Cyber Security District profileert zich als het toonaangevende carrièreplatform voor professionals op het gebied van cybersecurity. Het richt zich op het verbinden van cybersecuritytalent met werkgevers, en biedt daarnaast een scala aan hulpmiddelen om loopbaanontwikkeling te ondersteunen. Het platform biedt vacatures, carrièreadvies en inzichten in opkomende trends binnen de cybersecuritysector, met als doel professionals te helpen hun carrière verder te ontwikkelen. Cybersecurityredacteur Jan Meijroos praat met oprichter Laurens Jagt over het belang van soft skills, het vergroten van cybersecuritybewustzijn en het het NIS2 Quality Mark.
Hoe lang bestaat Cyber Security District en wat doen jullie?
Laurens: ‘In 2018 ben ik samen met een vriend, die al meer dan tien jaar ethisch hacker is, Cyber Security District gestart. We begonnen als een recruitmentorganisatie en waren de eerste partij in Nederland die zich volledig richtte op het vinden van cybersecuritytalent voor Nederlandse organisaties. De afgelopen jaren zijn we ons steeds meer gaan focussen op community building en het onderwijzen van professionals. En we hebben ook een eigen podcast.’
Een van jullie speerpunten is aandacht voor communicatie. De meeste IT-mensen zijn heel goed met code, maar wat minder goed in onderlinge communicatie?
Laurens: ‘Over het algemeen wel ja. Het kan zijn dat je technisch heel sterk bent, maar je verhaal niet goed kunt overbrengen. Bijvoorbeeld hoe je budgetten moet vrijmaken bij het bestuur. We bieden daarom soft skills-trainingen aan voor cybersecurityprofessionals, ontwikkeld door mensen uit het vak.’
Dus jullie zijn langzaam een soort academie aan het worden; een opleidingspartij specifiek voor securityprofessionals?
Laurens: ‘Precies. We merken in gesprekken dat soft skills en communicatieve vaardigheden echt topics zijn waar misverstanden en conflicten uit ontstaan. We willen professionals daarin ondersteunen. Daarnaast hebben we een eigen podcast met al vier seizoenen, hosten we evenementen, hebben een eigen meetup-groep en bieden trainingen aan.’
Er zijn momenteel flink wat tekorten aan IT-krachten, laat staan aan cyberprofessionals. Even gekscherend: waarom zouden die moeten werken aan hun soft skills? Die kunnen toch overal aan de slag?
Laurens: ‘Om twee redenen. Eén: soft skills zijn ook gewoon life skills. Het is bijvoorbeeld leuk als je op je verjaardag iets kunt vertellen over je broer of tijdens een bruiloft een speech kunt geven. Als je beter kunt luisteren, is dat ook prettiger voor je omgeving. Dus het is niet alleen voor je werk. Ik denk dat jij als journalist weet hoe je goede vragen moet stellen; dat is ook een verrijking voor je hele leven. Dat vind ik misschien wel het belangrijkste.’
‘En twee: ik denk dat het goed is voor de onderlinge samenwerking. Dat je elkaar beter begrijpt, elkaars communicatiestijlen, en dat je ook beter leert samenwerken met de rest van de organisatie. Zodat je niet zo’n eilandje blijft van de securityprofessionals die in de kelder zitten waar niemand komt. Je wordt meer onderdeel van het bedrijf en communiceert onderling beter.’
Licht jullie trainingen eens toe? Zijn er verschillende modules?
Laurens: ‘Jazeker. Onze trainingen richten zich op verschillende aspecten van soft skills. Eén daarvan is leiderschap; dat is meer voor senior professionals. Dan hebben we storytelling, vooral vanuit crisismanagement en crisiscommunicatie. Dat zijn echt belangrijke onderwerpen binnen de cybersecurity. Maar ook: hoe zorg ik dat mijn team zichtbaar wordt? Hoe komen we uit die kelder en krijgen we budgetten voor wat we doen? Dus hoe krijgen we cybersecurity echt op de kaart, in plaats van dat het een soort afvinklijstje is. Je zorgt er niet alleen voor dat alles goed is en dat je alle vereisten afvinkt, maar je maakt echt de transitie naar het belangrijk maken van cybersecurity binnen het hele bedrijf. Je creëert awareness binnen de organisatie. Daar gaat het vaak mis, dat die awareness er helemaal niet is.’
Wat is bij jullie deelnemers vaak de grootste blinde vlek?
Laurens: ‘Dat ze communiceren op een manier die heel goed wordt begrepen door andere securityprofessionals, maar die niet blijft hangen bij de rest van de organisatie. Het is belangrijk dat je dezelfde taal spreekt, dat je je tone of voice kunt aanpassen aan je publiek.’
