Security start bij mensen
In de Maslow-pyramide staat de behoefte aan veiligheid en zekerheid net boven die van eten, drinken en slaap. Nog voordat we bemind en gerespecteerd willen worden, is er de behoefte aan een gevoel van veiligheid. Wellicht verklaart dit de explosieve groei in vraag naar – en dus ook aanbod van – security-oplossingen. Secvurity start echter bij mensen en dus is goed opleiden van cruciaal belang.
Waar de media ons confronteren met de ene na de andere geslaagde cyberaanval, is er een bloeiende security-industrie ontstaan die allerhande antwoorden biedt om het gevoel van ongehagen weg te nemen.
Opleidingsinstituut TSTC (voluit: Tshukudu Technology College) constateerde deze ontwikkeling al in een vroeg stadium en legt onder het motto ‘Security start bij mensen’ door middel van kwaliteitstraining de nadruk op de individuele mens. Zij zijn immers de essentie?le schakel in zowel de succesvolle implementatie en het beheer van technische security oplossingen als in de planning, uitvoer en naleving van security beleid. Kennis maakt het verschil tussen achter de feiten aanlopen en met alle winden meewaaien of weten wat men doet en proactief voorbereid zijn op een incident.
Strategische keus
TSTC maakte in 2006 de strategische beslissing om naast trainingen rond ICT-beheer (Microsoft, Linux, Cisco) ook een vendor-onafhankelijk programma securitytrainingen uit te rollen. Waar de verschillende leveranciers vaak door marketing doorspekte eigen certificeringstrajecten aanboden, besloot TSTC als één van Europa’s eerste opleiders te starten met de toen nog relatief onbekende titel 'Certified Ethical Hacker' (CEH). Het idee hierachter was om de MCSE’ers en CCNA’ers uit die tijd een training te bieden waarin zij konden ervaren hoe gemakkelijk hackers misbruik kunnen maken van hun werk en hoe zij hun IT-omgeving zelf kunnen testen op kwetsbare plekken.
Na de introductie van CEH breidde TSTC het portfolio stapsgewijs uit tot een organisatiebreed cursusprogramma op het gebied van security van inmiddels ruim dertig titels als CISSP, CISA, ISO 27005: Certified Risk Manager, Computer Hacking Forensic Investigator en Introductie SCADA beveiliging.
Met het meer volwassen worden van de markt constateren wij een steeds grotere differentiatie in functies en de bijbehorende gewenste kennis. Daarmee wordt een voor de security-sector belangrijke uitdaging zichtbaar: het samenbrengen van de wereld van de technische (security) specialist en van de meer tactisch/strategische business georie?nteerde security manager of CISO.
Opmerkelijk hierin is de ontwikkeling van de door TSTC oorspronkelijk voor systeem- en netwerkbeheerders geadopteerde Certified Ethical Hacker-training. In een willekeurige planning in 2013 zitten de IT security manager, penetratietester, applicatiebeheerder en IT auditor zij-aan-zij om een week lang te leren tegen wie zij daadwerkelijk gezamenlijk ten strijde trekken. Gedurende een week cursus blijkt hoe ver de beleving van het ene vakgebied soms afstaat van het andere en welke vooroordelen er leven over de diverse functies – 'Onze security manager weet niet waar hij over praat, hij snapt niks van techniek' tot 'Security heeft maar weinig met techniek te maken, als er maar een gedegen beleid aanwezig is.'
Aan het eind van de week groeit het eenduidige besef dat security door de zwakste schakel in de organisatie wordt beïnvloed en dat er dus, zowel beleidsmatig als technisch, werk aan de winkel is om alle neuzen de juiste kant op te krijgen.
Nooit uitgeleerd
TSTC kent een groot aantal terugkerende cursisten. Het opdoen van nieuwe security kennis en het behalen van nieuwe certificeringen blijkt voor veel deelnemers een periodiek karakter te hebben.
