om je te helpen met verschillende problemen. Je moet vrezen voor vooringenomenheid als ze automatisch verwijzen naar hun eigen portfolio van diensten en producten. "Als cybersecurityproviders al een technisch specialist sturen, voldoen ze aan hun verantwoordelijkheid tegenover de klant, die dat zocht, echter deze specialisten worden vaak thuisgehouden voor de eigen interne operaties (SOC's, pentesten, IR) en niet voor externe productimplentaties. Dit bijt elkaar, omdat hun prachtig samengestelde modules misschien te rigide zijn en niet werken in het dynamische, unieke karakter van jouw organisatie.

IT-providers
IT-providers zijn vaak een gemakkelijke optie, vooral als je het grootste deel van je IT uitbesteedt. Deze IT-providers kennen jouw infrastructuur (althans, dat hoop je); je verwacht dat hun service toegankelijk en kostenefficiënt is. Een groot beroep doen op IT-providers heeft echter ook zijn valkuilen. Hoewel ze jouw infrastructuur kunnen begrijpen, kan hun brede dienstenpakket soms leiden tot een gebrek aan diepgang in gespecialiseerde beveiligingsexpertise, die ze moeilijk kunnen verwerven dan wel behouden gezien de concurrentie met MSSP's. Hun beveiligingswerk kan ook hun collega's, die aan de IT-kant van de vergelijking werken, direct beïnvloeden en soms zelfs boos maken, wat resulteert in een later gevonden – verborgen kloof. ‘De slager keurt niet zijn eigen vlees’, is een toepasselijke uitspraak in samenhang met het mogelijk gebrek aan onafhankelijkheid van deze IT-providers, die jouw cybersecurity gaan inregelen.

Freelancers
Freelancers vormen een interessante middenweg. Ze zijn vaak betaalbaarder dan adviesbureaus en kunnen een schat aan praktische, praktijkgerichte ervaring inbrengen, terwijl ze het vermogen hebben om zich aan te passen aan jouw organisatie. Het vinden van de juiste freelancers – met de exacte expertise die we nodig hebben – is echter een uitdaging en kost veel tijd. Je weet vaak niet wat je krijgt als je een freelancer inhuurt. Is het een goede of slechte, hands-on of een meer theoretisch georiënteerde freelancer? En, in tegenstelling tot IT-beveiligingsproviders en consultancybedrijven, heb je geen continuïteitsgarantie met betrekking tot hun inzet, juist wanneer je het nodig hebt. Het belangrijkste risico is dat je de freelancer moet vervangen, bijvoorbeeld nadat zij of hij de loterij heeft gewonnen, door iemand die het proces van zijn voorganger kan opvolgen!

Inhuren van een security-architect
Een recente projectie voor een klant toonde aan dat er bij hem een discrepantie zou ontstaan tussen zijn staande organisatie (menskracht, hard- & software) en de groeicapaciteit daarvan versus de vijfvoudige groei van de azure cloud-omgeving in 2026. Met als gevolg dat door de groeiende cloud-omgeving – gekoppeld aan de steeds hogere eisen die het bedrijf moet stellen aan de systemen – het gemakkelijk (b)lijkt te zijn om mislukkingen te wijten aan tekorten in beschikbare personele capaciteiten om de enorme hoeveelheid werk aan te kunnen. Dat is een te makkelijk excuus.

Maar elk IT-landschap van elke organisatie groeit elke dag en we kunnen niet blijven inhuren in hetzelfde tempo waarin deze landschappen groeien; dat is gewoonweg onmogelijk. Dus toen de manager om een ‘architectuurman’ vroeg, probeerde hij alleen maar brandjes te blussen. Hij was niet bezig met het oplossen van de hoofdoorzaak van het probleem. Het kernprobleem ligt niet in het gebrek aan resources, maar in de fundamentele benadering van projectmanagement en de toewijzing van middelen. Door voortdurend resources in te huren zonder de onderliggende problemen aan te pakken, passen organisaties slechts tijdelijke oplossingen toe voor diepere, systematische problemen. Hier zijn enkele specifieke problemen met deze aanpak:

