partnermenu

zoeken binnen de website

Partnerpagina ECP

Hoe houden we Nederland digitaal droog?

Uniform kwalificatiestelsel voor informatiebeveiligers in de maak

door: Fred Teunissen

artikelen | 26 april 2013

Organisaties moeten steeds meer en steeds waardevollere informatie beschermen tegen steeds geavanceerdere dreigingen. Hiervoor zijn goed opgeleide en ervaren professionals nodig. Maar hoe weet je zeker dat die mensen voldoende op hun taken berekend zijn? Een uniform kwalificatiestelsel moet hier uitkomst bieden.

ecp logo

Als er één ding duidelijk is geworden nadat ook de laatste naschokken van het grote DigiNotar-incident waren weggeëbd, dan is het wel dat bestuurders meer verantwoordelijkheid moeten nemen voor de informatiebeveiliging binnen hun organisaties.

De Onderzoeksraad voor de Veiligheid, die het DigiNotar-incident diepgaand onderzocht, laat hier geen enkel misverstand over bestaan. Geen van de betrokken partijen was voorbereid op dit incident, concludeert de Raad in zijn rapportage. “Het risico, en de mogelijke gevolgen van het gecompromitteerd raken van alle certificaten en daarmee van de certificaatdienstverlener zelf, waren niet voorzien. Niemand had zich gerealiseerd dat dit kon leiden tot het stilvallen van belangrijke gegevensstromen met en tussen overheidsorganisaties, met ingrijpende maatschappelijke gevolgen.” De belangrijkste aanbeveling aan de minister van Binnenlandse Zaken en Koninkrijksrelaties luidde dan ook: zorg ervoor dat bestuurders van alle overheidsorganisaties hun verantwoordelijkheid nemen voor het beheersen van digitale veiligheid.

Een prima uitgangspunt uiteraard, alleen: hoe doe je dat? Van bestuurders mag niet in ernst worden verwacht dat zij vakopleidingen in informatiebeveiliging gaan volgen. Wat wel kan, is dat zij zich laten bijstaan door professionals die dat wel hebben gedaan en die tevens over de benodigde praktische ervaring en bewezen bekwaamheden beschikken. In dit verband klinkt in toenemende mate de roep om de komst van Chief Information Security Officers, ofwel CISO’s. Daarmee kan de benodigde verantwoordelijkheid op hoog niveau in de organisatie worden belegd.

Brugfuncties

Ook de Cyber Security Raad (CSR) zoekt oplossingen in deze richting. Deze raad heeft als taak de regering gevraagd en ongevraagd van advies te dienen over ontwikkelingen op het gebied van de digitale veiligheid. Doel daarvan: bijdragen aan een open, veilige en betrouwbare digitale samenleving.

De Raad voerde, mede naar aanleiding van het DigiNotar-incident, diepgaande gesprekken met een reeks topbestuurders en concludeerde daaruit dat er een forse communicatiekloof bestaat tussen topmanagers en technische IT’ers. Gerben Klein Baltink, secretaris van de Raad: “Simpel gesteld en met een beetje alliteratie verwoord gaat het om het probleem van de nerds en de notabelen. Er gaapt een flink gat tussen deze twee groepen. Beide staan op hun gebied hun mannetje, maar ze spreken elkaars taal niet. Bestuurders beschikken meestal niet over echt technische IT-kennis. En zelfs CIO’s hebben meestal geen technische IT-achtergrond. Dat maakt het gesprek met de techneuten lastig. Omgekeerd kun je van de puur technische IT’ers – het type mensen dat zich in de donkere krochten van het web in zijn element voelt en precies weet heeft van wat zich daar afspeelt – eigenlijk niet verwachten dat zij de taal van het management gaan spreken. Dit leidt tot een belangrijke conclusie, namelijk dat je de verantwoordelijkheid voor de informatiebeveiliging niet in handen zou moeten leggen van iemand binnen het technische domein, maar in die van iemand die de techniek tot in de diepte begrijpt en bovendien in staat is om op bestuurlijk niveau helder te communiceren. Dat zou bijvoorbeeld een functionaris kunnen zijn met een technisch-bedrijfskundige achtergrond.”

Klein Baltink schat in dat er op het vlak van de kwaliteit van de IT-opleidingen in ons land weinig of geen uitdagingen bestaan. Op het vlak van het vormgeven van de beoogde brugfunctie en de kwalificatie van deze functionarissen binnen een nieuw op te zetten kwalificatiestelsel ziet hij echter des te meer uitdagingen. “We staan hier nog helemaal aan het begin. We zullen met vallen en opstaan moeten leren hoe hier vorm aan te geven.”