Bij de ene cursist komt dit voort uit gezonde, persoonlijke ambitie, bij de ander heeft het te maken met de eisen die certificerende instanties als ISC2 (CISSP) en ISACA (CISA, CISM, CRISC) stellen omtrent ‘Continuing Education’ om de behaalde security certificering te behouden.
De kritische succesfactoren blijven volgens de TSTC kwaliteit en een heldere eigen filosofie. In lastige economische tijden trachten steeds meer ‘massa opleiders’ en nieuwe toetreders een graantje van de groeiende security opleidingsmarkt mee te pikken.
Om deze concurrentie voor te blijven, steekt TSTC als specialist veel tijd in de ontwikkeling en uitrol van nieuwe trainingen en het monitoren van bestaande titels. De kwaliteit van de trainer bepaalt in de kern de kwaliteit van een training en daarbij de meerwaarde van klassikale bijeenkomsten boven het goedkopere alternatief van zelfstudie. Docenten worden geselecteerd aan de hand van drie pijlers: actuele praktijkervaring, didactische vaardigheden en kennis van certificeringseisen.
Daarnaast beschikt de opleider over gekwalificeerd personeel dat cursisten kan adviseren bij hun persoonlijke ontwikkeling op lange termijn en hen helpt bij het uitstippelen van logische opleidingstrajecten.
Een bekend issue bij klassikaal opleiden is het niveauverschil tussen cursisten onderling dat resulteert in een relatief laag niveau van kennisoverdracht om de hele groep 'erbij te kunnen houden'. Om dit te voorkomen en de trainingen compact aan te bieden (gemiddeld drie tot vijf dagen), start TSTC trainingen met een persoonlijk intakegesprek en een begeleide zelfstudieperiode voorafgaand aan de klassikale cursus. Niveauverschillen worden zo verkleind en trainers krijgen de gelegenheid op een uitdagender niveau te trainen met ruimte voor interactie, cases en hands-on laboefening. Bijkomend voordeel is dat er in veel gevallen direct aansluitend op de training examen kan worden gedaan wat de kans van slagen aanzienlijk blijkt te vergroten. De groepsgrootte blijft beperkt tot maximaal tien cursisten.
Brede markt
De behoefte aan security kennis strekt zich volgens TSTC uit over zowel de publieke- als private sector. Binnen alle lagen van de overheid constateert de opleider een behoefte aan standaardisatie en normering wat de vraag naar relevante certificeringen vergroot. Ook van externen die actief zijn in de publieke sector wordt steeds meer verwacht dat zij beschikken over internationaal erkende security titels. De tijd van zomaar wat doen lijkt hiermee definitief achter ons te liggen.
De enige sector die wat achterblijft is het Midden- en Kleinbedrijf. Security blijft daar nog vaak beperkt tot een virusscanner en een firewall. Training wordt veelal als te kostbaar beschouwd en krijgt weinig prioriteit. Dit terwijl de gevolgen van een security-incident in verband met beperkte reserves en uitwijkmogelijkheden voor het MKB soms groter zijn dan voor grotere organisaties. Dit werd pijnlijk zichtbaar bij de recente cyberaanvallen op iDeal die volgens branchevereniging thuiswinkel.org webwinkeliers tientallen miljoenen omzetverlies toebrachten. Training lost uiteraard niet alles op, maar vergroot het bewustzijn van de noodzaak om risico’s in kaart te brengen en security een dagelijks onderdeel van de business te laten zijn. Uit veel praktijkgevallen blijkt dat het niet de zogenaamde ‘Advanced Persistent Threats’ zijn waar kleine organisaties zich tegen moeten wapenen maar met name relatief goed te voorkomen aanvallen die gebruik maken van bijvoorbeeld SQL injection of Cross-Site Scripting. Trainingen zijn daarbij een logisch middel om het kennis- en bewustzijnsniveau te vergroten en de juiste acties te ondernemen om een organisatie hiertegen te beveiligen.
