Kwalificatie en certificatie van informatiebeveiligers

Transcriptie

1 Kwalificatie en certificatie van informatiebeveiligers Marcel Spruit Fred van Noord Opleidingenmarkt, 24 mei 2011

2 Onderzoek Onderzoek naar de wenselijkheid en haalbaarheid van een (inter)nationaal kwalificatie- en certificatiestelsel voor informatiebeveiligers Uitgevoerd in opdracht van het CPNI.NL door: Het Expertise Centrum / Verdonck, Klooster & Associates

3 Vooronderstellingen Informatiebeveiliging is een herkenbaar vakgebied met een steeds duidelijker maatschappelijk belang Informatiebeveiligers hebben een herkenbaar en erkend niveau van vakbekwaamheid nodig Werkgevers (publiek en privaat) hebben mogelijk te weinig zicht op het niveau van informatiebeveiligers IB-opleidingen en -cursussen zijn nauwelijks gestandaardiseerd en geharmoniseerd en slecht te vergelijken

4 Interviews + enquête + workshop Werkgevers Publiek Privaat (algemeen & specialistisch) ISAC s Opleiders (mbo, hbo, wo) IB-specialisten Certificatie-instantie

5 Belang informatiebeveiliging voor economie Europa (interview Neelie Kroes) Stem nationale kwalificaties af met die van andere Europese landen Wellicht kan PvIB een beroepsregister organiseren en dat afstemmen met zusterorganisaties in andere landen Nederlandse bedrijfsleven (VNO-NCW, cie IB) Position paper over belang en kwalificatie voor informatiebeveiligers Nederlandse overheid Nationale Cyber Security Strategy en kwalificatie

6 Andere beroepen met certificatie Accountant IT-auditor Beroepen in beveiligingsbranche Beroepen in de gezondheidszorg Tandarts Advocaat Ingenieur Technisch personeel luchtvaart

7 Bevindingen Chaotische situatie m.b.t. kwalificatie en certificatie van IB ers Afkorting ABCP CAP CBCP CEH CGEIT CIA CIPP CISA CISM CISSP CITP CRISC CSSLP FBCI FBCS ISMAS ISMES ISSAP ISSEP ISSMP MBCP MISM MSIT OPSA OPST QiCA RE RIB RO RSE SSCP Betekenis Associate Business Continuity Professional Certified Authorization Professional Certified Business Continuity Professional Certified Ethical Hacker Certified in the Governance of Enterprise Information Technology Certified Internal Auditor Certified Information Privacy Professional Certified Information Systems Auditor Certified Information Security Manager Certified Information Systems Security Professional Certified Information Technology Professional Certified in Risk and Information Systems Control Certified Secure Software Lifecycle Professional Fellow of the Business Continuity Institute Fellow of the British Computer Society Information Security Management Advanced Information Security Management Expert Information Systems Security Architecture Professional Information Systems Security Engineering Professional Information Systems Security Management Professional Master Business Continuity Professional Master of Information Security Management Master of Science in Information Technology OSSTMM Professional Security Analyst OSSTMM Professional Security Tester Qualification in Computer Auditing Register EDP auditor Register Informatie Beveiliger Register Operational auditor Register Security Expert Systems Security Certified Practitioner

8 Kwalificatie Nieuw kwalificatiestelsel voor IB ers nodig (opleiding en ervaring) Best practice met bestaande kwalificaties gebruiken Onderscheid IRM en IT-beveiliging Mbo, hbo, wo-niveau Voordelen kwalificatie Professionals Werkgevers Onderwijsinstellingen

9 Extra voor certificatie Beroepsprofiel Certificatie-instantie en certificatieschema Certificatieregister Opleidingen Gedrag- en beroepsregels Eisen voor bij- en nascholing Tuchtrecht

10 Voorstel K&C-stelsel Beroepsprofiel Opleidingsprofiel IRM, ICT-beveiliging Strategisch (wo), tactisch (hbo), operationeel (mbo) Taken en onderwerpen (zie volgende sheet) Go/no-go Kwalificatieschema Certificatieschema Bestaande kwalificaties (CISSP, CISA, CISM, MISM, ) Erkende opleidingen (mbo, hbo, wo) Certificatie-instantie Certificatieregister

11 Opleiding IRM IRM ICT-bev. ICT-bev. ICT-bev. Onderwerp Strat. Tact. Strat. Tact. Oper. Organisatie Organisatiekunde X X Veranderkunde X Opleidingsprofielen Projectmanagement X X X Beveiligingsarchitectuur X X X X Risico- en security management X X Risicoanalyse X X X X X Business continuity management X Wet- en regelgeving en compliance X X X Financieel management X X Beveiligingsstandaarden X X Onderwerpen voor IRM en ICT-beveiliging (mbo, hbo, wo) Mens en gedrag Psychologie X X Menselijk falen X X Communicatie X X X Techniek Informatietechnologie X X X X X Malware- en fraudetechnieken X X X Cryptografie X X X Computer- en netwerkbeveiliging X X X Softwarebeveiliging X X X SCADA-beveiliging X X X Technische beveiligingsstandaarden X X X Vaardigheden Leiding geven X X X Samenwerken X X X X X Analyseren X X X X X Presenteren (mondeling, schriftelijk) X X X X X Adviseren X X X X Auditen X X X X

12 Go/no-go Te nemen stappen Opstellen plan van aanpak i.s.m. stakeholders (werkgevers, opleiders, beroepsorganisaties) Uitwerken van beroeps- en opleidingsprofielen Opstellen van kwalificatieschema s Afstemmen met schema s van andere landen Instellen van erkende opleidingen Aanwijzen van certificatie-instantie(s) Opstellen van certificatieschema s en register(s)

13 Download het rapport