Vanwege de groeiende economische en maatschappelijke belangen en de toenemende afhankelijkheid van informatie, wordt het steeds belangrijker dat informatiebeveiligers een erkend en herkenbaar niveau van vakbekwaamheid hebben dat toepasbaar is in alle sectoren van de samenleving. Gebleken is dat er behoefte is aan een uniform en transparant certificatiestelsel met heldere beroepsprofielen en eenduidige competenties. Op dit moment kunnen organisaties die informatiebeveiligers willen aanstellen, door de verscheidenheid aan opleidingen, certificaten en titels nog moeilijk bepalen of informatiebeveiligers voldoende deskundigheid in huis hebben, dan wel met welke opleiding(en) kennis en vaardigheden aangevuld kunnen worden.
Het initiatief is interessant voor werkgevers, opleidingsinstituten en voor zowel bestaande als nieuwe professionals. Bij werkgevers wordt werving en selectie van informatiebeveiligers beter ondersteund omdat er beter zicht is op de eisen die er gesteld worden aan – in de markt – vergelijkbare informatiebeveiligingsfuncties en welke opleidingen hieraan voldoen. Zij kunnen hun functieprofielen hierop bijstellen en bij vacatures goede selecties maken. Daarnaast kunnen zij kennis en kunde van sollicitanten verifiëren middels het raadplegen van het openbare register. Professionals kunnen controleerbaar aantonen over welke competenties (kennis en vaardigheden) en ervaring zij beschikken en kunnen door inschrijving in het register hun marktwaarde vergroten.
Aanbieders van opleidingen kunnen gerichter informatiebeveiligingsopleidingen ontwikkelen die aansluiten bij de praktijk en aan studenten duidelijk maken voor welke functies en beroepen de betreffende opleiding geschikt is.
Absoluut. De CIO-Rijk van BZK was betrokken in de opstartfase. Het Ministerie van Veiligheid & Justitie – onderdeel NCTV – ondersteunt het initiatief, evenals de Cyber Security Raad. Ook hebben de afgelopen jaren diverse organisaties hun ondersteuning uitgesproken middels het ondertekenen van een convenant en deelname in de stuurgroep QIS. Het betreft onder meer: AkzoNobel, ABN Amro, Alliander, Eneco, Equens, EY, ING, KPN, Rabobank en UWV. Verder hebben ECP, CIO Platform Nederland en de beroepsvereniging voor informatiebeveiligers (PvIB) zich achter het initiatief geschaard.
Met het certificatiestelsel voor informatiebeveiligers is het mogelijk de kwaliteit van het beroep van informatiebeveiliger te realiseren, te bevorderen en in stand te houden. Hierdoor is het mogelijk dat de informatiebeveiliging zich op een maatschappelijk en vakinhoudelijk verantwoorde wijze ontwikkelt ter bescherming van de belangen van organisaties en beroepsbeoefenaren in alle sectoren van het bedrijfsleven en de overheid. Aan professionals worden eisen gesteld voor het up-to-date houden van hun kennis en vaardigheden. De volgende beroepsprofielen zijn gedefinieerd:
• Chief Information Security Officer (CISO)
• Information Security Officer (ISO)
• ICT Security Manager
• ICT Security Specialist (doorlopende leerlijn op de niveaus mbo-4, HBO en WO).
Het certificatiestelsel wordt op nationaal niveau uitgewerkt en ingevoerd. Het stelsel wordt beheerd door een stichting zonder winstoogmerk en onder toezicht van private en publieke partijen. Het is gebaseerd op internationale standaarden voor competenties en certificatie. Daarmee kan het nationale certificatiestelsel in een later stadium een internationale status krijgen door internationale erkenning, of door dit stelsel aan te laten sluiten op een buitenlands kwalificatiestelsel. Het certificatiestelsel is opgezet overeenkomstig tal van bestaande en gerespecteerde beroepen, zoals IT-auditors, ingenieurs, financieel planners, medische beroepen, tandartsen, advocaten, etc.
Om de voor het beroep benodigde kennis en vaardigheden te onderhouden dienen over een bepaalde meetperiode (maximaal twee jaar) de kennis en vaardigheden aantoonbaar en controleerbaar te worden verbeterd door middel van opleiding, training en andere voor het beroep relevante activiteiten. Dit dient betrekking te hebben op de voor de beroepspraktijk relevante onderwerpen, waarvan een deel specifiek is gericht op de gespecificeerde hoofdthema’s voor het betreffende informatiebeveiligingsberoep.
Nederland heeft te weinig opleidingsmogelijkheden in cybersecurity. Zowel in het beroepsonderwijs (mbo en hbo) als het wetenschappelijke onderwijs (WO) is slechts een handvol opleidingen beschikbaar. Vanaf 2018 komen van de ROC’s de eerste jonge mensen op de arbeidsmarkt die gekwalificeerd zijn overeenkomstig het beroepsprofiel ICT Security Specialist (mbo-4). Aan het realiseren van opleidingen op HBO- en WO-niveau die aansluiten bij het mbo-4 niveau en op de overige beroepsprofielen, wordt nog gewerkt.
