want een cybersecurity specialist wordt je op een hogeschool of universiteit?
hebben ze daar ook opleidingen voor minister, formule 1 coureur of staatssecretaris of astronaut of hacker?

wat een hoop koeienstront..
Cyber security specialist groei je naartoe, dat leer je niet op school, ga je nooit op school leren ook..
Iedereen die dat niet begrijpt moet staatssecretaris worden.

voor minister en staatssecretaris zijn idd opleidingen die intern bij de jongere partijen beginnen. daar worden veel cursussen voor georganiseerd. voor formule 1 coureurs zijn er ook school banken bij o.a. mc-laren en red-bull. er zijn alleen bijna geen mensen die mee kunnen doen door geldt en of talent. ook een astronaut wordt opgeleid en is jaren in training voordat deze de ruimte in gaat. alleen die laatste (hacker) weet ik zo net nog niet.

even serieus, we mogen blij zijn dat security de aandacht heeft, dat betekent dat er ook geld voor gereserveerd kan worden.

Op geen enkele hogeschool of universiteit wordt je specialist op welk gebied dan ook. Elk vakgebied leer je pas echt goed 'on the job'. Ook informatiebeveiliging. Dus dat is geen valide argument om de inhoud van het rapport te bekritiseren.

Probleem is dat bedrijven meestal het nut van een specifieke functie niet onderkennen.

Het is alles of niets; of zwaargewicht bij een bedrijf als fox-It of medewerkers die geen tijd over houden om naar security vraagstukken binnen hun bedrijf te kijken. Management wat heel raar opkijkt als gezegd wordt dat er bepaalde uren in security moeten worden geïnvesteerd; als er al aandacht aan gegeven wordt dan kunnen externe bedrijven dat veel beter is dan de gedachte, waardoor er maar helemaal niets mee gedaan wordt.

Aan die gedachte moet wat gedaan worden ipv weer een hele batch studenten met een opleiding welke in de praktijk nergens een baan zal opleveren.

Security werkt niet als een handje vol academici in een ivoren toren zich hier mee bezig gaan houden.
Het werkt wel als elke schoolverlater vanaf mbo en met een sterke interesse in security daar ook een baan in kan vinden. Dan heb je veel, veel meer mensen die proactief met security bezig zijn.

Beleidsmakers moeten eens stoppen met in hokjes te denken.

Er zijn voldoende potentiële kandidaten in de vooropleidingen (kwantitatief)
Het geschetste probleem is juist dat er te weinig mensen met voldoende werkervaring zijn. (kwalitatief)

Goede security is embedded in de architectuur, en niet een add-on.

Het werk van security experts en systeem architecten heeft een grote overlap.
Daarom is het belangrijk dat ze intensieve kennis van elkaars vakgebied hebben.
In mijn beleving moeten deze vakgebieden daarom ook samensmelten tot één.

Ah vandaar dat onderzoek met een gerichte voorspelbare uitkomst.
https://www.security.nl/posting/429067/Kwalitatief+tekort+aan+cyber+security+professionals+dreigt

Ale we nu eerst eens aandacht aan magementvaardigheden met bewust omgaan cyberomgeving en cybersecurity zouden besteden dan zou het beter lukken. ICT ze weten niet eens waar het over gaat. De boekhouding regeerd.

Je groeit inderdaad uiteindelijk naar de functie van cyber security specialist toe. Dat betekent niet dat opleidingen hierin weggegooid geld zijn. Uit persoonlijke ervaring weet ik te vertellen dat ze een brede basiskennis geven van het hele Cybersecurity domein. Ik volg nu intern opleidingen en mijn kennis op bepaalde punten overtreft de kennis van collega's die al jaren in de IT bezig zijn.


Waarop baseer je dat? Eigen ervaring? Mijn medestudenten en ik hebben geen enkele moeite gehad om met onze opleiding een goede baan te vinden.

Als overheid moet je door middel van wetgeving, alle bedrijven die op internet aanwezig zijn, en persoonlijke data van individuen bezitten, op straffe van heel hoge boetes dwingen zich tegen inbrekers e.d. te wapenen.
Hoe die bescherming er in werkelijkheid moet uitzien, kan je via aanvullende regelgeving vastleggen.

Het PvIB heeft een mooie whitepaper https://www.pvib.nl/download/?id=17696376 met omschrijvingen van functies in de informatiebeveiliging en daarin (zoveel mogelijk) objectieve criteria voor de gewenste niveau's op de vereiste competenties.

Zou mooi zijn als dat uitgebreid werd en als er ook de standaard certificeringen (CEH, CISSP, CISM, enz.) in meegenomen zouden worden. Dan maak je het wat concreter en kunnen medewerkers er via hun POP's ook naar toe werken.

