In a nutshell De inhoud van het curriculum Fase 1: Introductie Fase 2: Basiskennis Fase 3: Professionalisatie 8

Transcriptie

1

2 Inhoud In a nutshell 3 Inleiding 4 1. De inhoud van het curriculum Fase 1: Introductie Fase 2: Basiskennis Fase 3: Professionalisatie Optioneel: Specialiseren 9 2. De hoofddocenten/begeleiders Over Tesorion

3 In a nutshell Goed opgeleide, ervaren cyber security specialisten, inclusief erkende certificering zoals CISSP, CISA en CISM en aanvullende specialisaties. Dat is wat de Tesorion Academy biedt in een tweejarig Cyber Security. Onder professionele begeleiding van topconsultants die decennia aan praktijkervaring hebben als docent bij HBO instellingen en als adviseur voor CISO s van grote Nederlandse en internationale organisaties. Deelnemen aan het specialisatietraject kan op twee manieren: - Actieve participatie als opdrachtgever vanuit een klantorganisatie. Vanuit de klantorganisatie neemt een medewerker kosteloos deel aan het traject. Tesorion biedt de opleiding aan die één dag in de week in beslag neemt. De deelnemende opdrachtgever biedt de werkomgeving waar de praktische toepassing van het geleerde plaatsvindt gedurende de rest van de week. Als onderdeel van het participatie-concept biedt de opdrachtgever een detacheringsplek binnen de klantorganisatie aan voor een trajectdeelnemer die in dienst is van Tesorion. Deze Tesorion medewerker vervult tegen een marktconform tarief een junior security functie bij de klant. Te denken valt aan het invullen van een junior security officer of security engineer rol. Vier dagen in de week zullen de deelnemer van de klantorganisatie en Tesorion samenwerken in de organisatie van de opdrachtgever. En één dag in de week zullen ze samen leren binnen de Tesorion Academy in Leusden. - Tegen betaling ( ,- per jaar) deelnemen, zonder actieve participatie als opdrachtgever. In dit geval is de deelname vanuit de klantorganisatie uitsluitend gericht op de afname van het leertraject, zonder daarbij een Tesorion deelnemer in te huren. Voor wie? Gedreven IT ers die minimaal drie jaar ICT-kennis én werkervaring hebben, met een opleiding op HBO/WO-niveau, die affiniteit hebben met information security en die toe zijn aan een volgende stap in hun loopbaan naar cyber security specialist

4 Inleiding Met de huidige ontwikkelingen in de cyberdreigingen en aandacht voor privacy gecombineerd met de oververhitte arbeidsmarkt voor personen met vakkennis van cyber security is er geen andere keuze mogelijk dan medewerkers zelf op te leiden. Hiertoe heeft Tesorion een traject ontwikkeld waarin deelnemers worden opgeleid tot cyber security specialist. Dit wordt gerealiseerd door een combinatie van gedegen theoretische kennis en het opdoen van praktijkervaring. Deelnemers worden hierin professioneel begeleid gedurende het gehele traject. De theoretische kennis wordt verkregen via één lesdag per week. Het curriculum bestaat uit zowel technische trainingen als cursussen gericht op organisatorische en sociale vaardigheden. De docenten zijn senior consultants van Tesorion, die tevens docent zijn op HBO instellingen. De praktijkervaring wordt opgedaan via detacherings-opdrachten bij klantorganisaties of bij de operationele afdelingen van Tesorion. Deelname is primair gericht op actieve participatie van opdrachtgevers. In dit concept neemt vanuit de opdrachtgever een medewerker van de opdrachtgever kosteloos deel aan het traject. Als onderdeel van de participatie biedt de opdrachtgever gedurende het traject voor vier dagen per week een detacheringsopdracht tegen marktconform tarief. In deze detacheringsopdracht wordt een Tesorion medewerker die deelneemt aan het specialisatietraject ingezet. In de praktijk zullen de twee deelnemers samen werken in de organisatie van de opdrachtgever en samen leren binnen de Tesorion Academy