Hogesnelheidstrein

Hoe belangrijk het ontwikkelen van brugfuncties ook is, de vraag blijft wel of dat afdoende zal blijken. Ook hier is immers weer de vraag: hoe stel je vast dat deze chiefs en deze technisch door de wol geverfde bedrijfskundigen voldoende op hun taken zijn berekend? En hoe stellen deze functionarissen dat op hun beurt weer vast met betrekking tot het personeel dat onder hun hoede de meer uitvoerende werkzaamheden verricht?
Natuurlijk zijn er certificaten en diploma’s in overvloed, zoals CISSP, CISA, CISM, xBCI, MISM of MSIT, maar veel houvast bieden die niet. En wel om twee redenen. Allereerst gaan de ontwikkelingen in de werelden van cybercrime en cyberspionage razendsnel. Wie in dit praktijkveld actief is, bevindt zich in een hogesnelheidstrein. Het is niet altijd even duidelijk of de opleidingen in dit vakgebied deze high-speed modus in voldoende mate bijbenen.

Een tweede factor in dit verband – en één die de nachtrust van bestuurders minstens even sterk kan aantasten – is dat deze opleidingen nauwelijks uitwisselbaar, lees: gestandaardiseerd, zijn. In de praktijk betekent dit dat hrm-verantwoordelijken niet kunnen bepalen wat het gewicht is van de papieren die een kandidaat voor een informatiebeveiligingsfunctie overlegt. Laat staan dat deze verantwoordelijken kunnen vaststellen waar de lacunes zitten die bijscholing vereisen voor de goede uitoefening van een specifiek takenpakket binnen een functie.

Tegen deze achtergrond voerde het bij TNO ondergebrachte CPNI.NL (Centre for Protection of the National Infrastructure) een onderzoek uit naar wenselijkheid en haalbaarheid van een uniform kwalificatiestelsel voor informatiebeveiliging. De uitkomst van dit onderzoek, dat in 2011 werd gepresenteerd, was positief. Het CPNI.NL achtte een dergelijk stelsel vooral zinvol voor de volgende beroepen: informatierisicomanagers op strategisch en tactisch niveau, ICT-beveiligers op strategisch, tactisch en operationeel niveau en relatief grootschalige specialistische beroepen op het gebied van informatierisicomanagement en ICT-beveiliging. Sommige van deze beroepen zoals IT-auditor en digitaal forensisch onderzoeker, werken al met kwalificatie en certificatie. De onderzoekers pleitten voor een goede afstemming met de beroepspraktijk en een goede waardering van de kennis en ervaring van de professionals die, soms al vele jaren, werkzaam zijn in deze praktijk. Om die redenen zou de trekkersrol van het nieuwe stelsel bij de beroepsorganisaties moeten liggen, bij voorkeur bij het Platform voor Informatiebeveiliging (PvIB).

Vervolgens vroeg het ministerie van EZ aan het PvIB om in nauwe samenspraak met ECP, het Platform voor de Informatiesamenleving, voorstellen te doen die de weg banen voor een uniform kwalificatiestelsel dat aansluit op Europese initiatieven op dit gebied.

Convenant

Fred van Noord, voorzitter van het PvIB, legt uit hoe zijn organisatie deze handschoen heeft opgepakt: “We werken over twee sporen. Aan de ene kant zijn we in juli 2012 gestart met een werkgroep die uniforme beroeps- en competentieprofielen ontwikkelt, die aansluiten bij het e-CF, het European e-Competence Framework. Tegelijkertijd zijn we over een tweede spoor bezig draagvlak te organiseren voor het nieuwe kwalificatiestelsel, door organisaties die deel uitmaken van de vitale infrastructuur van ons land samen te brengen rondom ons convenant.”

In dit convenant worden acht vereisten omschreven waaraan het beoogde uniforme kwalificatiestelsel moet voldoen, waaronder een overgangsregeling voor professionals die al in de informatiebeveiliging werkzaam zijn. Met ondertekening van het convenant bevestigen organisaties dat zij de intentie hebben om het kwalificatiestelsel binnen hun eigen organisatie, respectievelijk branche, in te zetten voor werving en selectie van professionals informatiebeveiliging. Ook verklaren ze te zullen bevorderen dat organisaties waaraan zij gelieerd zijn, zoals ketenpartners, leveranciers en afnemers, het kwalificatiestelsel ook toe zullen gaan passen en zo op hun beurt zullen bijdragen aan een brede acceptatie ervan.

