II.

Cyberbeveiliging als beroep

Cyberbeveiliging maakt deel uit van de verantwoordelijkheden van veel beroepen, en het is ook een beroep op zich geworden. Laten we eens kijken naar een aantal mogelijke carrièremogelijkheden.

Cyberbeveiligingsberoepen zijn er tegenwoordig in vele vormen en rollen, waarbij eigenschappen als privacy, ontwikkeling, fysieke beveiliging en auditing worden gecombineerd.

Zakelijke beroepen

In het verleden richtten organisaties met hoog beveiligingsniveau (zoals defensie of inlichtingendiensten) en transactieverwerkers met hoge waarde (de financiële dienstensector, aandelenbeurzen en betaalkaartverwerkers) zich eerst op het beveiligen van hun systemen. Dat betekent dat deze sectoren zich concentreerden op interne controles in hun bedrijf om hun informatie te beveiligen.

In de jaren zestig ontstond door het toenemende commerciële gebruik van computers (zoals mainframes van IBM) de behoefte aan controles en audits op het gebied van informatietechnologie. Dat leidde tot een op controle en audit gericht beroep, dat nog steeds bestaat als onderdeel van het dagelijks werk van veel functies in moderne organisaties.

Note

In 1969 werd de Electronic Data Processing Auditors Association (EDPAA) opgericht in Los Angeles, Californië, VS. De vereniging staat vandaag bekend als ISACA en is een van de organisaties die cyberbeveiligingsopleidingen en -certificeringen (zoals CISA, CISM en CSX-P) voor cyberbeveiligingsprofessionals aanbieden.

Van oudsher beschouwde bedrijfsbeveiliging (bestaande uit bewakers, brandoefeningen en sloten) cyberbeveiliging als een klein onderdeel van zijn beroep, als het dat al was. In die tijd werd IT-beveiliging alleen gezien in verband met interne IT-diensten: de werkstations, mainframes en netwerken.

Geleidelijk aan werden fysieke beveiligingssystemen gekoppeld aan netwerken en konden fysieke beveiligingscontroles (bijvoorbeeld deuren en sloten) informatie niet beschermen tegen externe toegang via het internet.

Tegenwoordig besteden leiders op het gebied van bedrijfsbeveiliging aandacht aan informatiebeveiliging omdat digitale processen een veel belangrijker onderdeel van de activiteiten van een bedrijf zijn geworden. Bovendien is IT informatiebeveiliging geworden. Dit betekent dat informatie moet worden beveiligd, ongeacht of deze op papier of in een digitaal formaat is opgeslagen.

IT-beveiliging en informatiebeveiliging (later cyberbeveiliging genoemd) werden eerst als aparte beroepen gezien. Maar met de digitale convergentie begonnen deze beroepen te veranderen en te fuseren. Toch bestaan deze traditionele rollen (bedrijfsbeveiligingsmanagers en IT-beveiligingsmanagers) beide nog steeds.

Note

Met de AVG die in 2018 van kracht werd, werden bedrijven verplicht om speciale Data Protection Officers (DPO) aan te stellen om praktijken te ontwikkelen die de privacy van hun werknemers en klanten beschermen. Privacy vereist beveiligingscontroles, wat betekent dat beveiligings- en privacyprofessionals nauw samenwerken en samenwerken omdat ze naar hetzelfde doel toewerken.

Hoewel sommige titels (zoals DPO) zeer algemeen worden gebruikt, verschillen de rollen in elke organisatie en bedrijfstak. Bovendien kan elke rol of een deel van de taken worden uitbesteed aan een consultant van een bedrijf dat professionele diensten verleent, en dit heeft geleid tot de aanzienlijke omvang van de sector cyberbeveiligingsconsultancy.

Mensen met verschillende rollen in computerbeveiliging

Veel voorkomende rollen in cyberbeveiliging in organisaties

Chief Information Security Officer (hoofd informatiebeveiliging) (CISO)

Doorgaans zijn CISO's verantwoordelijk voor het ontwikkelen van een beveiligingscultuur en -processen en het leiden van informatiebeveiligingsactiviteiten en -functies. CISO's werken als tolk tussen het bedrijf, de leidinggevenden, de verkopers, de overheid en technische cyberbeveiligingsprofessionals.

