Er is géén tekort aan goed opgeleide IT’ers

U leest ’t regelmatig: er is in de IT-sector een tekort aan goed opgeleide IT’ers, vooral op het gebied van security. Onjuist wat mij betreft. Er is in de IT-sector wél een tekort aan goede IT’ers. Dat lijkt me een wat betere beschrijving van dit overigens best wel grote probleem.

Weet u hoeveel diploma’s er aan de muur hangen bij mij? Nul. Niet omdat ik het geen goede aanvulling op mijn interieur zou vinden. Ik heb ze gewoon niet. Maar ik ben arrogant genoeg om te zeggen dat ik mijzelf wel een goede IT’er vind. Huurt u mij nu in? Vast niet. Maar leest u toch even verder.

Ik loop hier al een tijdje mee rond en deze column van Pieter Derks gaf mij een goede aanleiding om het eens op schrift te zetten:


Er zijn allerlei redenen om geen certificaten of diploma’s te hebben. Privé-omstandigheden kunnen ervoor zorgen dat er geen opleiding behaald kon worden. Misschien was je onhandelbaar op school — ik kijk zelf even de andere kant op nu. Of misschien vond je het gewoon zonde van je tijd en kon je die nuttiger besteden. Kan en mag allemaal en mijn punt is: het simpelweg niet hebben van een diploma zegt minder dan dat je wel een diploma hebt.

Dus kunnen we diploma’s/certificaten en dergelijke het raam uit gooien? Nee zeker niet, voor sommige beroepen moet je zeker weten dat iemand kan wat hij/zij gaat doen omdat er anders levens in gevaar komen.  Van een piloot wil je graag van tevoren weten of-ie kan vliegen. Een chirurg kan niet handelen volgens het principe ‘al doende leert men’. Daarbij, een diploma kan nooit kwaad. Maar vooral in de IT-sector mag het totaal uit de hand gelopen diplomafetisjisme wel direct de deur uit want het tekort in die sector wordt alleen maar groter de komende jaren.

De vraag is wat een IT’er een goede IT’er maakt. Ten eerste, IT’er is wel een erg breed begrip. Dat is net zoiets als iemand die zegt dat-ie in verzekeringen zit. Dan weet je gewoon nog niet wat iemand doet. Laat ik het hier maar hebben over getalenteerde IT-meiden/jongens die handig zijn met een computer. En dan bedoel ik niet dat ze je e-mail kunnen instellen of voor de 100ste keer weer een trage computer kunnen herinrichten omdat iemand écht geen verkeerde websites heeft bezocht. Nee, met handig bedoel ik dat ze een computer snappen. Dat ze weten wat er gebeurt als je hem aanzet. Hoe processor, werkgeheugen en opslag zich tot elkaar verhouden. Dat ze weten hoe je een stuk software kunt programmeren. Dat ze snappen dat elk stuk software uiteindelijk onder de motorkap qua principe hetzelfde doet. Een handige IT’er heeft vroeger computers letterlijk uit elkaar gehaald, in elkaar gezet, gesloopt. En doet dat nog. Een handige IT’er houdt van klooien, pielen, proberen, prutsen,  knutselen en aanrommelen en leert daarvan. En veel ook. Een handige IT’er noem ik dan gewoon een hacker.

Een hacker is een positieve kwalificatie, het zegt dat iemand een stuk elektronica, een computer of wat dan ook, tot in de puntjes kan beheersen en naar zijn hand kan zetten. Een hacker kan hardware/software dingen laten doen die de fabrikant niet had voorzien. Dus een goede IT’er in de wereld van security is iemand die zichzelf hacker kan noemen. En ja, hacker is een positieve kwalificatie want er is een verschil tussen hackers en criminele hackers.