Universiteit van Amsterdam master System and Network Engineering. 2x Excellent bij NVAO accreditatie en beste Informatica opleiding volgens Keuzegids 2015 en Nationale Studenten Enquete 2015.

Dat is allemaal prima, waar ik ontzettend om moet lachen is dat vooral enterprise formaat organisaties serieus IB mensen aanstellen. Tot die tijd zal het vooral in handen liggen van consultancy bureaus. Begrijp me niet verkeerd maar wat ik uit het artikel trek is dat er een KWALITATIEF tekort is, geen kwantitatief. Iedereen kan bijvoorbeeld een BIA doen met gezond verstand.

Probleem is vooral dat informatiebeveiliging een breed begrip is bestaande uit zowel het technisch als het business spectrum. Een netwerkbeheerder die je security by design aanleert is dan ook maar een deel van de oplossing. CISM, CISSP, CISA, e.d. programma's richten zich al meer op het hele spectrum. Een kwalitatieve specialist wordt je natuurlijk pas in de praktijk, maar een volwaardig HBO opleidingsprogramma specifiek op IB kan in ieder geval een goede voorzet zijn om een aantal jaren bezig te zijn met IB.

Ik volg op dit moment de studie Information Security Management aan de HHS. Waar we alle aspecten van IB behandelen en toepassen in de praktijk met projecten in het bedrijfsleven. Zodat we de kennis direct kunnen toepassen in de praktijk en belangrijker, na de studie precies weten hoe we aan de slag kunnen gaan met security om verantwoord business objectives te bereiken.

Niks mis met MBO overigens, maar informatiebeveiliging is iets wat je van operationeel tot strategische top moet kunnen communiceren. Waar MBO zich vooral richt op operationeel tot tactisch niveau.

Conclusie van m'n verhaal: een volwaardige opleiding doet veel meer dan een bijles security. Een kwalitatief probleem moet je dan ook aanpakken met een gefundeerde oplossing, niet met losse flodders.

ISM gaat in deze casus niet op. Het artikel suggereert Security Proffessionals in het algeheel. ISM produceert 95% IB-managers. Die zijn vast wel ergens nodig hoor, maak je geen zorgen. Maar voor de technische functies (en juist dat zijn de functies die moeilijk vervuld worden in mijn opinie!) is ISM niet de juiste opleiding.

Security wordt nog steeds veelal gezien als een technisch verhaal, maar het is zo veel meer dan dat. Zelf heb ik een technische vooropleiding wat mij het voordeel geeft dat ik zowel techniek als business aspecten van security kan oppakken, als ik om mij heen kijk zijn zulke mensen inderdaad schaars. Desalniettemin komt het er dan op neer dat ISM een goede voorzet heeft gedaan, maar dat er ook een behoefte is aan technische specialisatie.

De grote vraag is dan wel tot hoeverre is technische specialiteit nodig is als je het hebt over 'security professionals'. In mijn opinie zou een goede IB-manager in staat moeten zijn de taal van IT te kunnen spreken om dusdanig activiteit aan te sturen om te zorgen dat security afdoende wordt afgedekt bij implementaties.

Het ideale voorbeeld is denk ik de veelal opspelende vraag over SIEM (Security Incident & Event Mgmt.). Degene die eindverantwoordelijk is voor IB, is dit ook de persoon die dit moet opzetten, moet configureren, beheren en tot slot analyseren? In mijn optiek laat je de mensen doen waar ze goed in zijn. IB manager stuurt aan wat belangrijk is voor de business om te weten (business requirements / security alignment), een IT specialist zet de systemen in elkaar en een analist configureert naar wensen.

Waar het werkelijke tekort zou kunnen komen te liggen is digitaal recherchewerk, maar dit is iets wat je vooral leert door ervaring en niet in de schoolbanken, een achtergrond in IB-management kan hierbij uitstekend helpen.

ISM zou je fundament kunnen zijn waar je vervolgens op door kan gaan, een technische security master introduceren bijvoorbeeld kan ook een uitstekende toevoeging zijn aan dat fundament.

Concluderend bedoelde ik dan ook niet dat de opleiding ISM de oplossing is voor het probleem. Er moet gewoon een volwaardige opleiding komen om de nieuwe generatie professionals, hetzij 'business' of 'technisch' security professional, op te leiden om een kwalitatief probleem op te lossen. Security is een beroep, geen bijkomstigheid, bijles of verdiepingsminor.

pffff dus we gaan ook een school vor inbrekers/picklocker beginnen? In Den Haag weten ze niet waar ze over praten....