Terugkijkend op een succesvol 2025 deelt onze Manager Offensive Security, Koen Riepe, zijn gedachten over hoe je omgaat met eindejaarsbeoordelingen en welke belangrijke vaardigheden ethical hackers en red teamers nodig hebben.
Een basis voor belangrijke vaardigheden
Iedereen krijgt vroeg of laat een beoordelingsgesprek, en als je zelf leidinggeeft, moet je waarschijnlijk ook beoordelingen uitvoeren bij collega’s. Ik ben nu al een aantal jaar verantwoordelijk voor het beoordelen van teamleden en het geven van feedback in officiële rapporten. Elke keer vind ik het weer lastig om mijn gevoel over iemands prestaties duidelijk en eerlijk op papier te zetten. Ik heb zelf ook vaak genoeg vage beoordelingen gekregen, en dat voelt nooit goed. Hopelijk geeft dit artikel wat inspiratie over welke vaardigheden belangrijk zijn, waarom dat zo is en hoe je die terug laat komen in gesprekken en beoordelingen.
Na het lezen van stapels boeken over teamdynamiek, leiderschap en gezonde werkculturen van onder anderen Simon Sinek, Adam Grant, Brené Brown en Bradley Kirkman, voelde ik me klaar om te beschrijven welke vaardigheden ethical hackers nodig hebben en hoe je die kunt beoordelen. Ik leerde dat het bijna onmogelijk is om duidelijke feedback te geven als je niet precies weet wélke vaardigheden je beoordeelt. Daarom ben ik vooral gaan nadenken over de vraag: “Welke vaardigheden zijn echt belangrijk voor ethical hackers en red teamers?” In veel teams ligt de focus vooral op technische kennis of het uitvoeren van ingewikkeld technisch werk. Dat is natuurlijk belangrijk, maar het betekent niet automatisch dat iemand goed functioneert in het grotere geheel. Vrijwel niemand werkt alleen; bijna iedereen werkt in teams, met interne collega’s én soms met meerdere klantteams. Daarom moet je naar veel meer kijken dan alleen techniek.
Categorieën van vaardigheden
Na veel nadenken, lezen en online zoeken kwam ik tot tien categorieën waarvan ik denk dat die belangrijk zijn voor ethical hackers en red teamers. De meeste passen ook prima bij andere beroepen, maar ik richt me hier op de wereld van consultancy-gedreven offensive cybersecurity. De tien categorieën, in willekeurige volgorde, zijn:
- Technische vaardigheid
- Efficiënte communicatie
- Aanpassingsvermogen en improvisatie
- Tactische planning en vooruitkijken
- Presteren onder druk
- Professioneel zelfvertrouwen
- Ethisch handelen
- Operationele kwaliteit
- Emotionele intelligentie
- Innovatieve teamgroei
Technische vaardigheid
Technische vaardigheid gaat over het goed beheersen van cybersecurity‑tools en technieken. Het draait om diepgaande kennis van beveiligingsprincipes, grondige technische analyses, langdurige focus en het bijhouden van nieuwe ontwikkelingen. Ethical hackers hebben dit echt nodig om hun werk goed te doen. Hoe beter iemand hierin is, hoe complexere opdrachten diegene aankan en hoe groter de kans dat die persoon interessante kwetsbaarheden ontdekt.
Afhankelijk van de rol betekent groei in deze vaardigheid soms verbreding, soms verdieping. Deze vaardigheid speelt vaak mee in de beoordeling of iemand junior of senior is. Ethical hackers doen er goed aan deze vaardigheid niet te laten versloffen, behalve als ze richting management willen waar techniek minder belangrijk wordt. Het vergroten of onderhouden van technische vaardigheden is vaak redelijk goed te doen door trainingen en certificeringen te halen. Dit laat ook aan collega’s zien dat iemand actief werkt aan kennis en expertise.
Efficiënte communicatie
Efficiënte communicatie gaat over goed met elkaar praten en informatie delen binnen een team. Het gaat om hoe iemand luistert, hoe iemand complexe technische onderwerpen uitlegt en hoe iemand kennis deelt met zowel technische als niet‑technische mensen. In een team moet je kunnen samenwerken, en slechte communicatie zorgt snel voor frustratie en extra stress voor jezelf én voor anderen. Deze vaardigheid is belangrijk om vertrouwen op te bouwen binnen het team en richting klanten.