In de wereld van digitale en online beveiliging is ook een sterk tekort aan handige IT’ers. De cybersecurity-sector klaagt daar voortdurend over. Maar de sector stelt zelf de verkeerde eisen en is er dus zelf gewoon schuldig aan. Ze vragen om opleidingen en certificeringen. Dan nemen ze een HBO/WO-opgeleide IT’er aan die als een echte hacker beveiligingen moet kraken. Het bedrijf blij: ze hebben nou toch een getalenteerde IT’er binnengehengeld. Hier heb je 60.000 euro per jaar want we zijn dolblij met je. Maar wat blijkt nu? Hacken kan die WO-er helemaal niet!  Hij kan wel scrummen, hij kan ook agilen, leanen en weet ik veel wat nog meer. Maar hij bezit niet de creativiteit, de behendigheid, het enthousiasme en de leergierigheid die je van een hacker mag verwachten. Hij kan niet even snel een scriptje in Python in elkaar timmeren om een website te scrapen of te spideren. Hij weet niet hoe hij een ssh-configuratie zo kan inrichten dat je alleen nog kunt inloggen met een publieke en geheime sleutel. Hij kan niet een stuk javascript in elkaar zetten die via een XSS cookies steelt van een bezoeker.
U bent mij misschien hier kwijt maar het punt wat ik wil maken is dat die hele opleiding niets zegt in dit geval.

Wat wél telt is pruts-ervaring, hoe meer je geprutst hebt, hoe beter. Linux, Windows, Apple, ja zelfs DOS, hardware, soldeerbouten, multimeters, het mag allemaal niet uit maken. De handige IT’er heeft vaak geen opleiding maar heeft zich als een ware autodidact kennis eigen gemaakt die geen opleiding hem had kunnen geven. Wie kunnen betere sloten maken dan inbrekers? Juist. En dat geldt ook voor de cybersecurity-sector: hackers zijn de beste beveiligers. Ze hebben geen opleiding gehad want ze waren te druk bezig om kennis te verwerven. Ze kunnen niet scrummen maar wat zijn ze belangrijk!

Zoekt u nou iemand die dus zeer handig is met computers? Neemt u eerst dan wat tips van mij aan; ik garandeer u dat u er veel geschiktere mensen door aan het werk gaat krijgen. Staart u zich niet blind op de behaalde papiertjes, kijk naar wat ze kunnen en niet naar wat ze zouden moeten kunnen. Nodig ze uit, ga met ze in gesprek en zorg dat u weet wat die mensen bewegen. Kijk waar ze enthousiast van worden. Laat ze op basis van daarvan gewoon een maandje aan de slag gaan voor 2.500 euro. Gelooft u mij, dan weet u vervolgens precies wat u in huis heeft gehaald. Oh ja, laatste tip, had ik al gezegd dat u niet naar dat papiertje moet kijken?

Na deze volledige afbrand-sessie van diploma’s, is het tijd voor een beetje nuancering. Het een sluit het ander natuurlijk niet uit. Mensen kunnen opgeleid zijn én de talenten van een hacker hebben. Maar ik kom ze niet veel tegen. De mindset van een hacker is namelijk niet die van een studiebol. Een hacker gaat niet gestructureerd en volgens een plan aan het werk. Nee,  hackers werken veelal reactief. Op basis van kleine stukjes informatie werken ze naar een bepaald doel toe. Dat wat ze tegenkomen bepaalt hoe ze verder gaan en kan zelfs het doel laten veranderen. En dat valt allemaal nu eenmaal slecht te plannen. Dat moet je ook niet willen plannen. In ieder geval: goed opgeleide hackers ken ik niet veel, getalenteerde hackers wel.

Gratis en voor niks zet ik hier een voorbeeld van een vacature neer. Doe er uw voordeel mee, werkgevers/recruiters:

Afsluitend, beste werkgevers en recruiters: ja een opleiding kan geen kwaad maar als jullie het tekort aan mensen in de IT-sector en specifiek de IT-security-sector willen oplossen dan zullen jullie eerst eens wat moeten doen aan die verschrikkelijke eisen qua certificeringen, opleidingen en dergelijke. Ga in gesprek met ze, laat ze het een maandje proberen. Als u dan niet in staat bent om te beoordelen of iemand gekwalificeerd is dan moet u zich afvragen wie eigenlijk het echte probleem veroorzaakt…

Bent u het oneens met mij? Geen probleem, story of my life. En u bent zeker niet de enige dus ik heb nog een lange weg te gaan maar als ook maar één werkgever de ogen wat verder opengaan van dit stuk, dan is mijn opzet geslaagd.

Loran Kloeze, ongecertificeerde hacker
@lorankloeze