Groeiend verband tussen beveiligingsincidenten en tekort aan cybervaardigheden

Fortinet®, wereldwijd leider in cybersecurity en de drijvende kracht achter de convergentie van netwerk- en beveiligingstechnologie, publiceert vandaag zijn 2024 Global Cybersecurity Skills Gap Report. Dit onderzoeksrapport biedt een overzicht van de problemen waarmee bedrijven in alle delen van de wereld worstelen als gevolg van een tekort aan security-vaardigheden. Belangrijke conclusies zijn onder meer:

-Steeds meer organisaties schrijven beveiligingsincidenten toe aan het tekort aan cybervaardigheden.

-Deze incidenten hebben ingrijpende gevolgen voor bedrijven. Dit komt bestuursleden en directieleden op strenge sancties te staan.

-Werkgevers zien certificeringen als een waardevolle blijk van up-to-date kennis en vaardigheden op het gebied van cybersecurity.

-Er liggen voor organisaties nog altijd legio kansen om een meer diverse pool van talent aan te boren om de kloof te dichten.

Wereldwijd gaan bedrijven gebukt onder een tekort aan cybervaardigheden
Er zijn wereldwijd naar schatting 4 miljoen beveiligingsprofessionals nodig om een einde te maken aan het groeiende tekort aan beveiligingsexpertise. Volgens 2024 Global Cybersecurity Skills Gap Report van Fortinet is 54% van alle Nederlandse respondenten van mening dat dit tekort grotere risico’s voor hun organisatie oplevert. Het rapport wijst ook op andere gevolgen van dit tekort:

-Organisaties schrijven beveiligingsincidenten steeds vaker toe aan een gebrek aan cybervaardigheden. Bijna 90% van alle Nederlandse organisaties kreeg afgelopen jaar te maken met een beveiligingsincident dat zij mede toeschrijven aan een gebrek aan beveiligingsexpertise. Dit vertegenwoordigt een wereldwijde stijging ten opzichte van de 84% die in het rapport voor 2023 werd gemeld en 80% in het jaar daarvoor.

-Beveiligingsincidenten treffen bedrijven steeds harder. De gevolgen van beveiligingsincidenten variëren van financiële problemen tot reputatieverlies. Volgens het nieuwe rapport worden zakelijke leiders steeds vaker verantwoordelijk gesteld voor incidenten. 63% van de Nederlandse respondenten zegt dat directeuren of senior managers naar aanleiding van een succesvolle cyberaanval hun baan verloren of boetes of celstraffen kregen opgelegd. Ruim drie kwart (78%) van de Nederlandse respondenten zegt dat beveiligingsincidenten hun organisatie voor ruim een miljoen dollar aan schade opleveren. Wereldwijd gaf meer dan 50% van de respondenten aan dat cyberaanvallen hun organisaties vorig jaar meer dan $ 1 miljoen kostten aan gederfde inkomsten, boetes en andere onkosten. Dit vertegenwoordigt een stijging ten opzichte van 48% in 2023 en 38% in het jaar daarvoor.

-Directieleden zien cybersecurity als een zakelijke vereiste. Senior managers en bestuursleden kennen steeds meer prioriteit toe aan de beveiliging. De helft (50%) van de Nederlandse respondenten zegt dat hun Raad van Bestuur in 2023 een sterkere focus op cybersecurity hanteerde dan in het jaar daarvoor. Volgens 92% van hen beschouwt hun directie cybersecurity als een zakelijke prioriteit.

HR-managers hechten waarde aan permanente educatie en certificeringen
Veel zakelijke besluitvormers zien certificeringen als een blijk van kennis op het gebied van cybersecurity. Professionals die daarover beschikken of samenwerken met iemand met certificeringen plukken daar duidelijk de vruchten van. Uit het onderzoek van dit jaar bleek het volgende:

-Kandidaten met certificeringen zijn favoriet. 84% van de Nederlandse respondenten zegt de voorkeur te geven aan het aannemen van kandidaten met certificeringen.

-Leiders zijn van mening dat certificeringen bijdragen aan verbeterde bedrijfsbrede beveiliging. De respondenten van Nederlandse organisaties hechten een grote waarde aan certificeringen. 82% zegt bereid te zijn om de kosten voor hun rekening te nemen als een werknemer een certificering op het gebied van cybersecurity wil behalen.

-Het is lastig om kandidaten met certificeringen te vinden. 76% van de Nederlandse respondenten zegt moeite te hebben met het vinden van kandidaten met ICT-gerelateerde certificeringen.