Informatie/Cyber/IT-beveiligingsmanager of -professional

Deze professionals zorgen voor de dagelijkse beveiligingsprocessen, ondersteunen beveiligingsgerelateerde projecten en coördineren beveiligingsincidenten. Ze stellen ook trainingsrichtlijnen en -beleid op voor het personeel. Zij zetten beleid en principes om in uitvoerbare taken in de organisatie.

Beveiligingsmanager of -professional

Security managers leveren meer traditionele beveiligingsdiensten, zoals fysieke toegangscontrole, die steeds meer digitaal worden. Beveiligingsmanagers bieden concrete veiligheid aan het personeel en zorgen tegelijkertijd voor de cyberveiligheid van de dienst zelf.

IT-systeemauditor

Een auditprofessional test beveiligingscontroles (fysiek en digitaal) en doet aanbevelingen om deze te verbeteren. Soms gebruiken zij speciale instrumenten zoals scanners om de feitelijke configuraties te testen. Auditors geven een onafhankelijk en objectief standpunt om anderen te helpen praktijken te ontwikkelen.

Consultants

Consultants nemen ook deel aan het inhuren, coachen, begeleiden of anderszins ondersteunen van deze rollen. Consultants hebben vaak een achtergrond in een van de bovenstaande functies.

Van hobby naar carrière in ethisch hacken

Zoals we in hoofdstuk 1 hebben geleerd, kunnen hackers verschillende kleuren hoeden hebben. In tegenstelling tot de beginjaren van het beroep, kunnen witte hoeden en andere zogenaamde ethische ‘cyberbeveiligingsamateurs’ hun passie tegenwoordig omzetten in een beroep.

In een bedrijfsfunctie zijn de dagen druk, meestal vol vergaderingen met collega's en interne of externe klanten. Dat laat weinig ruimte voor het verkennen of testen van creatieve ideeën (hacks), tenzij ze direct waarde opleveren. Zeer weinig organisaties zijn in staat om voltijdse onderzoekers in dienst te nemen, tenzij het gaat om door de overheid gesponsorde onderzoeksinstellingen.

Naarmate de cyberbeveiligingsmarkt echter is gegroeid en er wereldwijd arbeidskansen zijn, is volledig op afstand werken en onderzoek verrichten een niche geworden waarin zeer gespecialiseerde amateurs/onderzoekers, de zogeheten ‘ethische hackers’, hun brood kunnen verdienen.

Bug bounty’s

Crowdsourcing-platformen zoals HackerOne, YesWeHack en Intigriti bieden hackers een methode om geld te verdienen aan hun ‘hacks’ of zich bezig te houden met ‘bug hunting’. Iedereen kan min of meer anoniem lid worden van deze platforms en op zoek gaan naar organisaties die zogenaamde bug bounty-programma's hebben. Via deze programma's kunnen organisaties hun product, dienst, app of een stukje code aanbieden om te testen. Als een van de hackers op het platform een kwetsbaarheid in de software vindt, krijgen ze een premie die afhangt van de kwaliteit en de ernst van de vondst.

In het beste geval werd deze carrièremogelijkheid gezien als ideaal voor toekomstig werk; u kunt overal vandaan werken, wanneer u maar wilt, en goed verdienen. Er is echter ook kritiek geweest. Ten eerste zijn er maar weinig ethische hackers die over een langere periode goed verdienen. Bedrijven zouden ten onrechte kunnen denken dat ze systematisch testen kunnen vervangen door opportunistische en vaak willekeurige resultaten van bug bounty’s.

Note

Elke organisatie zou een eigen programma moeten hebben voor het onthullen van kwetsbaarheden. Een bug bounty-programma is meestal niet nodig. Een programma voor het onthullen van beveiligingslekken definieert manieren voor onderzoekers om op een veilige manier de details van een kwetsbaarheid te communiceren en hoe deze intern worden behandeld en verholpen. Een bug bounty-programma kunt u overwegen als de voordelen ervan lijken op te wegen tegen de mogelijke geldelijke uitgaven en de tijd die het kost om het te beheren.

Ook is uit sommige onderzoeken gebleken dat de bug bounty-platforms NDA’s gebruiken om het stilzwijgen van de premiejager te verhandelen voor de mogelijkheid van een uitbetaling. Hierdoor kunnen sommige bedrijven bug bounty-hackers het zwijgen opleggen over de meest ernstige beveiligingslekken zonder deze te verhelpen. Ook lopen gebruikers van de genoemde software het gevaar te worden gekraakt.

