Er is een flink tekort aan cybersecurity professionals. Kandidaten moeten naast technische vaardigheden ook steeds meer beschikken over andere kennis en skills. Vier trends in de arbeidsmarkt voor cybersecurity-pro’s.
Tekst: William Visterin Beeld: SHUTTERSTOCK
Heuse jobbeurzen zijn Cybersec Europe en Cybersec Netherlands (10-12 september in Utrecht) nog niet. Op deze vakbeurzen voor iedereen die met cybersecurity bezig is, komt het loopbaanaspect wel prominenter dan voorheen naar voren.
1. Cybersecurity is oorlog om talent
Meer dan vier miljoen security professionals. Zoveel zijn er volgens het World Economic Forum wereldwijd tekort. En dus werd er her en der op de stands van Cybersec Europe in Brussels Expo eind mei af en toe ook wel voorzichtig gepolst naar een job- of carrièreswitch.
Cybersecurityprofessionals behoren nu eenmaal tot de knelpuntberoepen: de vraag naar goed opgeleide experts is veel groter dan het beschikbare aanbod. Het vakgebied vereist diepgaande technische kennis, voortdurende bijscholing en een scherp analytisch vermogen, wat de instapdrempel verhoogt.
In 2024 waren security engineers, volgens de Amerikaanse vakvereniging CyberSN, de meest gevraagde cyberbeveiligingsfunctie, gevolgd door analisten en DevSecOps-professionals. Dit zijn bekende titels, rollen die lang als essentieel zijn beschouwd voor het bouwen en onderhouden van veilige systemen.
Maar het momentum is aan het verschuiven op de security jobmarkt. Technische functies vallen wat terug in de vacaturecijfers. In de afgelopen drie jaar zijn de vacatures voor DevSecOps-functies bijvoorbeeld met bijna de helft gedaald. Deze evolutie reflecteert volgens CyberSN een bewuste herijking van hoe bedrijven hun teams structureren.
2. Cybersecurity is niet-technisch
De tijd dat cybersec-profielen vooral technisch georiënteerd waren, lijkt voorbij. Het inhuren van beveiliging is ook meer en meer gericht op niet-technische vaardigheden en profielen. Zo speelt de invloed van de zogenaamde grc (= governance, compliance en risk management) een grote rol.
Van alle onderzochte categorieën in cybersecurity groeiden dergelijke grc-functies het sterkst in 2024. Directies en toezichthouders verwachten van cyberbeveiligingsleiders dat ze risico’s meten en rapporteren in termen van bedrijfsimpact. Dat vraagt om professionals die beveiligingsactiviteiten kunnen verbinden met corporate governance-frameworks. Het gaat naast security readiness ook om audit readiness.
‘De tijd dat cybersec-profielen vooral technisch georiënteerd waren, lijkt voorbij’
Of het nu gaat om interne controles, SOC 2, HIPAA, NIS2, Cyber Resilience Act, GDPR of andere: bedrijven staan onder druk om hun maturiteit op het gebied van cyberbeveiliging en dataprivacy te documenteren, te verdedigen en aan te tonen. Voor dergelijke grc-functies worden, volgens CyberSN, mensen aangezocht met een divers profiel zoals voormalige risicomanagers of consultants.
Ook speelt de toenemende impact rond automatisering een rol. Nu beveiligingsplatforms slimmer worden, kunnen veel taken waarvoor vroeger speciaal personeel nodig was, zoals logfileanalyse, bedreigingsdetectie en incidenttriage, steeds meer worden gestroomlijnd. Ook op Cybersec Europe was kunstmatige intelligentie een prominent thema, zowel op de beursvloer als op de main stage.
3. Cybersecurity is new collar
In cybersecurity zijn de zogenaamde new collar-profielen belangrijk: professionals die vaak via alternatieve leerwegen — zoals korte gespecialiseerde opleidingen, certificeringen of praktijkgerichte bootcamps — hun vaardigheden opdoen in plaats van via een klassieke academische opleiding.
In tegenstelling tot white collar-functies, die meestal een diploma vereisen, en blue collar-banen, die vooral fysieke arbeid vragen, combineren new collar-werknemers technische expertise met praktische ervaring, wat goed aansluit bij de snel evoluerende en praktische aard van cybersecurity. Of hoe deze new collar workers zichzelf waardevol maken in een sector waar actuele kennis en probleemoplossend denken cruciaal zijn.
‘New collar-profielen zijn belangrijk: professionals die via alternatieve leerwegen hun vaardigheden opdoen’
Toch is er ondanks de aandacht rond cybersecurity, bij jongeren soms minder bewustwording om in dat domein ook effectief aan de slag te gaan. Kinderen willen misschien wel vaak politieman worden als ze later groot zijn, maar cybersecurity professional komt (nog) minder in hen op, gaf Fleur van Leusden, chief information security officer (ciso) bij de Nederlandse Kiesraad onlangs mee in een podcast: ‘Ik ken niet veel kinderen en jongeren die opgroeien en zeggen: ‘Ik wil een ciso worden als ik groot ben’. Dat is niet iets waar mensen naar streven, ze komen gewoon in de job terecht’.
Aandacht voor een job in cybersecurity is dus steeds aan de orde. Tijdens Cybersec Europe was er bijvoorbeeld een zogenaamde Capture The Flag-event waar ruim honderd (jonge) talenten zich op inschreven.
4. Cybersecurity is well-being
En dan is er nog de menselijke kant van de job. In de securitywereld is de toenemende druk op bestaande beveiligingsteams een issue. Burn-outs bij security professionals zijn een toenemend fenomeen. Het verloop in security-teams is vaak best hoog. Vooral dan onder professionals in het midden van hun carrière, die vaak de grootste last dragen zonder de duidelijkste groeipaden. Dikwijls trekken deze profielen niet naar de concurrentie, maar verlaten ze gewoon de job en gaan ze professioneel iets totaal anders doen.
Ook hier werd naar gepolst op Cybersec Europe. Tijdens een anonieme poll op een apart ciso-panel op de beurs gaf 40 procent aan ‘betrokken te zijn en ook op lange termijn bij hun organisatie te willen blijven’. Ruim een kwart was neutraal tegenover hun job. En 14 procent gaf aan het ciso-beroep volledig willen te verlaten.
