Hoe meer digitale technologie voor overheden en bedrijven kan betekenen, hoe groter het risico wordt. De opmars van AI versnelt die trend alleen maar en dat is een probleem: er zijn niet voldoende capabele profielen beschikbaar om dat alles vandaag in goede banen te leiden.
“De evolutie en adoptie van technologie verloopt niet lineair”, stelt Chris Dimitriadis, Chief Global Strategy Officer bij Isaca, vast. “Ze versnelt.” Zo krijgen bedrijven en overheden gereedschap in handen om nieuwe waardevolle oplossingen te creëren. Dat is een goede zaak, maar de medaille heeft een keerzijde: “Hoe meer technologie er gebruikt wordt, hoe meer risico je introduceert.”
Geest uit de fles
Dimitriadis merkt op dat we in een spannende tijd leven. Niet alleen gaat de adoptie van technologie razendsnel, intussen is de AI-geest uit de fles. “AI is niet gewoon een andere technologie. Velen proberen de toekomst te voorspellen, maar voor AI is er veel onzekerheid. Over de technologie werd al lang gesproken, maar nu zijn de toepassingen er ook.”
Isaca is een internationale gemeenschap voor digitaal vertrouwen. Digitaal vertrouwen creëren staat centraal in de missie van de organisatie en drijft ook Dimitriadis. Vertrouwen komt te voet en gaat te paard, en er is vandaag heel wat complexiteit die organisaties foutloos moeten navigeren.
Belang dringt door, waarde niet
Gelukkig dringt het stilaan bij iedereen door hoe belangrijk digitale beveiliging is. Twee problemen blijven wel spelen. Dimitriadis: “Cybersecurity genereert geen omzet, en de materie is te technisch voor vele beslissingsmakers. Het blijft moeilijk om beveiliging te kwantificeren en te meten. Hoe definieer je de waarde van een investering in cyberbeveiliging? Zeker kleine en middelgrote enterprisesblijven daar hun hoofd over breken.”
Cybersecurity genereert geen omzet, en de materie is te technisch voor vele beslissingsmakers.
Chris Dimitriadis, Chief Global Strategy Officer Isaca
De meetbaarheid (of het gebrek daaraan) is een uitdaging, maar zeker niet de grootste. Alles begint bij de juiste mensen, en die zijn zeldzaam. “De vaardigheidskloof wordt almaar groter”, merkt Dimitriadis op. “Vraag en aanbod groeien uit elkaar. Er zijn niet genoeg professionals om het probleem aan te pakken.”
Dat is frappant: technologische ontwikkeling mag vandaag dan wel ongekende snelheden hebben bereikt, de vaardigheidskloof is geen nieuw concept en is al lang onderwerp van discussie. Hoewel het probleem gekend is, blijft een oplossing uit. Waar blijven alle geschoolde mensen?
De vraag naar IT-professionals groeit
Dimitriadis ziet drie belangrijke factoren langs de kant van de vraag naar professionals met kennis van IT en beveiliging, en drie richtlijnen waar organisaties vandaag al rekening mee kunnen houden om problemen te mitigeren. Langs de kant van de vraag spelen volgende trends:
- Nieuwe regelgeving: in Europa zorgen nieuwe regels zoals NIS2 en DORA voor duidelijkheid. De noodzaak aan cyberweerbaarheid wordt in wetteksten gegoten, maar dat veroorzaakt een grotere vraag naar mensen die effectief weten wat bedrijven precies moeten doen met die regels.
- Hogere complexiteit: meer en geavanceerdere aanvallen hebben tot een veelvoud aan beveiligingsoplossingen geleid, maar complexiteit is de grootste vijand van cybersecurity. De technologie maakt vandaag vooruitgang richting vereenvoudiging, maar er zijn nog steeds veel mensen nodig om risico’s te beheren, de link tussen technologie en beveiliging te maken en in het algemeen om te gaan met de extra technologie.
- Talentstrijd: Het cyberdreigingslandschap is lucratief en dat trekt criminele activiteiten aan. Geldgewin blijft de grootste motivatie en het probleem wordt erger. Bedrijven proberen zich te beschermen en op macro-economisch niveau barst er daarom een strijd om talent los. Wie meer kan betalen, haalt de juiste werknemers binnen. Dat is een groot probleem voor de minder grote ondernemingen die moeite ondervinden om hun IT-personeel bij te houden.
Meer doen met minder
Nieuwe regels, meer aanvallen, meer complexiteit en een strijd om talent doen de vraag naar IT-personeel dus toenemen. “De beschikbaarheid van de juiste mensen groeit ook”, merkt Dimitriadis op. “Maar minder snel.” Dat betekent niet dat organisaties hulpeloos zijn. Dimitriadis ziet drie belangrijke thema’s waarop bedrijven vanaf vandaag kunnen werken:
- Train wie je hebt: bestaand personeel moet meer opleidingen krijgen, zeker wanneer ze met technologie omgaan. Niet iedereen moet IT-expert worden, maar training in fundamentele vaardigheden rond cyberbeveiliging en digitaal vertrouwen helpt al een heel eind.
- Focus op respons: incidenten zijn onvermijdelijk. Focus op je respons wanneer er iets misgaat, en overweeg managed services. Met een goed responsplan kan je na een incident de activiteiten snel hervatten.
- Partners: kijk naar je toeleveringsketen en vergewis je ervan dat je partners met je meewerken. De juiste certificatie van leveranciers en verantwoordelijkheidsclausules in contracten kunnen al voor meer vertrouwen zorgen. Wanneer je partners kiest, moet je cyberbeveiliging vanaf het eerste moment mee in overweging nemen.
In de toekomst moeten er natuurlijk meer geschoolde mensen bijkomen. “De opleiding van mensen in het bedrijf vandaag speelt daarbij een belangrijke rol”, volgens Dimitriadis. “Hoe beter mensen zijn opgeleid in de fundamentele aspecten van beveiliging, hoe beter ze de link kunnen leggen tussen cybersecurity en de impact op de waarde van de onderneming.”
Subsidie van beveiliging
Hij ziet ook een belangrijke rol weggelegd voor overheden. “Eigenlijk moet de overheid meer investeren in cybersecurity, en misschien overwegen om de kost voor digitale beveiliging te subsidiëren. Dat geldt zeker voor kleinere ondernemingen. Voor hen is het moeilijk om security absolute prioriteit te geven wanneer ze gewoon bezig zijn met overleven.”
De overheid speelt al een rol, onder andere met NIS2. De regels zijn er, en dienen om de cyberweerbaarheid van Europa op te krikken. Dat impliceert dat veilige ondernemingen een belangrijke bouwsteen zijn voor een veilige samenleving. Met het algemeen belang in het achterhoofd, is de piste van subsidies niet zo ver gezocht.
Het tekort aan geschoold IT-personeel zal niet van vandaag op morgen zijn opgelost. De snelle evolutie van het technologielandschap zorgt ervoor dat het aanbod aan juist talent ondanks de groei voorlopig ontoereikend is. Wie hoopt dat die sneltrein vaart zal afnemen, is eraan voor de moeite. Met de introductie van generatieve AI vorig jaar kijken we net aan tegen een explosie van digitale toepassingen. Wat doe je dan als bedrijf? De juiste focus, gekoppeld aan meer basiskennis rond technologie en beveiliging, kan ook vandaag al veel helpen.