Toekomst
TSTC ziet kansen in meer specialistische, korte cursussen op specifieke security-terreinen. Veel cursisten die de meer generieke trainingen hebben afgerond en de bijbehorende bekende certificeringen hebben behaald, geven aan behoefte te hebben aan verdieping en praktijkoefening. Korte vervolgtrainingen onder leiding van praktijkexperts kunnen in deze behoefte voorzien. Te denken valt aan trainingen over het beveiligen van mobile devices, compliance issues van cloud computing, een verdieping in encryptie en het geavanceerd penetratietesten van webapplicaties.
De markt voor de bestaande trainingen en certificeringen lijkt echter nog lang niet verzadigd. Veel bedrijven onderkennen pas sinds kort de kloof tussen aanwezige kennis en de bedreigingen van cybercriminaliteit voor het imago en de toekomst van de organisatie. Nu steeds meer onderkend wordt dat de ontwikkelaar, tester, beheerder, manager en eindgebruiker elk hun eigen minimale security niveau nodig hebben, ligt er nog een grote potentiéle markt voor het opleiden.
Roderick Commerell is account manager Opleidingen TSTC
Security start bij mensen
In de Maslow-pyramide staat de behoefte aan veiligheid en zekerheid net boven die van eten, drinken en slaap. Nog voordat we bemind en gerespecteerd willen worden, is er de behoefte aan een gevoel van veiligheid. Wellicht verklaart dit de explosieve groei in vraag naar – en dus ook aanbod van – security-oplossingen. Secvurity start echter bij mensen en dus is goed opleiden van cruciaal belang.
Waar de media ons confronteren met de ene na de andere geslaagde cyberaanval, is er een bloeiende security-industrie ontstaan die allerhande antwoorden biedt om het gevoel van ongehagen weg te nemen.
Opleidingsinstituut TSTC (voluit: Tshukudu Technology College) constateerde deze ontwikkeling al in een vroeg stadium en legt onder het motto ‘Security start bij mensen’ door middel van kwaliteitstraining de nadruk op de individuele mens. Zij zijn immers de essentie?le schakel in zowel de succesvolle implementatie en het beheer van technische security oplossingen als in de planning, uitvoer en naleving van security beleid. Kennis maakt het verschil tussen achter de feiten aanlopen en met alle winden meewaaien of weten wat men doet en proactief voorbereid zijn op een incident.
Strategische keus
TSTC maakte in 2006 de strategische beslissing om naast trainingen rond ICT-beheer (Microsoft, Linux, Cisco) ook een vendor-onafhankelijk programma securitytrainingen uit te rollen. Waar de verschillende leveranciers vaak door marketing doorspekte eigen certificeringstrajecten aanboden, besloot TSTC als één van Europa’s eerste opleiders te starten met de toen nog relatief onbekende titel 'Certified Ethical Hacker' (CEH). Het idee hierachter was om de MCSE’ers en CCNA’ers uit die tijd een training te bieden waarin zij konden ervaren hoe gemakkelijk hackers misbruik kunnen maken van hun werk en hoe zij hun IT-omgeving zelf kunnen testen op kwetsbare plekken.
Na de introductie van CEH breidde TSTC het portfolio stapsgewijs uit tot een organisatiebreed cursusprogramma op het gebied van security van inmiddels ruim dertig titels als CISSP, CISA, ISO 27005: Certified Risk Manager, Computer Hacking Forensic Investigator en Introductie SCADA beveiliging.
Met het meer volwassen worden van de markt constateren wij een steeds grotere differentiatie in functies en de bijbehorende gewenste kennis. Daarmee wordt een voor de security-sector belangrijke uitdaging zichtbaar: het samenbrengen van de wereld van de technische (security) specialist en van de meer tactisch/strategische business georie?nteerde security manager of CISO.