5 1. De inhoud van het curriculum Het programma van het specialisatie traject is globaal op te splitsen in de onderstaande fases. Meer inhoudelijke informatie per fase is te vinden in de volgende paragrafen. a) Fase 1 Introductie: De eerste drie weken. Er wordt kennis gemaakt met de studiegroep, het traject en het vakgebied b) Fase 2 Basiskennis: Het eerste half jaar. Er wordt iedere vrijdag op de leslocatie modulair theoretische security kennis opgedaan. Indien aangedragen worden er in deze fase eenvoudige klantcases opgepakt en uitgewerkt c) Fase 3 Professionalisatie: Het tweede half jaar. Naast verdere verdieping worden de deelnemers voorbereid op certificerings- examen CISM, CISA en CISSP. Net als in de basis fase zijn de lesdagen op de vrijdagen. Vanaf deze fase wo rden uitdagende klantcases opgepakt en onder begeleiding uitgewerkt. d) Fase 4 Optioneel: Mogelijkheid tot specialiseren. Er worden diverse security specialisaties aangeboden. In een tijdsperiode van een half jaar zijn er 2 specialisatie-cursussen per deelnemer in te plannen. Elk jaar kent een zomerstop in de maanden juli en augustus en een kerstvakantie van 2 weken. Neven staand voorbeeld bij een start in september. Tijdsoverzicht Tesorion Cyber Security Specialisatietraject bij start in september 1 sept + 3 wkn 1 mei 1 july 1 sept 1 nov 1 jan Mid 1 jun maart Fase 1 Fase 2 Basis kennis Fase 3 Introweken Professionalis atie Zomer stop Fase 3 Professionalis atie Fase 3 Klant cases Optioneel Een verdiepingsmodule met praktische opdracht Optioneel Een verdiepingmodule met praktische opdracht = moment waarop traject kan worden beëindigd Tijdens de opleiding wordt de studiegroep vakkundig begeleid vanuit Tesorion Academy door middel van individuele coaching. Eventueel additionele theoretische lessen en examentraining voor de certificering(en) behoren ook tot het programma. Periodiek worden de deelnemers op hun werklocatie bezocht om de voortgang en eventuele uitdagingen te bespreken. Ook worden deelnemende opdrachtgevers uitgenodigd voor een gezamenlijke evaluatie en het inbrengen van mogelijke praktijk cases. Tijdens deze evaluatiemeetings zal de studiegroep ook zelf haar ervaringen en vorderingen presenteren, regelmatig ook door middel van demonstraties van opgeleverde klant-case resultaten. Deze bijeenkomsten zijn bij uitstek een gelegenheid voor de deel nemende klanten om zelf kennis uit te wisselen en om van gedachten te wisselen over ontwikkelingen in de wereld van de Cyber Security

6 1.1. Fase 1: Introductie Het Tesorion Cyber Security Specialisatietraject vindt plaats op de Tesorion Academy in Leusden. De eerste 2 weken is de studiegroep daar 5 dagen per week aanwezig. Tijdens deze periode komen het nut en de noodzaak van de opleiding aan bod, waarbij de volgende onderwerpen op het programma staan: Introductie en kennis maken met elkaar en met het volledige programma Praktijkverhalen van CISO en IT-managers, kortom, waarom bestaat dit een vakgebied? Sociale vaardigheden met als doel om inzicht te krijgen in het eigen functioneren, de wijze van samenwerken & communiceren, en de groeikansen die de deelnemers hierin hebben Agile werkmethodieken Organisatiekunde volgens de Caluwé en organisatie sensitiviteit Bezoek aan klantorganisatie Presentatietechnieken en schrijfvaardigheid Persoonlijk ontwikkelplan Wanneer de deelname plaatsvindt op basis van actieve participatie, wordt in overleg met de opdrachtgever besproken in welke vorm de deelnemers van de opdrachtgever en Tesorion samenwerken en welke aandachtspunten van belang zijn in het traject. Gedurende de laatste week van de introductie werken de deelnemers van de klantorganisaties 4 dagen per week op de eigen werkplek binnen de klantorganisatie. In de derde week is de start van het basiskennis traject. Alle deelnemers worden in Leusden verwacht voor de eerste theoretische lesdag. Na de introductie van het traject heeft de studiegroep onderling kennisgemaakt, zijn de verwachtingen duidelijk en heeft iedere deelnemer een persoonlijk ontwikkelplan. Hiermee wordt het vervolg van de opleiding ingezet

