Certificatiestelsel informatiebeveiligers

Competenties van de professional

Fred van Noord – QIS

14 oktober 2016

Waarom zijn kwalificaties nodig? • Context

– afhankelijkheid bedrijfsprocessen van informatie groeit – te weinig IB-professionals – IB-beroepen zijn niet goed gedefinieerd – te veel certificaten, niet-geharmoniseerd/transparant – opleiden gaat sneller en gerichter dan vanuit de praktijk

+ meer opleidingsmogelijkheden (mbo, hbo- en wo niveau)

• Voordelen van kwalificatie – werkgevers: makkelijker om het juiste personeel aan te trekken. – werknemers: makkelijker om hun kennis en kunde te ‘verkopen’. – opleiders: onderwijs beter afstemmen op behoeften van markt.

Acroniem Betekenis

ABCP Associate Business Continuity Professional

CAP Certified Authorization Professional

CBCP Certified Business Continuity Professional

CEH Certified Ethical Hacker

CGEIT Certified in the Governance of Enterprise IT

CIA Certified Internal Auditor

CIPP Certified Information Privacy Professional

CISA Certified Information Systems Auditor

CISM Certified Information Security Manager

CISSP Certified Information Systems Security Prof.

CITP Certified Information Technology Prof.

CRISC Certified Risk and Information Syst. Control

CSSLP Certified Secure Software Lifecycle Prof.

FBCI Fellow of the Business Continuity Institute

FBCS Fellow of the British Computer Society

ISMAS Information Security Management Advanced

ISMES Information Security Management Expert

ISSAP Information Syst. Security Architecture Prof.

ISSEP Information Systems Security Eng. Prof.

ISSMP Information Systems Security Mngt Prof.

MBCP Master Business Continuity Professional

MISM Master of Information Security Management

MSIT Master of Science in Information Technology

OPSA OSSTMM Professional Security Analyst

OPST OSSTMM Professional Security Tester

QiCA Qualification in Computer Auditing

RE Register EDP auditor

RIB Register Informatie Beveiliger

RO Register Operational auditor

RSE Register Security Expert

SSCP Systems Security Certified Practitioner

Beoordelen van de competentie van deze professional ? CISSP CISA CISM CRISC CGEIT CIPM CCSK CCSP PCS CSX-P SCF C|EH E|CSA L|PT C|HFI C|CISO

De werkgelegenheid voor security professionals • Cybersecurity is een kritische succesfactor voor economische groei. De behoefte neemt toe aan cybersecurity-

specialisten. (Digitale agenda, Ministerie van Economische Zaken, 2016) • uit een enquête onder 4000 ICT bedrijven blijkt in de praktijk krapte te zijn op de arbeidsmarkt voor information

security professionals. (Economische kansen van de Nederlandse Cybersecurity-sector, Ministerie van Economische Zaken, 2016)

• UWV signaleerde in 2015 dat voor security specialisten de arbeidsmarkt zeer krap is, vooral vacatures op hoog en wetenschappelijk niveau zijn moeilijk in te vullen. Ook op de middellange termijn zal deze krapte blijven bestaan. (Technische en ICT-beroepen, UWV (2015)

• WODC (2014) concludeert dat de vraag in de toekomst zal toenemen naar cybersecurity professionals Er moet gewerkt worden aan heldere profielen van mogelijke cybersecurityberoepen en aan het actiever stimuleren tot nascholing van professionals in het security-vakgebied. (Arbeidsmarkt voor Cyber Security Professionals, WODC, december 2014)

• de werkgelegenheid voor cyber security professionals in Nederland is in 2017: 20.000. (Economische kansen van de Nederlandse Cybersecurity-sector, Ministerie van Economische Zaken, 2016)

Ook wereldwijd wordt een ernstig tekort gesignaleerd aan goed opgeleid cybersecurity-personeel (ISACA, 2016 en Frost & Sullivan, 2015)

Gewend aan andere beroepsgroepen* Ontwikkelingsstappen • Trust me • Tell me • Show me • Prove me

