Cybersecurity binnen het mkb: met welke human capital aspecten moet je rekening houden?
Cybersecurity is, met de toenemende digitale ontwikkelingen, belangrijker dan ooit. Binnen mkb-bedrijven valt op dat hier groeiende aandacht voor is, maar dat er nog onvoldoende bekend is over wat human capital hieraan kan bijdragen. Welke aandachtsgebieden zijn er? Hoe en waar zijn die te beleggen? En vooral: wat betekent dat vervolgens voor de werving en scholing van je medewerkers en de cultuur binnen je organisatie? Daar heeft Paula Kager, als Kwartiermaker human capital cybersecurity, in opdracht van Security Delta en de Economic Board Zuid-Holland onderzoek naar gedaan.
“Er is veel informatie beschikbaar over welke acties mkb-bedrijven dienen te ondernemen voor een goede cybersecurity, maar er staat niet bij wie dat gaan doen en of ze dat kunnen”, aldus Paula Kager
Wie doet wat?
Grote bedrijven hebben cyberveiligheid meestal ondergebracht bij een CISO, ISO en/of een team van security officers. Bij het mkb ontbreken vaak de middelen en de noodzaak om specialisten in dienst te nemen of externe experts in te huren. Kleinere bedrijven (10-50 fte) hebben vaak geen eigen IT- en HR-afdeling. Tegelijk moet de basis van cybersecurity wel op orde zijn én blijven. Dit betekent dat je processen, systemen en (het gedrag van) mensen continu moet monitoren. Mkb-ondernemingen hebben IT vaak uitbesteed aan hun IT-leverancier en verwachten dat deze alles onder controle houdt, zoals een beveiligingsbedrijf die de fysieke beveiliging van gebouwen, terreinen en mensen bewaakt. Bij cyberveilig ondernemen komt veel kijken. De kwartiermaker heeft het landschap van cyberveilig ondernemen onderverdeeld in aandachtsgebieden, die opgeknipt in taken en deze verdeeld over 12 clusters. Welke cybersecuritytaken liggen bij de directeur/eigenaar? Welke van deze taken passen onder de verantwoordelijkheid van, als die er zijn, een Office Manager, een IT-manager of HR-managers? De resultaten van dit onderzoek zijn terug te vinden in het ‘Instrument Human Capital Cybersecurity’.
“Veel kleinere bedrijven hebben geen beleid op papier vastgelegd, dus ook geen functiebeschrijvingen, takenpakketten en inwerkprogramma’s. Het gaat vaak goed totdat het goed fout gaat.”
Hoe cybertalent aantrekken, boeien, binden?
Tot de human capital aspecten van cybersecurity behoren ook het aantrekken, boeien en binden van potentieel talent voor cybertaken. Een belangrijk advies in het rapport is: “Ondernemers, bied een aantrekkelijk groeiperspectief aan.” En vergroot de vijver voor werving, denk hierbij aan bestaand personeel, zij-instromers, herintreders en senioren. Door te investeren in- en samen te werken met een goede IT-leverancier of brancheorganisatie, kan er een rol gecreëerd worden die aansluit op talenten, competenties en ambities. Cybersecurity medewerkers dienen de ruimte te krijgen om zich te ontwikkelen; het is een jonge tak van sport waarvan de inhoud nog niet in beton is gegoten. De bedrijfsleiding dient mee te denken over de vorming van een cyberteam, waarin techniek, mens en organisatiebeleid goed en evenwichtig belegd zijn. Zet de deuren open voor potentieel talent en stel jezelf de vraag: waarom zou iemand juist bij mijn bedrijf willen werken?
Een organisatie kan de techniek nog zo goed geregeld en het beleid nog zo goed geformuleerd hebben, in de praktijk is de ketting zo sterk als de zwakste schakel. Daarbij gaat het om cultuur en gedrag, beleid communiceren en daarnaar handelen, elkaar aanspreken, fouten durven maken en daar van leren en kennis delen.
Wat zijn de volgende stappen?
Er ligt nu een bruikbaar instrument voor mkb-ondernemers en hun adviseurs. Human capital is tot dusver een onderbelicht aspect is geweest bij het realiseren van cybersecurity. Dit is ook meegenomen in de Human Capital Agenda Security die vandaag wordt gepresenteerd op de website en LinkedIn van Security Delta (HSD). En daarnaast in de gehonoreerde groeifondsaanvraag IT verband Zuid-Holland om meer (cyber) IT-ers in het mkb werkzaam te krijgen.
Nu is het zaak om dit ook goed onder de aandacht te brengen en te houden bij mkb-ondernemingen. Juist daar willen we ons vanuit de Economic Board Zuid-Holland en Security Delta (HSD) de komende periode hard voor maken.
Human Capital Agenda Zuid-Holland
Door de vervolgstappen uit te voeren en in gesprek te gaan met organisaties in de regio over scholing in cybersecurity, kan een Human Capital deelakkoord voor Zuid-Holland een mogelijk vervolg zijn. Want bewustwording is goed, maar scholing is beter.
Je downloadt de beknopte versie van het “Instrument Human Capital Cybersecurity” hier. Voor meer informatie kan je contact opnemen met Ron Brans (ra.brans@pzh.nl) of Mark Ruijsendaal (mark.ruijsendaal@securitydelta.nl).