De tien IT security competenties
In een recent editoriaal heeft mijn vriend Everett Johnson, internationaal voorzitter van de ISACA, het over de tien competenties die een IT security professional moet beheersen. Aangezien er op dit moment heel wat beurzen en conferenties rond IT-beveiliging plaatshebben in ons land, vond ik het een goed moment om deze punten ook in deze column eens onder de aandacht te brengen.
IT-beveiliging trekt van nature mensen aan die van geen kleintje vervaard zijn en die kunnen doorzetten in het zoeken en uitbouwen van een effectieve verdediging. Hier volgen die tien competenties. Ik nodig u uit om eens te kijken hoe u het er zelf vanaf brengt op elk van deze punten. En welke de punten zijn waar u nog aan kunt werken.
1. Goede beheersing van het IT-netwerk en van de kracht en zwakheden van elke component, om te doorzien op welke manier die misbruikt kunnen worden. Dat lijkt alvast essentieel.
2. Voldoende kennis over de methodes om op netwerken en systemen in te breken. Dat is een noodzakelijke aanvulling op het voorgaande. Nochtans herinner ik mij nog heel goed de controverse die in 2000 ontstond toen ik in België de eerste cursus ethical hacking organiseerde.
3. Begrijpen hoe de applicaties in elkaar zitten en hoe ze werken. Zo kan men ontdekken hoe deze applicaties misbruikt kunnen worden om niet toegelaten handelingen uit te voeren. In het verleden is kennis van softwaretoepassingen nooit het favoriete domein van beveiligingsverantwoordelijken geweest.
4. Kennis van de gegevens en hoe die zich over het netwerk en tussen de verschillende systemen bewegen. Net als het voorgaande, is ook dit een domein dat security professionals vaak wat minder beheersen. Zij voelen zich eerder thuis in de meer tastbare componenten.
5. Het concept ‘risico’ goed begrijpen en kunnen aanpassen aan de onderneming, de bedrijfscultuur en de algemene context. Elk bedrijf heeft een eigen tolerantieniveau op het vlak van risico, dat hoger of lager kan liggen. Het is niet altijd makkelijk voor een beveiligingsverantwoordelijke om zich neer te leggen bij dat niveau, dat hij misschien te hoog of te laag vindt, en om zich aan te passen.
6. De grootste gevaren kunnen onderscheiden van de kleinere, en de reactie op deze gevaren daaraan aanpassen. Dit vereist een goede kennis van de sterkten en zwakheden van de eigen instrumenten en het nemen van goede beslissingen op basis van die kennis.
7. De gegevens die afkomstig zijn van een systeem voor detectie en bescherming goed kunnen interpreteren, om snel de juiste reactie te bepalen.
8. Een goede beheersing van de globale beveiliging, zodat de juiste bescherming kan worden uitgebouwd in elk domein. Dit vereist heel wat creativiteit om de risico’s en bedreigingen te identificeren. En om daar oplossingen voor te vinden die niet altijd conventioneel moeten zijn.
9. Minder technische vaardigheden heb je ook nodig. Het is essentieel om goed te kunnen communiceren met uw collega’s, uw gebruikers en uw directie. Zonder een flinke portie communicatietalent en overredingskracht zal u geen voldoende motivering kunnen loskrijgen om de noodzakelijke maatregelen te treffen.
10. De capaciteit om in te zien dat zich een belangrijke verandering heeft voorgedaan die risico’s met zich meebrengt en de tijdelijke inbreng van externe consultants noodzakelijk maakt. Maar ongetwijfeld kent elk van u nog minstens één andere competentie die niet in dit lijstje staat, en toch essentieel is op het cv van een IT security professional.
Georges Ataya is hoogleraar aan de Solvay Business School, internationaal vicepresident van het IT Governance Institute en afgevaardigd bestuurder van ICT Control SA-NV.