‘Zo kunnen ze die nieuw verworven skills op meerdere manieren inzetten: binnen hun eigen team, met mensen in andere teams en met mensen buiten de organisatie. Het gaat niet alleen om professionele groei, maar ook om persoonlijke ontwikkeling. Goede communicatieve vaardigheden zijn waardevol in alle aspecten van het leven. We geloven dat het ontwikkelen van soft skills essentieel is voor zowel het individu als de organisatie. Het versterkt teams, verbetert de samenwerking en zorgt ervoor dat cybersecurity een geïntegreerd onderdeel wordt van de bedrijfsstrategie.’
Jullie werken samen met Samen Digitaal Veilig. Wat houdt die samenwerking concreet in?
Laurens: ‘Voor ons betekent dit dat we samen kunnen werken aan het vergroten van cybersecuritybewustzijn, vooral binnen het mkb. Cybersecurity is enorm belangrijk, maar het wordt vaak over het hoofd gezien in kleinere organisaties. Grote bedrijven bouwen grote teams, maar de risico’s verschuiven steeds meer naar het mkb. Die grote bedrijven worden gehackt omdat hun toeleveranciers (te) weinig doen aan security. Als een mkb’er gehackt wordt, ben je echt de klos en heb je waarschijnlijk geen verzekering. We willen meer betekenen voor het mkb, hen adviseren over hoe ze op een pragmatische manier cybersecurity kunnen integreren.’
Hoe kijk jij naar het NIS2 Quality Mark, de norm voor leveranciers in de toeleveringsketen die Samen Digitaal Veilig in licentie heeft?
Laurens: ‘Ik zie het als een positieve ontwikkeling dat het mkb cybersecurity ook serieuzer gaat nemen en dat dit van bovenaf wordt gestimuleerd. Ik geloof echt dat als je als ondernemer een flinke hack ervaart, je daar aan onderdoor kunt gaan. Ik denk dat het misschien wel je grootste bedrijfsrisico is, maar dat er niet voldoende tijd en middelen in worden geïnvesteerd. De kans op een hack wordt nog onderschat en de consequenties al helemaal. Men denkt vaak: als het gebeurt, dan is binnen een week alles weer zoals het was. Maar dat is niet zo. Dus ik vind het goed dat dit nu vanuit Europa wordt gepusht.’
Wat vind je van het getrapte model van de norm met de drie verschillende niveaus?
Laurens: ‘Het is heel pragmatisch en stapsgewijs opgezet om richting de NIS2 te bewegen, en op den duur ook naar een ISO-certificering. Ik vind het mooi dat dit zo gestructureerd is uitgelegd. Je kunt dit ook met een wat minder ervaren professional doen; die kan je langzaam op weg helpen. Als je meteen in een ISO-certificering duikt, sta je voor een enorme berg werk, en dat schrikt enorm af. Volgens mij hebben jullie nu een mooi wandelpad aangelegd. Het is nog steeds een aardige beklimming, maar beetje bij beetje kom je er wel, in je eigen tempo. Anders moet je een soort Mont Ventoux op zonder haarspeldbochten; dan kom je er nooit.’
Security is een continu proces waar je als bedrijf voortdurend mee bezig moet zijn. Is dat ook iets wat je terugziet in de markt, qua trend of bij de mensen die jullie opleiden?
Laurens: ‘Ja, absoluut. Ook bij de mensen die we opleiden merken we dat. We bieden bijvoorbeeld CISO-as-a-Service aan, waarbij professionals je ondersteunen in het NIS2 domein. Dit kan bijvoorbeeld door tien uur per maand met je mee te kijken, in plaats van dat je een fulltime securityspecialist in dienst neemt, wat vaak te duur is en lastig te vinden. Zo hebben bedrijven toch de expertise die ze nodig hebben, maar op een flexibelere en kostenefficiëntere manier.’
En als jullie voor een mkb-bedrijf of kleinere organisatie aan de slag gaan?
Laurens: ‘Dan komt het NIS2 Quality Mark in beeld. Je moet dan zeker niet meteen aan zo’n ISO-beklimming beginnen, dat is niet nodig voor een mkb-bedrijf. Ik denk dat je met een aantal quick wins en basiscyberhygiëne-maatregelen al vrij eenvoudig misschien wel 80% meeste zaken geregeld kan hebben. Als je ook de laatste 20 procent wilt bereiken moet je misschien dieper in de buidel tasten. Maar je kunt er wel voor zorgen dat je de belangrijkste zaken goed geregeld hebt. Dan ben jij sowieso niet degene die als eerste wordt gehackt.’