7 1.2. Fase 2: Basiskennis In deze fase ligt de nadruk op het verkrijgen van gedegen basiskennis van de volgende security-vakgebieden: 1. Basisbegrippen Information Security 2. Toepassingen in Information security 3. Information security governance 4. Concepten van netwerken 5. Netwerkaanvallen & netwerkbeveiliging 6. Identity & access management 7. Application security 8. Data security 9. Security Architectuur 10. Controle 11. Juridische aspecten Deze modules vormen samen het programma Information security management. De studenten nemen de modules tot zich via zelfstudie gedurende de week en tijdens de vaste lesdag in de week. Tijdens de lesdagen wordt de leerstof onder leiding van een ervaren docent klassikaal doorgenomen met voorbeelden uit de recente praktijk, eventuele vragen van de studenten worden beantwoord De meeste modules nemen twee weken in beslag en worden afgerond in de tweede week. Tevens is er nog ruimte ingepland voor aanvullende trainingen op het gebied van sociale vaardigheden. Op officiële feestdagen zullen er geen lesdagen worden ingepland. De zomerstop is de hele maand juli en augustus. In de eerste volle week in september gaat het traject verder. Elke module wordt afgesloten met een examinering. De resultaten van de toetsen worden gebruikt om de begeleiding daar waar nodig te intensiveren. Tijdens deze fase van het traject worden de deelnemende klantorganisaties uitgenodigd om vanuit bestaande problematiek of voorgenomen veranderingen cases in te brengen die onder begeleiding en in teamverband door de studiegroep worden uitgewerkt. Deelnemers dienen rekening te houden met studiebelasting buiten de geplande dagen van circa 4 uur per week mede in het kader van de praktijkcases. Na de basiskennis fase hebben de deelnemers kennis genomen van de diverse werkgebieden van cybersecurity en hebben zij waar mogelijk deze kennis in de praktijk toegepast bij de klantorganisatie waar zij actief zijn. Zij bezitten nu een gedegen basiskennis waarmee in de volgende fase van het opleidingstraject gewerkt kan worden aan het behalen van 1 of meer certificaten

8 1.3. Fase 3: Professionalisatie In fase 3 zal de tijd worden besteed aan de voorbereiding op het CISSP, CISM of CISA examen, conform de Body of Knowledge van ISACA en (ISC)2. In deze periode wordt de studiegroep voorbereid op in ieder geval één van de examens. De keuze voor een module wordt genomen in overleg tussen de deelnemer, zijn/haar werkgever en de Tesorion begeleider. N.B. Het behalen van een van de examens van CISSP, CISA en/ of CISM geeft nog geen certificaat. De certificering eist naast het behalen van het examen 5 jaar aantoonbare relevante werkervaring. In opeenvolgende lesdagen op locatie in Leusden zal de examenstof door ervaren Tesorion docenten klassikaal worden doorgenomen waarbij ook ruimte is ingepland voor zelfstudie. De laatste 2 lesdagen van de professionalisatie fase worden besteed aan examentraining. Het examen wordt individueel afgenomen door ISACA. Elke deelnemer moet zichzelf hiervoor opgeven. Er bestaat de mogelijkheid om niet één maar twee examens te doen. Dit besluit wordt weloverwogen en in overleg tussen deelnemer en begeleider genomen, waarna het lesprogramma voor de specifieke deelnemers hierop zal worden aangepast. Naast het voorbereiden op examinering zal er ook in deze periode door de studiegroep onder begeleiding worden gewerkt aan klant-cases. Na de eerste 3 fases van het specialisatietraject hebben de deelnemers gedegen theoretische kennis opgedaan en hebben zij hun CISSP, CISM of CISA examen afgelegd. Daarnaast is er een vol jaar praktijkervaring opgedaan in het security vakgebied. Het jaar wordt afgesloten met een uitgebreide evaluatie tussen deelnemer, begeleider en hun manager. Tijdens dit gesprek kan worden besloten om het traject af te sluiten of om verdere verdieping te zoeken op een specifiek security vakgebied. Hierover meer in het volgende hoofdstuk

9 1.4. Optioneel: Specialiseren Na het eerste jaar van het traject wordt verdere verdieping aangeboden. Deelnemers hebben de keuze om maximaal twee van de onderstaande modules te volgen. 1. Identity and Access management beleid, architectuur, processen, tooling en governance 2. Cyber security strategie opzetten, ontwikkelen communiceren van de strategie naar stakeholders 3. Security Architectuur architectuur algemeen de architectuur methodieken, 5. Privacy en AVG/GDPR de AVG, Privacy Beleid, Privacy by Default en Design 7. Security Operations Threat Intelligence, Vulnerability management, Security Monitoring Incident Response 9. Security testen Pentesten source code review 4. Big data security analysis inzichten in dreigingen risico's door het correleren van verschillende grote databronnen. Artificial Intelligence (AI) 6. Secure Software Development threat modelling, security by design 8. Netwerkbeveiliging Firewalls, Inbraak preventie en detectie, netwerksecurity 10. Data security wijze van beveiliging van data in transport, opslag en in gebruik N.B. De modules zijn onderhevig aan klantvraag en marktontwikkelingen. De aangegeven N.B. De modules zijn onderhevig aan klantvraag en marktontwikkelingen. De aangegeven onderwerpen geven per module een beeld van de inhoud en zijn niet uitputtend Elke module neemt 10 weken in beslag, 5 weken theorie op vaste lesdagen in de week en vervolgens een praktische opdracht die in 5 weken tot resultaat moet leiden. In twee jaar tijd zullen alle modules minimaal één keer worden gegeven

