Waarom security vacatures moeilijk te vervullen zijn (en waarom dat niet het echte probleem is)

Vorige week schreef ik over waarom CISO’s en CISO-vacatures vaak niet bij elkaar komen. Deze week wil ik iets langer stilstaan bij de zogenaamde skills shortage in cyber security — maar dan iets breder getrokken.

Want ja, het klopt dat security vacatures moeilijk te vervullen zijn. Dat zien we allemaal. Maar de conclusie die we daaraan verbinden, klopt vaak niet.

We behandelen het alsof het probleem zit in een tekort aan capaciteit, terwijl het in veel gevallen slechts een symptoom is. En dus blijven we pleisters plakken. Steeds weer nieuwe specialisten werven, in de hoop dat het op termijn vanzelf beter wordt.

Ja, er staan veel security vacatures open. En ze blijven lang openstaan, of erger nog: ze komen na verloop van tijd gewoon weer terug op de markt. Het is dan ook makkelijk om te denken dat er simpelweg een tekort is aan security specialisten. Dat we meer mensen nodig hebben om het probleem op te lossen. Maar in de praktijk zie ik een ander vraagstuk.

In de afgelopen vijftien jaar heb ik deze cyclus steeds opnieuw zien ontstaan. Een securityteam komt onder druk te staan, werk stapelt zich op en er ontstaat onrust. Er wordt een vacature uitgezet, iemand wordt aangenomen en even lijkt het alsof de situatie zich herstelt. Totdat het werk zich opnieuw opstapelt en dezelfde vragen weer naar boven komen.

Wat opvalt, is dat de mensen die binnenkomen zelden het probleem zijn. Vaak zijn ze net zo competent als hun voorgangers. Ze brengen energie mee, kennis, nieuwe ideeën. Maar ze komen ook terecht in dezelfde omgeving, met dezelfde verwachtingen én dezelfde beperkingen.

Op dat punt begint het te wringen. De druk loopt verder op, de rek is eruit en uiteindelijk wordt de situatie onhoudbaar. Het is dan ook niet zo vreemd dat de gemiddelde levensduur van een security specialist rond de achttien maanden ligt!

Er vertrekt weer iemand, en vrijwel direct ontstaat de behoefte om die rol opnieuw in te vullen.

En dat is logisch. Want het werk moet doorgaan. Maar in werkelijkheid voeg je opnieuw iemand toe aan een structuur die al niet goed werkt. Daarmee zet je dezelfde dynamiek opnieuw in gang — alleen met andere mensen.

Security is van nature gestructureerd. Er zijn duidelijke rollen, verantwoordelijkheden en domeinen. Op papier klopt dat model ook. Alleen werkt het pas echt als je daar de capaciteit voor hebt om het volledig te bemensen.

In grotere organisaties is dat haalbaar, maar de meeste organisaties opereren niet op dat niveau. Daar moet een relatief klein team de volledige breedte van security afdekken. En juist daar ontstaat de mismatch.

De vraag is wat mij betreft dus niet:

“Wie hebben we nodig?”

Maar:

“Wat moet er eigenlijk geborgd worden — en hoe organiseren we dat?”

Een stabiel securityteam ontstaat niet door simpelweg meer mensen toe te voegen.

Het ontstaat door keuzes te maken.

Wat moet je zelf doen?

Wat hoort bij IT of de business?

Wat kun je (deels) uitbesteden?

En waar heb je echt vaste capaciteit voor nodig?

Niet alles hoeft fulltime.

Niet alles hoeft intern.

Niet alles hoeft tegelijk.

Maar het moet wel kloppen.

Als vacatures blijven terugkomen, is dat meestal geen recruitmentprobleem.

Het is een signaal.

De vraag is alleen of je bereid bent om daarnaar te kijken.

Lees ook:

• waarom securityteams niet schaalbaar zijn

• cyber security team opbouwen

• rollen en verantwoordelijkheden security team