  • Verkeerde afstemming van vaardigheden en eisen: wanneer een manager haastig om een security-architect vraagt, doet zij/hij dit vaak zonder een grondig begrip van de specifieke vaardigheden en expertise die nodig zijn. Dit leidt tot een mismatch tussen de capaciteiten van de ingehuurde persoon en de werkelijke vereisten van het project. Het resultaat is suboptimale prestaties en verdere vertragingen omdat de nieuwe medewerker moeite heeft om zich aan te passen aan vage of ongedefinieerde projectscopes.
  • Gebrek aan langetermijnstrategie: voortdurend moeten vertrouwen op externe aanwervingen voor onmiddellijke projectbehoeften wijst op een gebrek aan strategische planning. Organisaties moeten langetermijnstrategieën ontwikkelen voor de werving en ontwikkeling van talent en ervoor zorgen dat ze de juiste mix van vaardigheden in huis hebben om lopende en toekomstige uitdagingen aan te gaan. Dit omvat het identificeren van belangrijke vaardigheidstekorten, het investeren in de opleiding van werknemers en het creëren van een pijplijn van talent dat klaar staat om in te springen als dat nodig is.
  • Integratie: Externe medewerkers ondervinden vaak problemen bij de integratie met bestaande teams. Het kan zijn dat ze de contextuele kennis van de infrastructuur en processen van de organisatie missen, wat leidt tot inefficiënties en miscommunicatie. Effectieve integratie vereist een gestructureerd onboarding proces en voortdurende ondersteuning om ervoor te zorgen dat externe resources naadloos kunnen samenwerken met interne teams.
  • Afhankelijkheid van resources: Een te grote afhankelijkheid van resources kan een afhankelijkheid creëren die zowel kostbaar als onhoudbaar is. Interne teams zullen minder verantwoordelijkheid nemen in de aanwezigheid van externen ervan uitgaande dat die de verantwoordelijkheid nemen. Dit belemmert de ontwikkeling van interne capaciteiten, waardoor de organisatie kwetsbaar blijft wanneer externe hulp niet beschikbaar is. Het opbouwen van een robuust intern team met de nodige vaardigheden en expertise is cruciaal voor succes en veerkracht op de lange termijn.

Mogelijke oplossingen
Om de problemen aan te pakken is een proactieve houding nodig. Dit betekent een fundamentele verandering in de manier waarop we met ons resources omgaan en projecten aanpakken, hoe talent wordt gezocht en ontwikkeld en hoe teams samenwerken. Een van de belangrijkste stappen is om af te stappen van adhoc inhuur. In plaats van naarstig op zoek te gaan naar inhuur als een project al loopt of vertraging heeft opgelopen, moet je kiezen voor een meer systematische, holistische aanpak. Door ruim van tevoren te anticiperen op projectbehoeften, kun je de juiste resources planmatig inzetten en ervoor zorgen dat alle benodigde vaardigheden op het juiste moment beschikbaar zijn. Dit zorgt voor een soepele projectuitvoering, vermindert de afhankelijkheid van externe inhuur op het laatste moment en is veel kostenefficiënter.

Tot slot kun je strategische partnerschappen aangaan. Zoals het gezegde luidt: een schaap met vijf poten bestaat niet; je kunt niet verwachten dat één persoon alles weet en kan. Dit is vooral relevant wanneer je met freelancers werkt, die als dé cyberexperts worden gezien, maar geen duizendpoten zijn. Freelancers moeten samenwerken met interne medewerkers, leveranciers of andere freelancers om een team te vormen voor de klant. Ik (Vincent) werk nu bijvoorbeeld aan een project samen met een freelancer. Hij is een sterke communicator die graag naar kantoor gaat. Ik woon in Denemarken, dus voor mij is het lastig om dagelijks naar kantoor te gaan. Mijn kwaliteiten liggen in het behouden van structuur en het op schema houden van projecten. Daarnaast ben ik ervaren in het schrijven en vastleggen van strategie tot operatie. De combinatie van cybersecuritykennis en de communicatiekwaliteiten van mijn freelancer collega resulteert in een goed team en uitstekende end-to-end resultaten voor de klant. Het kan dus een goed idee zijn om strategische partnerschappen aan te gaan met freelancer-communities die gebaseerd zijn op samenwerking van professionals. Dit resulteert in een flexibele, schaalbare schil voor de benodigde extra resources; resulterende in kostenefficiëntie. Het bevorderen van een actieve gemeenschapsgeest, waarbij het duidelijk is dat collectieve inspanningen meer resultaat opleveren dan solo-inspanningen, zal output verhogend werken en zo de behoefte aan extra handen verminderen.

Conclusie
De vraag naar cybersecurityspecialisten groeit sneller dan dat er specialisten bijkomen. In de schaarse markt waarbinnen wij opereren zal de wijze waarop wij werken moeten veranderen. De vraag voor ons allen is dus: hoe zetten wij op schaalbare wijze de schaarse specialisten in? Hoe zetten wij hen in hun kracht, hoe bevorderen wij samenwerking? Samengevat: hoe voorkomen wij ‘snijverlies’? Onze conclusie luidt: transitie is vereist, de verandering ligt daarin dat in plaats van inhuur meer gewerkt wordt door aanbieding van hoogwaardige diensten en het realiseren van projecten op basis van gemeenschap. Op macrobasis constateren wij dat er een trend is naar individualisering; daar tegenover staat het vertrek van talenten bij de grote vier en bij de MSSP’s, welke talenten freelance gaan werken. Dus wij staan wellicht aan de vooravond van een freelancer-community, mits zij uitgaan van samenwerking!
 

Dit artikel verscheen in IB4-2024.
Voor het opgemaakte artikel (pdf), klik hier onder op 'Document downloaden'.

Document downloaden
terug