In de eerder dit jaar verschenen ‘Nationale Cybersecurity Strategie 2‘ benadrukt het kabinet over voldoende cybersecuritykennis en -kunde te willen beschikken. Algehele conclusie is dat de vraag naar (cyber)security-professionals verder zal toenemen, maar dat er aansluitingsproblemen zijn tussen het traditionele hoger en wetenschappelijk onderwijs en de specialistische vraag in de markt (Security.nl 19 mei 2015). Soortgelijke geluiden zijn ook in het bedrijfsleven, bij politie-onderdelen en defensie te horen.
Opleidingsinstituut TSTC uit Veenendaal, dat sinds 2006 gespecialiseerd is in compacte (cyber)security- en privacytrainingen, herkent deze problematiek, maar ziet ook de snel veranderende wensen in de markt. “Van de trage molens in het hoger onderwijs hebben wij gelukkig geen last. Trainingen in dit vakgebied vereisen continue aanpassingen aan de actualiteit en in veel gevallen een programma op maat”, aldus Emile Kok, Algemeen Directeur van TSTC, dat rond de vijftig verschillende security- en privacytrainingen verzorgt.
“Een goede fundering in het hoger onderwijs is enorm belangrijk, en soms mag het curriculum daar inderdaad best wat sneller worden aangepast, maar we leven in een tijd van levenslang leren.” Daarin vervult TSTC een specifieke functie die door het traditionele onderwijs niet of moeilijk in te vullen is. “Wij hebben simpelweg een andere rol. Cybersecurity is een dynamisch onderwerp en daarom bij uitstek geschikt voor postinitiële bijscholing. Zo kon de recente aanpassing in de Wet Bescherming Persoonsgegevens (Wbp), die grote consequenties heeft voor het securitybeleid, door ons snel worden vertaald in een training, waardoor we organisaties in korte tijd kunnen bijpraten. Onze cursisten leren niet alleen van de docent, maar ook van vakgenoten die zich in een andere organisatie met herkenbare problematiek bezighouden.”
Nationale IT-security Monitor
Om aansluiting te blijven vinden met de markt, sponsort TSTC ondermeer de ‘Nationale it-security Monitor’ waarin specialisten jaarlijks antwoord geven op terugkerende en eenmalige it-securitygerelateerde vragen. Sponsoren krijgen gelegenheid om een aantal, voor hen relevante, vragen in het onderzoek te laten opnemen. Dit geeft TSTC niet alleen een beeld van de gebieden waarin training gewenst is, maar ook van de kennis die al wél aanwezig is in de verschillende marktsectoren.
Cloud en Privacy blijken voor de respondenten – niet geheel onverwacht – de belangrijkste thema’s voor de komende twaalf maanden te zijn. Een duidelijke verschuiving, want Cloud Security was vorig jaar nog op de vijfde plek van de ranglijst terug te vinden. In het onderzoek geeft slechts 35 procent van de deelnemers aan dat hun organisatie voldoende kennis in huis heeft om veilig gebruik van cloudoplossingen te kunnen garanderen. Bij de financiële sector ligt dit percentage met 26 procent zelfs nog lager. Het vertrouwen in een veilige mobiele toegang tot hun organisatie is met vergelijkbare percentages eveneens laag. TSTC speelt hierop onder andere in met een training over Cloud Security, Audits en Compliance en een workshop over ‘Advanced Mobile Hacking & Forensics’.
Privacy
Waar de aanleiding voor kennis over Cloud Security vaak business-gedreven is, ligt dit bij Privacy, met de harde noodzaak om aan nieuwe compliance-eisen te voldoen, geheel anders. Uit het onderzoek blijkt dat, afhankelijk van de eis, slechts tussen de 6 en 18 procent van de organisaties geheel klaar is voor de aankomende Europese Dataprotectie Verordening. Bij de overheid, toch één van de sectoren met toegang tot de meest gevoelige persoonsgegevens, liggen deze percentages nog lager met antwoorden tussen de 0 (‘opstellen privacystrategie’) en 10 procent (‘passende beveiligingsmaatregelen’).
Wat verder opvalt zijn de antwoorden op de vraag of de privacyverordening op de agenda van de directie staat. Volgens 61 procent is men óf nog onbekend met het thema, óf wordt er geen prioriteit aan gegeven. Slechts 8 procent geeft aan dat het thema prioriteit heeft van de directie, waar dit in alle andere gevallen wel prioriteit heeft maar gedelegeerd is naar IT. Niet de meest logische plek, gezien de eis voor het aanstellen van een Data Protection Officer die onafhankelijk te werk moet gaan, organisatiebreed toezicht moet houden en direct rapporteert aan de Raad van Bestuur.
TSTC concludeert dat de beperkte prioriteit en het delegeren van privacy naar IT duidt op onvoldoende kennis. Er zullen bij organisaties de komende maanden nog flinke slagen gemaakt moeten worden om compliant te zijn aan de Wbp, laat staan aan de Europese verordening. Dit zal volgens de opleider niet alleen leiden tot een grotere vraag naar de erkende CIPP/E, CIPM en CIPT privacy-certificeringen, maar ook naar meer kennis over afgeleide onderwerpen als risk- en securitymanagement.
Verschillen per sector
Naast een aantal marktbrede thema’s, blijken de wensen per sector te verschillen. Zo wordt trainen in identiteits- en toegangsbeheer de komende maanden het populairst in de financiële sector, terwijl riskmanagement bij de zorg en overheid het populairste opleidingsthema is voor de komende twaalf maanden. Met name binnen de sector overheid is een verschuiving te zien van behoefte naar brede certificeringen als CISSP naar meer diepgaande kennis op specifieke securitythema’s.
De Nationale IT Security Monitor geeft aan hoe lastig het voor traditioneel onderwijs is om professionals kant en klaar op te leiden voor de markt. Niet alleen zijn de verschillen tussen sectoren groot, maar er is ook een continue verschuiving in behoeften. Tegen de tijd dat een meerjarige opleiding is afgerond, zijn de wensen alweer dusdanig veranderd dat verdere bijscholing gewenst is. Relatief korte, meer gerichte trainingen zoals TSTC die aanbiedt, voorzien in die behoefte en geven organisaties de mogelijkheid om snel op de hoogte te zijn van relevante nieuwe ontwikkelingen.
Daarbij moet niet alleen aandacht zijn voor de reeds bij security betrokken medewerkers, maar des te meer voor het grote aantal gebruikers in de organisatie en het hoger management. Emile Kok van TSTC: “Zodra het topmanagement zich volledig bewust is van de businessrisico’s die cybersecurity met zich meebrengt, zoals bijvoorbeeld de sancties die de Wet Bescherming Persoonsgegevens oplegt, zal dat het werk van de security-professionals vergemakkelijken omdat dit meer prioriteit krijgt. Hierin ligt nog een belangrijke taak voor ons als opleider, maar ook voor de (it-)securitysector in zijn geheel.”
