Kwalificatie en certificatie van informatiebeveiligers Marcel Spruit Fred van Noord
Opleidingenmarkt, 24 mei 2011
Onderzoek • Onderzoek naar de wenselijkheid en haalbaarheid van een (inter)nationaal kwalificatie- en certificatiestelsel voor informatiebeveiligers • Uitgevoerd in opdracht van het CPNI.NL door: Het Expertise Centrum / Verdonck, Klooster & Associates
Vooronderstellingen • Informatiebeveiliging is een herkenbaar vakgebied met een steeds duidelijker maatschappelijk belang • Informatiebeveiligers hebben een herkenbaar en erkend niveau van vakbekwaamheid nodig • Werkgevers (publiek en privaat) hebben mogelijk te weinig zicht op het niveau van informatiebeveiligers • IB-opleidingen en -cursussen zijn nauwelijks gestandaardiseerd en geharmoniseerd en slecht te vergelijken
Interviews + enquête + workshop • Werkgevers – Publiek – Privaat (algemeen & specialistisch) – ISAC’s
• Opleiders (mbo, hbo, wo) • IB-specialisten • Certificatie-instantie
Belang informatiebeveiliging voor economie Europa (interview Neelie Kroes) • Stem nationale kwalificaties af met die van andere Europese landen • Wellicht kan PvIB een beroepsregister organiseren en dat afstemmen met zusterorganisaties in andere landen Nederlandse bedrijfsleven (VNO-NCW, cie IB) • Position paper over belang en kwalificatie voor informatiebeveiligers Nederlandse overheid • Nationale Cyber Security Strategy en kwalificatie
Andere beroepen met certificatie • Accountant • IT-auditor • Beroepen in beveiligingsbranche • Beroepen in de gezondheidszorg • Tandarts • Advocaat • Ingenieur • Technisch personeel luchtvaart
Bevindingen • Chaotische situatie m.b.t. kwalificatie en certificatie van IB’ers
Afkorting
Betekenis
ABCP
Associate Business Continuity Professional
CAP
Certified Authorization Professional
CBCP
Certified Business Continuity Professional
CEH
Certified Ethical Hacker
CGEIT
Certified in the Governance of Enterprise Information Technology
CIA
Certified Internal Auditor
CIPP
Certified Information Privacy Professional
CISA
Certified Information Systems Auditor
CISM
Certified Information Security Manager
CISSP
Certified Information Systems Security Professional
CITP
Certified Information Technology Professional
CRISC
Certified in Risk and Information Systems Control
CSSLP
Certified Secure Software Lifecycle Professional
FBCI
Fellow of the Business Continuity Institute
FBCS
Fellow of the British Computer Society
ISMAS
Information Security Management Advanced
ISMES
Information Security Management Expert
ISSAP
Information Systems Security Architecture Professional
ISSEP
Information Systems Security Engineering Professional
ISSMP
Information Systems Security Management Professional
MBCP
Master Business Continuity Professional
MISM
Master of Information Security Management
MSIT
Master of Science in Information Technology
OPSA
OSSTMM Professional Security Analyst
OPST
OSSTMM Professional Security Tester
QiCA
Qualification in Computer Auditing
RE
Register EDP auditor
RIB
Register Informatie Beveiliger
RO
Register Operational auditor
RSE
Register Security Expert
SSCP
Systems Security Certified Practitioner
Kwalificatie • Nieuw kwalificatiestelsel voor IB’ers nodig (opleiding en ervaring) • Best practice met bestaande kwalificaties gebruiken • Onderscheid – IRM en IT-beveiliging – Mbo, hbo, wo-niveau
• Voordelen kwalificatie – Professionals – Werkgevers – Onderwijsinstellingen
Extra voor certificatie • Beroepsprofiel • Certificatie-instantie en certificatieschema • Certificatieregister • Opleidingen • Gedrag- en beroepsregels • Eisen voor bij- en nascholing • Tuchtrecht
Voorstel K&C-stelsel Beroepsprofiel
IRM, ICT-beveiliging Strategisch (wo), tactisch (hbo), operationeel (mbo)
Opleidingsprofiel
Taken en onderwerpen (zie volgende sheet)
Kwalificatieschema
Bestaande kwalificaties (CISSP, CISA, CISM, MISM, …) Erkende opleidingen (mbo, hbo, wo)
Go/no-go
Certificatieschema
Certificatie-instantie Certificatieregister
Opleiding
IRM
IRM
ICT-bev.
ICT-bev.
ICT-bev.
Strat.
Tact.
Strat.
Tact.
Oper.
Organisatiekunde
X
X
Veranderkunde
X
Projectmanagement
X
X
X
Beveiligingsarchitectuur
X
X
X
X
Risico- en security management
X
X
Risicoanalyse
X
X
X
X
X
Business continuity management
X
Wet- en regelgeving en compliance
X
X
X
Financieel management
X
Beveiligingsstandaarden
X
X
Psychologie
X
X
Menselijk falen
X
X
Communicatie
X
X
X
X
X
X
X
X
Malware- en fraudetechnieken
X
X
X
Cryptografie
X
X
X
Computer- en netwerkbeveiliging
X
X
X
Softwarebeveiliging
X
X
X
SCADA-beveiliging
X
X
X
Technische beveiligingsstandaarden
X
X
X
Onderwerp Organisatie
Opleidingsprofielen
X
Mens en gedrag
• Onderwerpen voor IRM en ICT-beveiliging (mbo, hbo, wo)
Techniek Informatietechnologie
Vaardigheden Leiding geven
X
X
X
Samenwerken
X
X
X
X
X
Analyseren
X
X
X
X
X
Presenteren (mondeling, schriftelijk)
X
X
X
X
X
Adviseren
X
X
X
X
Auditen
X
X
X
X
Te nemen stappen • Opstellen plan van aanpak i.s.m. stakeholders (werkgevers, opleiders, beroepsorganisaties) • Uitwerken van beroeps- en opleidingsprofielen • Opstellen van kwalificatieschema’s • Afstemmen met schema’s van andere landen • Instellen van erkende opleidingen
Go/no-go
• Aanwijzen van certificatie-instantie(s) • Opstellen van certificatieschema‘s en register(s)
Download het rapport • www.cpni.nl • www.pvib.nl