Nederland heeft te weinig opleidingsmogelijkheden in cybersecurity. Zowel in het beroepsonderwijs (mbo en hbo) als het wetenschappelijke onderwijs (WO) is slechts een handvol opleidingen beschikbaar. Vanaf 2018 komen van de ROC’s de eerste jonge mensen op de arbeidsmarkt die gekwalificeerd zijn overeenkomstig het beroepsprofiel ICT Security Specialist (mbo-4). Aan het realiseren van opleidingen op HBO- en WO-niveau die aansluiten bij het mbo-4 niveau en op de overige beroepsprofielen, wordt nog gewerkt.
In binnen- en buitenland geven opleiders, maar ook andere organisaties zoals beroepsverenigingen, certificaten en titels uit die soms op opleidingen zijn gestoeld, soms op beroepservaring en soms op beide. Instellingen voor middelbaar, hoger en wetenschappelijk onderwijs en commerciële opleiders stemmen hun opleidingen op het gebied van informatiebeveiliging niet of nauwelijks af waardoor ze niet gestandaardiseerd en geharmoniseerd zijn. Daardoor is onduidelijk in hoeverre verschillende opleidingen met elkaar te vergelijken zijn en welke in het kader van doorstroming goed op elkaar aansluiten.
Het ontwikkelen en aanbieden van een coherente verzameling cybersecurity-opleidingen is niet alleen goed voor het vergroten van het aantal cybersecurity-professionals en het verbeteren van hun kennisniveau, maar het is ook goed voor het versterken van een kennisdomein dat belangrijk is voor de Nederlandse economie. Opleidingen en cybersecurity-kennis zijn mogelijke exportproducten.
Om het certificatiestelsel optimaal aan te laten sluiten bij de competenties uit de dagelijkse beroepspraktijk zijn de beroepsprofielen gedefinieerd op basis van het European e-Competence Framework (e-CF, EN 16234-1:2016). Het e-CF is ontwikkeld door het CEN, het Europese Standaardisatie Comité (www.cen.eu). Europese Standaarden worden geaccepteerd en erkend in 33 Europese landen: alle lidstaten van de Europese Unie plus IJsland, Noorwegen, Zwitserland, Kroatië, Turkije en Macedonië. Samen met het Ministerie van Veiligheid & Justitie wordt het initiatief de komende periode onder de aandacht gebracht van de Europese Commissie om een verdere uitrol in Europa mogelijk te maken.
Het publiek-private programma QIS heeft sinds mei 2013 een certificatiestelsel ontwikkeld dat geschikt is voor publieke en private organisaties en implementeert dit in Nederland. Binnen het stelsel worden eisen gesteld aan de opleidingsinstituten en worden gecertificeerde professionals opgenomen in een openbaar register van een stichting zonder winstoogmerk. De stichting is gerelateerd aan de beroepsgroep middels de beroepsvereniging PvIB. Geaccrediteerde onafhankelijke certificerende instanties beoordelen de vakbekwaamheid overeenkomstig de internationale standaard voor persoonscertificatie ISO/IEC 17024 en de ISO/IEC 27000-serie voor informatiebeveiliging.
De verscheidenheid aan binnenlandse en buitenlandse certificeringen is zeer groot. Vaak wordt aan een certificatie ook een titel gekoppeld die op een business card achter de naam geplaatst wordt. Bekende voorbeelden hiervan zijn CISSP, CISM en CISA.
Het geharmoniseerde en geüniformeerde certificatiestelsel van QIS heeft als kenmerken:
geschikt voor het beoordelen van vakbekwaamheid in de praktijk geschikt voor het ontwikkelen van opleidingen voor zowel jong talent als huidige experts van elk beroepsprofiel is de inhoud en het niveau van kennis en vaardigheden eenduidig vastgesteld overeenkomstig de Europese e-CF standaard EN16234 en het internationaal geaccepteerde onderwijskundig model van de taxonomie van Bloom kennis en vaardigheden van de beroepsprofielen zijn transparant, waardoor de inhoud van bestaande certificaten goed is te vergelijken een deel van de eisen voor permanente educatie worden controleerbaar getoetst.
QIS en PvIB werken aan een eenduidige procedure om bestaande certificaathouders vrijstelling te verlenen voor competenties die zij hebben verkregen via andere certificatieprogramma’s.
In 2017 wordt het certificatieschema verder uitgewerkt, getest en gevalideerd. De organisaties van QIS en de beroepsvereniging PvIB zijn voornemens om eind 2017 het certificatieschema voor informatiebeveiligers te implementeren in Nederland. Een onafhankelijke stichting gaat het certificatiestelsel beheren inclusief het inrichten van een openbaar register met gecertificeerde professionals. In de transitiefase worden de producten die door het project QIS zijn ontwikkeld, ondergebracht in het beheerproces van de stichting.
De kosten voor de professional van certificatie zijn momenteel nog niet bekend. De ervaringen bij andere beroepsgroepen zijn hiervoor een belangrijke indicator. In veel gevallen zijn dat kosten voor:
- het uitvoeren van een assessment door een certificatie instantie
- opname in het register
- jaarlijkse contributie.
Heeft u nog andere vragen over dit initiatief, stuur dan een e-mail naar: qis@pvib.nl