Zoals bij veel andere platformbedrijven is er ook kritiek rond mogelijke overtreding van arbeidswetten, die in veel landen werkgevers zouden dwingen om voor hun werknemers te zorgen. Als bug bounty-hacker ben je technisch gezien je eigen werkgever en is het dus moeilijk om via het platform de rechten van werknemers te waarborgen.

Voorbeeld

Hier kunt u een interview lezen met een bug bounty-hacker.

Offensieve en defensieve beveiligingstaken

Bij offensieve en defensieve beveiligingstaken verwijst het ‘rode team’ naar het offensief zijn om controles te testen, en verwijst het ‘blauwe team’ naar een verdedigend team.

Penetratietesten (kortweg ‘pentesting’) is een vorm van offensief en verkennend testen van een systeem, app, dienst, server, netwerk, apparaat of zelfs een voertuig (zoals een vliegtuig of een auto). Het rode team richt zich op grotere entiteiten, zoals een bedrijf als geheel.

In tegenstelling tot bug bounty’s heeft deze vorm van testen een doel, een bereik, een klant, succescriteria en een bijbehorende betaling. Sommige organisaties hebben ‘pentesters’ in dienst, maar vaker worden dergelijke gespecialiseerde taken uitbesteed aan bedrijven die zich op dit gebied hebben gespecialiseerd. Het verschil tussen opportunistisch hacken en pentesting is dat pentesters zekerheid verschaffen en systematisch te werk gaan, waarbij zij de meeste potentiële aanvalsmethoden trachten te bestrijken.

Voorbeelden van rollen in rode / blauwe teams

Rode en blauwe teamleden

Rood: Technische pentester

Pentesters gebruiken offensieve, commerciële en hun eigen aanvalstools om het doelwit te testen of informatie van het doelwit te verzamelen. Ze identificeren vaker zwakke plekken in de configuratie dan nieuwe kwetsbaarheden in de software. Ze denken als een black hat hacker, maar ze gebruiken hacking ten goede. Pentesters doen aanbevelingen voor andere technische cyberbeveiligers over hoe de gevonden zwakke plekken kunnen worden verholpen.

Rood: Red teamer

Red teamers zijn testers met een breed scala aan vaardigheden, van traditionele pentesting tot het omzeilen van de fysieke controles en het gebruik van methoden van social engineering. Deze professionals werken in een team met uiteenlopende vaardigheden. Red teamers testen op creatieve wijze combinaties van verdedigingsmiddelen om nieuwe zwakke plekken te vinden.

Rode en blauwe teamleden

Blauwe: IT/Cyberbeveiliging architect

Beveiligingsarchitecten ontwerpen en implementeren structuren voor IT-diensten, vergelijkbaar met hun tegenhangers in de bouwsector. Beveiligingsarchitecten plannen een structuur voor netwerken, beveiligingsgerelateerde diensten en zelfs welke diensten bij een leverancier worden uitbesteed als ze niet intern worden geleverd.

Beveiligingsarchitecten gaan na hoe elk gebruikers- en machineaccount wordt geïdentificeerd of geautoriseerd (IAM) en hoe verschillende gebeurtenissen worden gelogd. Een beveiligingsarchitect kan zich richten op een bepaald gebied (zoals IAM, netwerk of clouddiensten), of de architectuur van de gehele onderneming in beschouwing nemen.

Blauwe: SOC-analist / professional

Het Security Operations Centre (SOC) is een functie waarbij een organisatie centraal de meeste logs en events op zijn IT-omgeving bewaakt. Het SOC beschikt over speciale tools en diensten die een enorme hoeveelheid logboekitems of gebeurtenissen die door vastgestelde regels worden veroorzaakt, verzamelen en correleren.

Een SOC-analist is verantwoordelijk voor het opstellen en ontwikkelen van een reeks regels met behulp van de genoemde tools om verdachte gebeurtenissen te identificeren en indien nodig het onderzoeksproces te starten. Deze ‘first responders’ (zogenaamde Tier 1) werken vaak 7 dagen per week en 365 dagen per jaar. SOC-analisten kunnen meer uitdagende onderzoek opschalen naar Tier 2, die over meer ervaren professionals voor digitaal forensisch onderzoek kan beschikken: de kunst van het vinden van elektronisch bewijs van een potentiële inbreuk op de beveiliging.