In mijn ervaring is slechte communicatie vaak de oorzaak van veel problemen. Alleen weten hoe het “hoort”, is niet genoeg, want iedereen heeft eigen voorkeuren. Een duidelijk communicatieplan met afspraken over verwachtingen en reactietijden helpt enorm. Het voorkomt misverstanden, helpt collega’s die van nature minder sterk zijn in communicatie en zorgt dat nieuwe medewerkers sneller hun plek vinden.
Aanpassingsvermogen en improvisatie
Aanpassingsvermogen en improvisatie gaan over omgaan met snelle veranderingen en onverwachte situaties. Ethical hackers moeten flexibel zijn, snel kunnen schakelen, onder druk problemen oplossen, bestaande technieken creatief inzetten en rustig blijven in chaotische omstandigheden.
Deze vaardigheid groeit vaak vanzelf door ervaring. Hoe meer iemand heeft meegemaakt, hoe beter diegene zich aanpast. Soms blijven experts echter hangen in oude routines en reageren ze niet soepel meer op de veranderende cyberwereld. Maar in cybersecurity verandert alles razendsnel, daarom moet je leren improviseren met beperkte informatie. Je krijgt zelden precies dezelfde test onder dezelfde omstandigheden.
Tactische planning en vooruitkijken
Tactische planning en vooruitkijken gaan over dagelijks plannen en problemen voor zijn. Flexibel zijn is belangrijk, maar niet alles moet geïmproviseerd worden. Als een ethical hacker te veel “vliegt”, levert dat onzekerheid en stress op bij klanten, projectmanagers en sales.
Een ethical hacker moet werk kunnen plannen, tijd goed kunnen inschatten, obstakels kunnen herkennen en de eigen werkdruk kunnen bewaken. Als dat niet lukt, ontstaan problemen, soms zelfs in iemands privé‑tijd. Ethical hackers moeten zich vrij voelen om aan te geven wanneer het te veel wordt. Goed plannen voorkomt een hoop stress en tijdverlies.
Presteren onder druk
Presteren onder druk gaat over effectief blijven wanneer het echt zwaar wordt. Het lijkt op aanpassingsvermogen en improvisatie, maar is toch anders. Aanpassen wanneer plannen veranderen is iets anders dan overeind blijven wanneer alles tegenzit. Ik heb collega’s gezien die goed improviseren, maar instorten wanneer het écht heftig wordt, bijvoorbeeld als je plots alleen verder moet doordat collega’s ziek zijn.
Wie sterk is in presteren onder druk blijft kalm, houdt focus, beheert stress en neemt initiatief in lastige situaties. Dit versterkt het onderlinge vertrouwen: mensen vertrouwen collega’s die overeind blijven wanneer het spannend wordt.
Professioneel zelfvertrouwen
Professioneel zelfvertrouwen gaat over vertrouwen in je eigen technische inzichten en besluiten. In cybersecurity hebben veel mensen last van imposter syndrome. Er is altijd wel iemand die meer lijkt te weten, en dat kan ontmoedigen. Lage zelfverzekerdheid kan een team flink beïnvloeden, zeker wanneer senioren dit hardop uitspreken. Te veel zelfvertrouwen werkt trouwens ook tegen je, dan ontstaan sneller slechte beslissingen. De juiste balans vinden is lastig.
Voor ethical hackers betekent professioneel zelfvertrouwen: vertrouwen op je eigen technische kennis, knopen durven doorhakken, stevig blijven wanneer je weerstand krijgt en duidelijk en overtuigend problemen en oplossingen kunnen uitleggen. Niemand weet alles in cybersecurity, maar wie er dagelijks in werkt, mag best vertrouwen hebben in eigen oordeel.
Ethisch handelen
Ethisch handelen gaat over hoge morele standaarden in beveiligingswerk. Ethical hackers hebben regelmatig toegang tot gevoelige of persoonlijke informatie en werken aan systemen die wereldwijd impact kunnen hebben. Dat brengt verantwoordelijkheid én stress met zich mee. Stress kan leiden tot “ethisch vervagen”, waarbij grenzen minder scherp worden. Dat tast de cultuur aan en slechte cultuur leidt op lange termijn tot slechte resultaten.
