Post on 16-Feb-2018
Certificatiestelsel informatiebeveiligers
Competenties van de professional
Fred van Noord – QIS
14 oktober 2016
Waarom zijn kwalificaties nodig? • Context
– afhankelijkheid bedrijfsprocessen van informatie groeit – te weinig IB-professionals – IB-beroepen zijn niet goed gedefinieerd – te veel certificaten, niet-geharmoniseerd/transparant – opleiden gaat sneller en gerichter dan vanuit de praktijk
+ meer opleidingsmogelijkheden (mbo, hbo- en wo niveau)
• Voordelen van kwalificatie – werkgevers: makkelijker om het juiste personeel aan te trekken. – werknemers: makkelijker om hun kennis en kunde te ‘verkopen’. – opleiders: onderwijs beter afstemmen op behoeften van markt.
Acroniem Betekenis
ABCP Associate Business Continuity Professional
CAP Certified Authorization Professional
CBCP Certified Business Continuity Professional
CEH Certified Ethical Hacker
CGEIT Certified in the Governance of Enterprise IT
CIA Certified Internal Auditor
CIPP Certified Information Privacy Professional
CISA Certified Information Systems Auditor
CISM Certified Information Security Manager
CISSP Certified Information Systems Security Prof.
CITP Certified Information Technology Prof.
CRISC Certified Risk and Information Syst. Control
CSSLP Certified Secure Software Lifecycle Prof.
FBCI Fellow of the Business Continuity Institute
FBCS Fellow of the British Computer Society
ISMAS Information Security Management Advanced
ISMES Information Security Management Expert
ISSAP Information Syst. Security Architecture Prof.
ISSEP Information Systems Security Eng. Prof.
ISSMP Information Systems Security Mngt Prof.
MBCP Master Business Continuity Professional
MISM Master of Information Security Management
MSIT Master of Science in Information Technology
OPSA OSSTMM Professional Security Analyst
OPST OSSTMM Professional Security Tester
QiCA Qualification in Computer Auditing
RE Register EDP auditor
RIB Register Informatie Beveiliger
RO Register Operational auditor
RSE Register Security Expert
SSCP Systems Security Certified Practitioner
Beoordelen van de competentie van deze professional ? CISSP CISA CISM CRISC CGEIT CIPM CCSK CCSP PCS CSX-P SCF C|EH E|CSA L|PT C|HFI C|CISO
De werkgelegenheid voor security professionals • Cybersecurity is een kritische succesfactor voor economische groei. De behoefte neemt toe aan cybersecurity-
specialisten. (Digitale agenda, Ministerie van Economische Zaken, 2016) • uit een enquête onder 4000 ICT bedrijven blijkt in de praktijk krapte te zijn op de arbeidsmarkt voor information
security professionals. (Economische kansen van de Nederlandse Cybersecurity-sector, Ministerie van Economische Zaken, 2016)
• UWV signaleerde in 2015 dat voor security specialisten de arbeidsmarkt zeer krap is, vooral vacatures op hoog en wetenschappelijk niveau zijn moeilijk in te vullen. Ook op de middellange termijn zal deze krapte blijven bestaan. (Technische en ICT-beroepen, UWV (2015)
• WODC (2014) concludeert dat de vraag in de toekomst zal toenemen naar cybersecurity professionals Er moet gewerkt worden aan heldere profielen van mogelijke cybersecurityberoepen en aan het actiever stimuleren tot nascholing van professionals in het security-vakgebied. (Arbeidsmarkt voor Cyber Security Professionals, WODC, december 2014)
• de werkgelegenheid voor cyber security professionals in Nederland is in 2017: 20.000. (Economische kansen van de Nederlandse Cybersecurity-sector, Ministerie van Economische Zaken, 2016)
Ook wereldwijd wordt een ernstig tekort gesignaleerd aan goed opgeleid cybersecurity-personeel (ISACA, 2016 en Frost & Sullivan, 2015)
Gewend aan andere beroepsgroepen* Ontwikkelingsstappen • Trust me • Tell me • Show me • Prove me
(*) accountant (NBA), IT-auditor (NOREA), beroepen in de gezondheidszorg (CIBG), beroepen in de (fysieke) beveiligingsbranche (N’Lloyd), tandarts (KRT register), advocaat (NOvA), ingenieur (KIVI NIRIA), technisch personeel luchtvaart (CAA), financieel planner (FFP)
CIBG Dienst voor registers
• beroepsprofiel • erkende opleidingen • bij- en nascholing • gedrag- en
beroepsregels • tuchtrecht • certificatieregister • onafhankelijke
certificatie-instantie
ICT- beveiliging
ICT Security Manager ICT Security Specialist
Vakdomeinen en kwalificatie
Informatie- risicomgt
CISO ISO
Domeinen met erkende
Kwalificatie NOREA ISACA
IT-auditor
Verdere specialisatie
Klein-schalige
domeinen
Cryptoloog
Ethical hacker Forensisch
onderzoeker
Kwalificatie- niveau
mbo-4 ICT Security Specialist-1 HBO ICT Seurity Specialist-2 WO ICT Security Specialist-3 ICT Security Manager CISO ISO
ISO/IEC 2700 - informatiebeveiliging EN16234 - e-CF (e-Competence Framework)
NEN-EN-ISO/IEC 17024 - certificatie van personen
Opleidingsprofielen 1. Professionals (bij- en omscholing)
• Opleiders (Security Academy, CIBIT, etc.) • SPIH (NOVI, Dirksen, LOI, E3, NTI, SOD Next) • ISACA en (ISC)2 - CISSP, CISM, CRISC, CGEIT • CSA: HHS + TU Delft + Univ. Leiden
Professional Master ICT Security Specialist-3 2. Jong talent
• mbo-4: in 2016 door OCW goedgekeurde onderwijsprogramma’s voor ROC’s in Nederland: ROC’s van Amsterdam, Hilversum, Flevoland, Den Haag (Mondriaan) a) ICT Security Specialist-1: Security in Systemen en Netwerken b) Applicatie Ontwikkelaar: Security in Applicatie Ontwikkeling
• HBO en WO: dcypher (NWO, Ministeries V&J, EZ, OCW)
www.kwalificatiesmbo.nl
• Selecteren van erkende opleidingen • Mapping van bestaande certificaten • Permanente educatie • Oprichten van stichting • Grandfathering • Internationale afstemming
Sponsoren QIS
Klankbordgroep QIS
Relevantie van onderstaande vragen bij implementatie ?
• Welke eisen stelt de professional voordat hij/zij meedoet ? • Hoe wordt acceptatie verkregen bij werkgevers ? • Hoe beloon je early adopters ?
Wat is de werkelijkheid? • Nieuw veld • Continu in ontwikkeling
– Architectuur wordt steeds complexer – Gebruik IT verandert continue
• Wordt steeds belangrijker • IOT, banken, zorg, etc. etc.
– Dreigingen van nu morgen niet meer relevant • Erger: oplossingen van nu morgen niet meer relevant
• Personeel is “maximaal” schaars
Dus organisatie onderwijs? • Aansluiting bij ontwikkelingen
– Flexibel – Input ‘werkveld’
• Echter: – Eisen NVAO – Maximum praktisch aantal gastsprekers – Kwaliteitseisen / doelstellingen – Onvoldoende docenten
En dus…? • Onderwijsontwikkeling begint en eindigt ‘buiten’ • Studenten moeten leren theorie
– Vooral zelf tot zich te nemen – En op waarde te schatten
• Dus docenten ook! • Onderwijs krijgen = het doen van onderzoek
En dat doe je samen