Beveiliging in ontwikkeling

Cyberbeveiliging ontwikkelen is niet alleen iets voor toegewijde cyberbeveiligers, maar ook voor iedereen in de IT-sector. Technisch gezien draait alles op code. Code is een verzameling door mensen leesbare instructies die wordt geschreven (ontwikkeld) en vervolgens wordt gecompileerd tot een door een machinaal uitvoerbaar object. Dit uitvoerbare object wordt vervolgens getest door een ontwikkelaar. Na het testen wordt het uitvoerbare object in een operationele omgeving (OPS) gebracht, waar het in wisselwerking staat met andere programma's, servers en diensten.

Al deze fases kunnen veiligheidslekken veroorzaken door ontwerp of door fouten. Daarom is het belangrijk dat de beveiliging van de code zelf, de componenten en hun interacties vanaf het begin van het proces wordt gewaarborgd. In tegenstelling tot pentesting (dat zich richt op het vinden van zwakke plekken nadat een code in productie is), wordt een groeiend aantal van de meest effectieve beveiligingsactiviteiten uitgevoerd vóór of tijdens de ontwikkeling.

Voorbeelden van beveiligingsrollen bij ontwikkeling

Beveiligings-ontwikkelaar

Beveiligingsontwikkelaars richten zich op de diensten die cruciaal zijn voor cyberbeveiliging, zoals identificatie- en autorisatiediensten.

Security champion (in een ontwikkelingsproject)

Security champions zijn meestal senior ontwikkelaars en richten zich op veilige coderingspraktijken. Zij zijn mentoren en coaches voor andere ontwikkelaars en andere projectteamleden. Zij zorgen ervoor dat beveiligingstests en andere beveiligingsgerelateerde activiteiten (bijvoorbeeld code reviews) plaatsvinden zoals gepland.

Cyberbeveiliging: een loopbaan voor de toekomst

Meer dan ooit tevoren neemt de vraag naar cyberbeveiligers in alle sectoren toe. Door de digitale transformatie van ons dagelijks leven en werk is er in alle sectoren en op alle gebieden behoefte aan deze vaardigheden. De grootste zorg voor overheden, bedrijven en burgers is dat de verspreiding van digitalisering en opkomende technologieën ons vermogen om de gekwalificeerde cyberbeveiligers op te leiden die nodig zijn om onze onlinewereld te beveiligen, overtreft.

In haar jaarstudie voor 2020 schat (ISC)², een internationale non-profitorganisatie voor cyberbeveiligingsleden, dat Europa een tekort aan arbeidskrachten heeft van meer dan 168.000 posities die niet kunnen worden ingevuld door gekwalificeerde cyberbeveiligers. Wereldwijd ligt dit aantal op meer dan 3 miljoen. Hoewel deze vraag ten opzichte van het aanbod van arbeidskrachten vanaf 2020 is afgenomen, als gevolg van de algemene economische neergang die door Covid-19 is veroorzaakt, blijft het nog steeds hoog, en zal het naar verwachting snel toenemen.

Ondanks het feit dat meer dan 500 universiteiten en academische instellingen in heel Europa certificeringen en diploma's voor cyberbeveiligingsprofessionals afleveren, overtreft de groeiende vraag het aanbod ruimschoots. Een van de oplossingen om deze kloof te helpen dichten, is dat werkgevers en werknemers manieren vinden om zich bij te scholen op het werk of via permanente educatie. Door deze cursus te volgen, heeft u zichzelf alvast goed op weg gezet. Voor meer informatie over waar u meer vaardigheden op het gebied van cyberbeveiliging kunt opdoen, kunt u de website van Digital SkillUp bezoeken.

Part summary

Na het beëindigen van hoofdstuk 5 kun je:

  • begrijpen hoe opkomende technologieën nieuwe kansen kunnen bieden, maar ook risico’s kunnen inhouden, op het vlak van computerbeveiliging.

  • enkele gevolgen voor computerbeveiliging in de nabije toekomst bespreken.

  • begrijpen welk type jobs er bestaan voor professionals in computerbeveiliging.

You reached the end of the course!

Correct answers

0%

Exercises completed

0/0