Certificatiestelsel informatiebeveiligers

Transcriptie

1 Certificatiestelsel informatiebeveiligers Competenties van de professional Fred van Noord QIS 14 oktober 2016

2

3 Context Waarom zijn kwalificaties nodig? afhankelijkheid bedrijfsprocessen van informatie groeit te weinig IB-professionals IB-beroepen zijn niet goed gedefinieerd te veel certificaten, niet-geharmoniseerd/transparant opleiden gaat sneller en gerichter dan vanuit de praktijk + meer opleidingsmogelijkheden (mbo, hbo- en wo niveau) Voordelen van kwalificatie werkgevers: makkelijker om het juiste personeel aan te trekken. werknemers: makkelijker om hun kennis en kunde te verkopen. opleiders: onderwijs beter afstemmen op behoeften van markt. Beoordelen van de competentie van deze professional? CISSP CISA CISM CRISC CGEIT CIPM CCSK CCSP PCS CSX-P SCF C EH E CSA L PT C HFI C CISO Acroniem ABCP CAP CBCP CEH CGEIT CIA CIPP CISA CISM CISSP CITP CRISC CSSLP FBCI FBCS ISMAS ISMES ISSAP ISSEP ISSMP MBCP MISM MSIT OPSA OPST QiCA RE RIB RO RSE SSCP Betekenis Associate Business Continuity Professional Certified Authorization Professional Certified Business Continuity Professional Certified Ethical Hacker Certified in the Governance of Enterprise IT Certified Internal Auditor Certified Information Privacy Professional Certified Information Systems Auditor Certified Information Security Manager Certified Information Systems Security Prof. Certified Information Technology Prof. Certified Risk and Information Syst. Control Certified Secure Software Lifecycle Prof. Fellow of the Business Continuity Institute Fellow of the British Computer Society Information Security Management Advanced Information Security Management Expert Information Syst. Security Architecture Prof. Information Systems Security Eng. Prof. Information Systems Security Mngt Prof. Master Business Continuity Professional Master of Information Security Management Master of Science in Information Technology OSSTMM Professional Security Analyst OSSTMM Professional Security Tester Qualification in Computer Auditing Register EDP auditor Register Informatie Beveiliger Register Operational auditor Register Security Expert Systems Security Certified Practitioner

4 De werkgelegenheid voor security professionals Cybersecurity is een kritische succesfactor voor economische groei. De behoefte neemt toe aan cybersecurityspecialisten. (Digitale agenda, Ministerie van Economische Zaken, 2016) uit een enquête onder 4000 ICT bedrijven blijkt in de praktijk krapte te zijn op de arbeidsmarkt voor information security professionals. (Economische kansen van de Nederlandse Cybersecurity-sector, Ministerie van Economische Zaken, 2016) UWV signaleerde in 2015 dat voor security specialisten de arbeidsmarkt zeer krap is, vooral vacatures op hoog en wetenschappelijk niveau zijn moeilijk in te vullen. Ook op de middellange termijn zal deze krapte blijven bestaan. (Technische en ICT-beroepen, UWV (2015) WODC (2014) concludeert dat de vraag in de toekomst zal toenemen naar cybersecurity professionals Er moet gewerkt worden aan heldere profielen van mogelijke cybersecurityberoepen en aan het actiever stimuleren tot nascholing van professionals in het security-vakgebied. (Arbeidsmarkt voor Cyber Security Professionals, WODC, december 2014) de werkgelegenheid voor cyber security professionals in Nederland is in 2017: (Economische kansen van de Nederlandse Cybersecurity-sector, Ministerie van Economische Zaken, 2016) Ook wereldwijd wordt een ernstig tekort gesignaleerd aan goed opgeleid cybersecurity-personeel (ISACA, 2016 en Frost & Sullivan, 2015)

5 Gewend aan andere beroepsgroepen* Ontwikkelingsstappen Trust me Tell me Show me Prove me beroepsprofiel erkende opleidingen bij- en nascholing gedrag- en beroepsregels tuchtrecht certificatieregister onafhankelijke certificatie-instantie CIBG Dienst voor registers (*) accountant (NBA), IT-auditor (NOREA), beroepen in de gezondheidszorg (CIBG), beroepen in de (fysieke) beveiligingsbranche (N Lloyd), tandarts (KRT register), advocaat (NOvA), ingenieur (KIVI NIRIA), technisch personeel luchtvaart (CAA), financieel planner (FFP)

6 Vakdomeinen en kwalificatie Kwalificatieniveau Informatierisicomgt CISO ISO Verdere specialisatie ICTbeveiliging ICT Security Manager ICT Security Specialist Domeinen met erkende Kwalificatie NOREA ISACA IT-auditor Kleinschalige domeinen Cryptoloog Ethical hacker Forensisch onderzoeker mbo-4 ICT Security Specialist-1 HBO ICT Seurity Specialist-2 WO ICT Security Specialist-3 ICT Security Manager CISO ISO ISO/IEC informatiebeveiliging EN e-cf (e-competence Framework) NEN-EN-ISO/IEC certificatie van personen

7 Opleidingsprofielen 1. Professionals (bij- en omscholing) Opleiders (Security Academy, CIBIT, etc.) SPIH (NOVI, Dirksen, LOI, E3, NTI, SOD Next) ISACA en (ISC) 2 - CISSP, CISM, CRISC, CGEIT CSA: HHS + TU Delft + Univ. Leiden Professional Master ICT Security Specialist-3 2. Jong talent mbo-4: in 2016 door OCW goedgekeurde onderwijsprogramma s voor ROC s in Nederland: ROC s van Amsterdam, Hilversum, Flevoland, Den Haag (Mondriaan) a) ICT Security Specialist-1: Security in Systemen en Netwerken b) Applicatie Ontwikkelaar: Security in Applicatie Ontwikkeling HBO en WO: dcypher (NWO, Ministeries V&J, EZ, OCW)

8 Selecteren van erkende opleidingen Mapping van bestaande certificaten Permanente educatie Oprichten van stichting Grandfathering Internationale afstemming Sponsoren QIS Klankbordgroep QIS

9 Relevantie van onderstaande vragen bij implementatie? Welke eisen stelt de professional voordat hij/zij meedoet? Hoe wordt acceptatie verkregen bij werkgevers? Hoe beloon je early adopters?

10 Organisatie van onderwijs Hoe om te gaan met de werkelijkheid Stéfan Ellenbroek Manager

11 Wat is de werkelijkheid? Nieuw veld Continu in ontwikkeling Architectuur wordt steeds complexer Gebruik IT verandert continue Wordt steeds belangrijker IOT, banken, zorg, etc. etc. Dreigingen van nu morgen niet meer relevant Erger: oplossingen van nu morgen niet meer relevant Personeel is maximaal schaars

12 Dus organisatie onderwijs? Aansluiting bij ontwikkelingen Flexibel Input werkveld Echter: Eisen NVAO Maximum praktisch aantal gastsprekers Kwaliteitseisen / doelstellingen Onvoldoende docenten

13 En dus? Onderwijsontwikkeling begint en eindigt buiten Studenten moeten leren theorie Vooral zelf tot zich te nemen En op waarde te schatten Dus docenten ook! Onderwijs krijgen = het doen van onderzoek

14 En dat doe je samen

15 Stellingen Onderwijs krijgen = het doen van onderzoek Op alle niveaus? Subsidies zouden dus de samenwerking moeten stimuleren Juist ook om personeelsprobleem op te lossen Het is eerder lastig dan fijn dat hogescholen ook MSc s kunnen uitgeven