Ethical hackers die sterk zijn in ethisch handelen werken integer, zijn verantwoordelijk, maken bewuste keuzes in lastige situaties en behandelen gevoelige informatie zorgvuldig. Soms ontstaat druk vanuit sales of management om diensten aan te bieden die een klant niet echt nodig heeft. Wie dan toch integer blijft, bouwt snel vertrouwen op.
Operationele kwaliteit
Operationele kwaliteit gaat over consistent goed werk leveren. Hoge scores in deze vaardigheid maken het verschil tussen “gewoon oké” en écht goed werk. Het gaat om afspraken nakomen, deadlines halen, bevindingen duidelijk documenteren en vaste procedures netjes volgen. Collega’s vertrouwen mensen die op dit punt sterk zijn, en dat is intern én extern goed zichtbaar.
Wie goed is in operationele kwaliteit, voelt zich vaak zekerder in het werk en collega’s werken graag met iemand die kwaliteit levert.
Emotionele intelligentie
Emotionele intelligentie gaat over het herkennen en begrijpen van emoties. Die van jezelf én die van anderen. Veel mensen verbergen emoties, en online communicatie maakt het nog lastiger om signalen te lezen. Door actief te vragen naar hoe mensen zich voelen en door zelf open te zijn, ontstaat meer vertrouwen en betere samenwerking.
Deze vaardigheid draait om empathie, zelfbewustzijn, emoties kunnen reguleren en dit kunnen toepassen binnen teamdynamiek. Onechte empathie werkt averechts; mensen voelen dat meteen. Emotionele intelligentie is te leren, met boeken of training, ook als je zelf weinig emoties ervaart.
Innovatieve teamgroei
Innovatieve teamgroei gaat over het actief bijdragen aan verbetering binnen het team. In cybersecurity voelt stilstand al snel als achteruitgang. Technologie gaat door, nieuwe kwetsbaarheden ontstaan, detectietechnieken verbeteren. Teams moeten mee veranderen.
Deze vaardigheid gaat over kansen zien, nieuwe ideeën uitwerken, kennis delen, collega’s begeleiden en nieuwe aanvalstechnieken onderzoeken. Innovatie hoeft niet technisch te zijn: betere rapportteksten, slimmere planning of creatievere phishingvoorbeelden zijn óók waardevolle bijdragen.
Vaardigheden beoordelen
Nu duidelijk is welke vaardigheden belangrijk zijn, moet je bepalen hoe je ze beoordeelt. Ik gebruik een schaal van 1 tot 10. Dat maakt het eenvoudiger om gemiddelden te bekijken en teamontwikkelpunten te vinden.
De schaal blijft natuurlijk deels subjectief, maar dwingt me wel om uit te leggen waarom ik een bepaald cijfer geef. Ik beoordeel iedereen op dezelfde manier - junior of senior maakt niet uit - en voorkom zo dat persoonlijke voorkeuren te veel invloed hebben. Later voeg ik wegingen toe om per rol andere prioriteiten mee te geven.
In mijn systeem staat een 5 voor het minimale acceptabele niveau. Alles onder een 5 heeft aandacht nodig. Scores tussen 1 en 4 geven verschillende niveaus van tekort aan. Een 10 betekent dat ik geen concrete verbeterpunten meer weet, niet dat iemand perfect is. Scores tussen 6 en 9 maken het mogelijk verschillen tussen teamleden aan te geven.
Weging van vaardigheden
Om beter recht te doen aan verschillende rollen voeg ik gewichten toe per vaardigheid. Voor ethical hackers is technische vaardigheid belangrijk, maar bij juniors vind ik aanpassingsvermogen en improvisatie vaak nog belangrijker. Voor teamleads of projectmanagers weegt samenwerkende communicatie zwaarder dan techniek. Met meer rollen kost het meer tijd om dit goed af te stemmen, maar uiteindelijk passen alle rollen binnen deze tien categorieën.
Tot slot
Ik hoop dat deze vaardigheden helpen bij het voeren van betere beoordelingsgesprekken en het geven van nuttige feedback. En hopelijk geeft dit artikel inzicht in wat ethical hackers waardevolle teamleden maakt. Ik raad iedereen aan eens naar deze vaardigheden te kijken en jezelf ook te beoordelen, zodat je je eigen groei kunt volgen.
Dit artikel is eerder door Koen gedeeld op LinkedIn. Het oorspronkelijke artikel vind je hier.