(*) accountant (NBA), IT-auditor (NOREA), beroepen in de gezondheidszorg (CIBG), beroepen in de (fysieke) beveiligingsbranche (N’Lloyd), tandarts (KRT register), advocaat (NOvA), ingenieur (KIVI NIRIA), technisch personeel luchtvaart (CAA), financieel planner (FFP)

CIBG Dienst voor registers

• beroepsprofiel • erkende opleidingen • bij- en nascholing • gedrag- en

beroepsregels • tuchtrecht • certificatieregister • onafhankelijke

certificatie-instantie

ICT- beveiliging

ICT Security Manager ICT Security Specialist

Vakdomeinen en kwalificatie

Informatie- risicomgt

CISO ISO

Domeinen met erkende

Kwalificatie NOREA ISACA

IT-auditor

Verdere specialisatie

Klein-schalige

domeinen

Cryptoloog

Ethical hacker Forensisch

onderzoeker

Kwalificatie- niveau

mbo-4 ICT Security Specialist-1 HBO ICT Seurity Specialist-2 WO ICT Security Specialist-3 ICT Security Manager CISO ISO

ISO/IEC 2700 - informatiebeveiliging EN16234 - e-CF (e-Competence Framework)

NEN-EN-ISO/IEC 17024 - certificatie van personen

Opleidingsprofielen 1. Professionals (bij- en omscholing)

• Opleiders (Security Academy, CIBIT, etc.) • SPIH (NOVI, Dirksen, LOI, E3, NTI, SOD Next) • ISACA en (ISC)2 - CISSP, CISM, CRISC, CGEIT • CSA: HHS + TU Delft + Univ. Leiden

Professional Master ICT Security Specialist-3 2. Jong talent

• mbo-4: in 2016 door OCW goedgekeurde onderwijsprogramma’s voor ROC’s in Nederland: ROC’s van Amsterdam, Hilversum, Flevoland, Den Haag (Mondriaan) a) ICT Security Specialist-1: Security in Systemen en Netwerken b) Applicatie Ontwikkelaar: Security in Applicatie Ontwikkeling

• HBO en WO: dcypher (NWO, Ministeries V&J, EZ, OCW)

www.kwalificatiesmbo.nl

• Selecteren van erkende opleidingen • Mapping van bestaande certificaten • Permanente educatie • Oprichten van stichting • Grandfathering • Internationale afstemming

Sponsoren QIS

Klankbordgroep QIS

Relevantie van onderstaande vragen bij implementatie ?

• Welke eisen stelt de professional voordat hij/zij meedoet ? • Hoe wordt acceptatie verkregen bij werkgevers ? • Hoe beloon je early adopters ?

Organisatie van onderwijs Hoe om te gaan met ‘de werkelijkheid’

Stéfan Ellenbroek Manager

Wat is de werkelijkheid? • Nieuw veld • Continu in ontwikkeling

– Architectuur wordt steeds complexer – Gebruik IT verandert continue

• Wordt steeds belangrijker • IOT, banken, zorg, etc. etc.

– Dreigingen van nu morgen niet meer relevant • Erger: oplossingen van nu morgen niet meer relevant

• Personeel is “maximaal” schaars

Dus organisatie onderwijs? • Aansluiting bij ontwikkelingen

– Flexibel – Input ‘werkveld’

• Echter: – Eisen NVAO – Maximum praktisch aantal gastsprekers – Kwaliteitseisen / doelstellingen – Onvoldoende docenten

En dus…? • Onderwijsontwikkeling begint en eindigt ‘buiten’ • Studenten moeten leren theorie

– Vooral zelf tot zich te nemen – En op waarde te schatten

• Dus docenten ook! • Onderwijs krijgen = het doen van onderzoek

En dat doe je samen

Stellingen • Onderwijs krijgen = het doen van onderzoek

– Op alle niveaus? • Subsidies zouden dus de samenwerking moeten

stimuleren – Juist ook om personeelsprobleem op te lossen

• Het is eerder lastig dan fijn dat hogescholen ook MSc’s kunnen uitgeven