Bedrijven breiden hun wervingscriteria uit om openstaande vacatures in te vullen
Vanwege het aanhoudende tekort aan cybervaardigheden richten sommige organisaties hun blik op een zich meer diverse pool van talent. Ze nemen tegenwoordig ook kandidaten aan met een niet-traditionele achtergrond in plaats van mensen die een vierjarige studie in cybersecurity of een gerelateerd gebied hebben afgerond. Het doel is om vers talent aan te trekken en openstaande vacatures in te vullen. Het wijzigen van deze wervingseisen kan organisaties nieuwe kansen bieden, zeker als zij bereid zijn om in training en certificering te investeren. Uit het rapport blijkt daarnaast het volgende:

-Organisaties blijven werken aan programma’s voor werving op basis van een diverse pool van talent. 78% van de Nederlandse respondenten zegt dat hun organisatie voor de komende jaren diversiteitsdoelstellingen op het gebied van personeelswerving heeft geformuleerd. Wereldwijd ligt dit percentage met 83% hoger, maar er is sprake van een lichte daling ten opzichte van 2021, toen dit percentage nog op 89% lag.

-Het diversiteitsgehalte van personeelswerving verschilt van jaar tot jaar. Ondanks de diversiteitsdoelstellingen daalde wereldwijd het aantal aangenomen vrouwelijke kandidaten van 89% in 2022 tot 85% in 2023. In 2021 lag dit percentage op 88%. In Nederland werden in 2023 bij 70% van de organisaties vrouwen aangenomen. Het aantal aangestelde kandidaten uit minderheidsgroepen bleef wereldwijd ongewijzigd op 68%, maar vertoonde wel een lichte stijging ten opzichte van 67% in 2021. In Nederland verwelkomde 66% van de organisaties kandidaten uit minderheidsgroepen in 2023. Het aantal ingehuurde veteranen steeg wereldwijd lichtelijk tot 49% ten opzichte van 47% in 2022, maar viel lager uit dan de 53% uit 2021. 40% van de Nederlandse organisaties huurde in 2023 veteranen in.

-Sommige organisaties blijven een voorkeur vertonen voor kandidaten met een traditionele achtergrond. Hoewel veel Nederlandse respondenten zeggen dat hun organisateis waarde hechten aan certificeringen, vraagt 64% van hen nog altijd om kandidaten die een vierjarige studie hebben afgerond. 62% neemt alleen mensen met een traditionele opleidingsachtergrond aan.

Een drieledige aanpak voor het opbouwen van cyberveerkracht
De groeiende regelmaat van kostbare cyberaanvallen en het vooruitzicht van ingrijpende persoonlijke gevolgen voor bestuursleden en directeuren resulteert in een prangende behoefte om de bedrijfsbrede beveiliging te versterken. Organisaties richten hun focus daarom op een drieledige aanpak die training, security awareness en technologie omspant:

-IT- en security-teams helpen met het opdoen van essentiële beveiligingsvaardigheden door te investeren in training en certificeringen.

-Cyberbewuste medewerkers cultiveren die als eerste verdedigingslinie kunnen optreden om de organisatie veiliger te houden.

-Effectieve security-oplossingen inzetten om de beveiliging op te voeren.

Fortinet biedt organisaties de mogelijkheid om deze doelstellingen te realiseren door een beroep te doen op zijn aanbod van ruim 50 zakelijke security-oplossingen. Al deze producten en diensten zijn geïntegreerd met zijn beveiligingsplatform, de Fortinet Security Fabric. Het Fortinet Training Institute voorziet in een van de meest uitgebreide trainings- en certificeringsprogramma’s binnen de branche en maakt security-certificeringen en carrièremogelijkheden toegankelijk voor mensen uit alle lagen van de samenleving. Het instituut biedt onder meer security awareness-training aan die organisaties helpt om hun medewerkers optimaal bewust te maken van alle beveiligingsrisico’s.

John Maddison, chief marketing officer bij Fortinet
“De onderzoeksresultaten die aan bod komen in de nieuwe editie van ons jaarlijkse Global Cybersecurity Skills Gap Report wijzen op de urgente noodzaak van een veelzijdige, op samenwerking gebaseerde aanpak voor het dichten van het tekort aan cybervaardigheden. Om beveiligingsrisico’s effectief terug te dringen en complexe moderne cyberbedreigingen de baas te blijven moeten organisaties gebruikmaken van een strategische combinatie van de juiste beveiligingstechnologie, upskilling van hun security-team door middel van training en certificering en voorlichting van het personeel. Fortinet is een groot voorstander van deze drieledige aanpak. We hebben daarom de toezegging gedaan om in 2026 een miljoen mensen van security-training te hebben voorzien. Ten tijde van het onderzoek waren bijna op de helft van dit vijfjarenplan aanbeland en hebben tot dusver al bijna een half miljoen mensen getraind.”

Over het Fortinet Skills Gap-onderzoek
Voor dit onderzoek werden vraaggesprekken gehouden met ruim 1.850 besluitvormers op het gebied van IT en cybersecurity verdeeld over 29 landen. Uit Nederland namen 50 respondenten deel aan het onderzoek. De Nederlandse respondenten zijn actief in diverse sectoren, waaronder zakelijke dienstverlening (22%), ICT (18%) en financiële dienstverlening (16%).