‘Security-trainingen hebben diepgang nodig’

Informatiebeveiliging wordt volwassener, heeft daardoor steeds meer behoefte aan specialisten en zal door de groeiende focus op privacy nog meer aandacht gaan krijgen. Het in security trainingen gespecialiseerde opleidingsinstituut TSTC zit dicht bij het vuur als het gaat om trends in de informatiebeveiliging.

“Dagelijks leggen bedrijven en cursisten hun kennisbehoefte bij ons neer waardoor verschuivingen in het vakgebied snel zichtbaar zijn. Ons opleidingsprogramma wordt gevormd door die vraag en geeft dan ook een goed beeld van de diversiteit die informatiebeveiliging tegenwoordig kenmerkt”, stelt Emile Kok, algemeen directeur van TSTC.

Veranderde behoefte

Tussen 2006 en 2012 was de vraag naar security trainingen volgens Kok redelijk homogeen. Om hun betrokkenheid bij beveiliging aan te tonen, streefden organisaties vooral naar security awareness en medewerkers met bekende titels als CISSP, CISM en CEH achter hun naam. Omdat vacatures hetzelfde beeld gaven, gingen professionals op zoek naar dergelijke trainingen om hun kansen op de arbeidsmarkt te vergroten. Deze behoefte is volgens TSTC niet verdwenen maar is de afgelopen jaren steeds meer uitgebreid met de wens naar verdere specialistische kennis. Waar een netwerkbeheerder eerder bij veel bedrijven nog kon worden aangewezen als ‘de collega die alles weet over beveiliging’ is hij tegenwoordig nog slechts de firewallspecialist of één van de netwerkbeveiligers.

“Met het volwassener worden van informatiebeveiliging, zijn er meer specifieke rollen ontstaan met daarin afgebakende verantwoordelijkheden. Een security professional wordt nog wel geacht over veel zaken iets te weten, maar is bij veel organisaties niet langer meer generalist. Dit verklaart ook het succes van meer gerichte verdiepingstrainingen in penetratietesten, risk management, incident response en cloud security. Deze ontwikkeling wordt verder gestimuleerd door nieuwe eisen van de overheid zoals de jaarlijks verplichte DigiD audit waar bijvoorbeeld gemeenten mee te maken hebben en die dwingen te investeren in verdere ex- of interne security kennis.”

Privacy

In dat kader zal de nieuwe Europese Verordening Bescherming Persoonsgegevens, die de WBP moet gaan vervangen, weer consequenties hebben voor de opleidingsvraag in 2015. Ondanks dat er nog enkele knopen doorgehakt moeten worden, is al wel duidelijk dat er een grote verantwoordelijkheid bij bedrijven komt te liggen op het gebied van bijvoorbeeld privacy management. Waar deze kennis voorheen beperkt bleef tot de juridische afdeling, wordt privacy steeds meer (mede) het domein van informatiebeveiligers en compliance officers.

“Omdat de nieuwe privacy verordening vergaande gevolgen heeft voor de informatiebeveiliging en we hier steeds meer vragen over kregen, is TSTC vorig jaar een exclusieve samenwerking aangegaan met IAPP, de grootste internationale vakvereniging voor privacy professionals. We zijn in mei gestart met hun bekendste CIPP/E titel die cursisten certificeert in globale- en Europese privacy wet- en regelgeving. Dit jaar zullen we het programma verder uitbreiden met CIPM en CIPT die gaan over hoe deze kennis toe te passen in een privacy management of technische functie. CIPP/E en CIPM sluiten in combinatie het beste aan op de eisen uit de Europese verordening waarmee veel bedrijven verplicht worden een privacy functionaris aan te stellen.”

Certified Chief Information Security Officer (CCISO)

Een andere nieuwe titel die TSTC in 2015 zal introduceren is CCISO. De laatste jaren is de eindverantwoordelijkheid voor informatiebeveiliging steeds hoger in de organisatie komen te liggen met de CISO functie tot gevolg. De CISO opereert op het grensvlak tussen beleid en techniek , tracht deze werelden in zijn functie te verenigen en heeft een organisatie brede kijk op informatiebeveiliging. Bij veel potentiële kandidaten schiet de vereiste management- of technische kennis volgens TSTC nog tekort om voldoende draagvlak te kunnen krijgen binnen alle lagen van de organisatie. De CCISO training behandelt al deze aspecten en met name de samenhang ertussen zodat de functie beter kan worden ingevuld. CCISO is een internationaal erkende certificering van EC-Council en fungeert tevens als aanvulling op een eventuele behaalde CISSP en/of CISM certificering in verband met de specifieke focus op de CISO-rol en de daarbij behorende werkzaamheden.

Opleiden anno 2015

Volgens TSTC’s directeur is het werk van de opleider langzaam aan het verschuiven. “Bedrijven schakelen ons naast hun reguliere trainingen vaker in voor maatwerktrajecten waarbij certificering niet- of van ondergeschikt belang is. We hebben de beschikking tot een uitgebreid netwerk van internationale professionals die naast hun praktijkervaring ook didactisch in staat zijn om hun kennis over te brengen. Om niet voor elke klant een nieuwe training samen te hoeven stellen, zullen we in 2015 ook meer specialistische titels brengen die door kleine groepen te boeken en op punten aan te passen zijn.” Kok noemt voorbeelden als SAP security, Malware Analysis en Exploit Development maar geeft aan dat klanten TSTC met al hun security en privacy vragen kunnen blijven benaderen. “Want één ding verandert er niet, de kennisbehoefte van onze klanten bepaalt uiteindelijk de trainingen op onze agenda.”