“Zover is het nog niet”, vertelt Van Noord. “Omdat het convenant net opgesteld is, zijn er nog geen handtekeningen geplaatst, maar er zijn wel al organisaties die hebben aangegeven dat ze het willen ondertekenen. Op een werkconferentie half april 2013 zullen wij met hen en andere betrokkenen samenkomen om vervolgstappen te bespreken.” Tot de deelnemers behoren onder meer vertegenwoordigers van diverse ministeries, ZBO’s (zoals UWV), organisaties uit de vitale infrastructuur van Nederland, enkele grote banken en een aantal in ons land gevestigde multinationale ondernemingen.

Onafhankelijk instituut

Onderwijl werken Van Noord en zijn werkgroepleden samen met Marcel Spruit, lector Cybersecurity aan de Haagse Hogeschool, aan de inhoudelijke aspecten van het nieuwe stelsel. Zij nemen de vraagkant daarbij als uitgangspunt, verduidelijkt hij: “We gaan uit van wat er in de praktijk aan competenties wordt gevraagd. We vertalen dit vervolgens naar beroeps- en competentieprofielen. Aan de hand daarvan kunnen opleiders hun opleidingen ontwikkelen. En wij kunnen zo zien of zij een adequaat opleidingsaanbod hebben.”

Het is belangrijk, aldus Van Noord, dat er uniformiteit komt in de beroeps- en competentieprofielen. “Er moet een onafhankelijk instituut komen dat deze uniformiteit borgt en bewaakt.” Een moeilijkheid is nog wel dat het e-CF 23 ICT-gerelateerde beroepsprofielen onderkent, maar daarin ontbreekt onder meer het profiel van de eerdergenoemde CISO. Van Noord: “De rol van de CIO is duidelijk binnen het e-CF. Die rol zit tegen het businessmanagement aan. Voor de CISO zou dat ook moeten gelden, in een strategische, adviserende rol naar de bestuurders toe. Er vinden nu dan ook discussies plaats om een dergelijk beroepsprofiel toe te voegen aan de nieuwe 3.0-versie van het e-CF.”

Een andere moeilijkheid is dat er nog geen besluit is genomen over wie de ‘eigenaar’ van het nieuwe kwalificatiestelsel gaat worden. Dit is een van de discussiepunten voor de werkconferentie van april.
Wanneer het kwalificatiestelsel operationeel kan zijn? Van Noord: ”Ondanks de drempels die we nog moeten nemen, verwacht ik dat het stelsel halverwege 2014 operationeel kan zijn.”

Frans Haverkamp: “Het collectieve leervermogen versterken”

“Een heilloze missie” noemt Frans Haverkamp, CIO van UWV, het extern werven van goede informatiebeveiligers. “Echte specialisten, die bijvoorbeeld pentesten kunnen uitvoeren, zijn bijzonder duur en erg moeilijk vast te houden.”
UWV maakt daarom gebruik van externe deskundigen van beveiligingsbedrijven als Fox IT en Madison Gurkha. Daarnaast wil deze uitvoeringsorganisatie uit eigen personeel een kern vormen van eigen informatiebeveiligers, die samen met externen op vergelijkbaar hoog niveau kunnen opereren. Bovendien legt UWV een strategische prioriteit bij het versterken van de samenwerking met collega-uitvoerings- en overheidsorganisaties.
“We willen al die expertise bundelen”, zegt Haverkamp. “Daarom hebben wij het initiatief genomen voor het Centrum Informatiebeveiliging en Privacybescherming. Verder moet er een stelsel van afspraken komen met betrekking tot leveranciers, onder meer op het punt van secure software development. Ook denk ik aan een referentiekader in de vorm van een maturitymodel voor de security. Organisaties zouden zich dan jaarlijks aan een assessment op basis van zo’n model kunnen onderwerpen.”
Ook het onderling delen van informatie over veiligheidsincidenten staat hoog op zijn prioriteitenlijst. “Het vakgebied van de informatiebeveiliging is relatief jong en ontwikkelt zich in een zeer hoog tempo. Om die ontwikkelingen bij te benen moet je niet alleen maatregelen nemen voor je eigen organisatie, maar ook generieke stappen zetten om het collectieve leervermogen van de betrokken ketenpartners te versterken.”

tags: , , , ,

Reactieformulier

De met een * gemarkeerde velden zijn verplicht. U ziet eerst een voorbeeld en daarna kunt u uw bijdrage definitief plaatsen. Uw e-mailadres wordt niet op de site getoond. Reacties zonder achternaam worden verwijderd. Anoniem reageren alleen in uitzonderlijke gevallen in overleg met de redactie. U kunt bij de vormgeving van uw reactie gebruik maken van textile en er is beperkt gebruik van html mogelijk.