10 2 De hoofddocenten/ begeleiders Voor de begeleiding en het doceren van het specialisatietraject heeft Tesorion ervaren senior consultants geselecteerd. Zij stellen zich hieronder voor. Ook zullen verschillende interne en externe gastdocenten een bijdrage leveren aan de diverse modules van het traject. Ciska Jonker Overall begeleiding, Sociale vaardigheden en IAM Ik ben een IT consultant met 30 jaar ervaring op diverse functies van programmeur, technisch ontwerper, projectmanager tot interimmanager. Ik werk bij voorkeur op het snijvlak van business en IT omdat deze beide werelden elkaars taal slecht begrijpen en ik deze werelden tot elkaar weet te brengen. IT is mensenwerk en wordt te vaak nog gezien als puur techniek. Als gediplomeerd coach weet ik snel een geolied team neer te zetten met veerkracht, daadkracht en een goede sfeer. Mijn kennis en ervaring op dit gebied breng ik dan ook graag over in dit traject. Lex Borger Diverse securitymodules Ik werk sinds 1977 in de ICT en security en heb mij over de jaren gespecialiseerd in informatiebeveiliging, software ontwikkeling (met name besturingssystemen) en gedistribueerde applicatieomgevingen. Ik ben een gepassioneerde security professional die begint bij de business drivers om daaruit de strategische beweegredenen voor informatiebeveiliging te halen. Ik hou mij vooral bezig met beveiligingsvraagstukken waarbij business en techniek elkaar raken. Ik ben actief bezig met nieuwe ontwikkelingen in ons vakgebied en met het uitdragen hiervan. Zo maak ik een podcast en geef ik verschillende trainingen op het gebied van informatiebeveiliging. Ook ben ik docent informatiebeveiliging aan de Hogeschool Utrecht (HU) en was ik tot voor kort hoofdredacteur van het PvIB (Platform voor Informatiebeveiliging) vakblad Informatiebeveiliging. Renato Kuiper Diverse securitymodules Ik ben een gedreven security architect die werkt op het snijvlak van architectuur, security, Identity en Access Management (IAM), Cloud en privacy. Met ruim 25 jaar ervaring in de ICT, en ruim 20 jaar op het gebied van security loop ik al een tijd mee. Security moet een enabler van business zijn, helaas wordt het nu nog te veel als business prevention gezien. Ik zie het als een schone taak voor ons om dat te veranderen. Kennisdeling is een van de belangrijkste zaken van een security consultant. Zo ben ik medeauteur van een groot aantal publicaties van het PvIB en ben ik gastdocent aan De Haagse Hogeschool (HHS) en de Cyber Security Academy (CSA)

11 3 Over Tesorion Helemaal nieuw en tegelijk één en al ervaring. Dat is Tesorion. Onze naam is nieuw, maar onze 155 specialisten hebben al tientallen jaren ervaring met informatiebeveiliging, beheer en cybersecurity. Onze all-in visie op cybersecurity gaat uit van beheersing en continuïteit van de business van onze klanten, de adequate bescherming van digitale kernonderdelen, het voorkomen van reputatieschade en het beschermen van de concurrentiepositie. Onder alle omstandigheden. Zonder onverwachte kosten. Binnen Tesorion zijn diverse specialisaties geïntegreerd tot één all-in oplossing. Het maakt Tesorion tot een unieke aanbieder van cybersecurity. Niet alleen in Nederland, maar ook daarbuiten. Zie ook Voor vragen kunt u terecht bij: Ciska Jonker ciska.jonker@tesorion.nl GSM: Of bij uw vertrouwde contactpersoon van Tesorion

12 Cyberincident? Bel ons op uur per dag, 7 dagen in de week