Opmerkelijk hierin is de ontwikkeling van de door TSTC oorspronkelijk voor systeem- en netwerkbeheerders geadopteerde Certified Ethical Hacker-training. In een willekeurige planning in 2013 zitten de IT security manager, penetratietester, applicatiebeheerder en IT auditor zij-aan-zij om een week lang te leren tegen wie zij daadwerkelijk gezamenlijk ten strijde trekken. Gedurende een week cursus blijkt hoe ver de beleving van het ene vakgebied soms afstaat van het andere en welke vooroordelen er leven over de diverse functies – 'Onze security manager weet niet waar hij over praat, hij snapt niks van techniek' tot 'Security heeft maar weinig met techniek te maken, als er maar een gedegen beleid aanwezig is.'
Aan het eind van de week groeit het eenduidige besef dat security door de zwakste schakel in de organisatie wordt beïnvloed en dat er dus, zowel beleidsmatig als technisch, werk aan de winkel is om alle neuzen de juiste kant op te krijgen.
Nooit uitgeleerd
TSTC kent een groot aantal terugkerende cursisten. Het opdoen van nieuwe security kennis en het behalen van nieuwe certificeringen blijkt voor veel deelnemers een periodiek karakter te hebben.
Bij de ene cursist komt dit voort uit gezonde, persoonlijke ambitie, bij de ander heeft het te maken met de eisen die certificerende instanties als ISC2 (CISSP) en ISACA (CISA, CISM, CRISC) stellen omtrent ‘Continuing Education’ om de behaalde security certificering te behouden.
De kritische succesfactoren blijven volgens de TSTC kwaliteit en een heldere eigen filosofie. In lastige economische tijden trachten steeds meer ‘massa opleiders’ en nieuwe toetreders een graantje van de groeiende security opleidingsmarkt mee te pikken.
Om deze concurrentie voor te blijven, steekt TSTC als specialist veel tijd in de ontwikkeling en uitrol van nieuwe trainingen en het monitoren van bestaande titels. De kwaliteit van de trainer bepaalt in de kern de kwaliteit van een training en daarbij de meerwaarde van klassikale bijeenkomsten boven het goedkopere alternatief van zelfstudie. Docenten worden geselecteerd aan de hand van drie pijlers: actuele praktijkervaring, didactische vaardigheden en kennis van certificeringseisen.
Daarnaast beschikt de opleider over gekwalificeerd personeel dat cursisten kan adviseren bij hun persoonlijke ontwikkeling op lange termijn en hen helpt bij het uitstippelen van logische opleidingstrajecten.
Een bekend issue bij klassikaal opleiden is het niveauverschil tussen cursisten onderling dat resulteert in een relatief laag niveau van kennisoverdracht om de hele groep 'erbij te kunnen houden'. Om dit te voorkomen en de trainingen compact aan te bieden (gemiddeld drie tot vijf dagen), start TSTC trainingen met een persoonlijk intakegesprek en een begeleide zelfstudieperiode voorafgaand aan de klassikale cursus. Niveauverschillen worden zo verkleind en trainers krijgen de gelegenheid op een uitdagender niveau te trainen met ruimte voor interactie, cases en hands-on laboefening. Bijkomend voordeel is dat er in veel gevallen direct aansluitend op de training examen kan worden gedaan wat de kans van slagen aanzienlijk blijkt te vergroten. De groepsgrootte blijft beperkt tot maximaal tien cursisten.
Brede markt
De behoefte aan security kennis strekt zich volgens TSTC uit over zowel de publieke- als private sector. Binnen alle lagen van de overheid constateert de opleider een behoefte aan standaardisatie en normering wat de vraag naar relevante certificeringen vergroot. Ook van externen die actief zijn in de publieke sector wordt steeds meer verwacht dat zij beschikken over internationaal erkende security titels. De tijd van zomaar wat doen lijkt hiermee definitief achter ons te liggen.
De enige sector die wat achterblijft is het Midden- en Kleinbedrijf. Security blijft daar nog vaak beperkt tot een virusscanner en een firewall. Training wordt veelal als te kostbaar beschouwd en krijgt weinig prioriteit. Dit terwijl de gevolgen van een security-incident in verband met beperkte reserves en uitwijkmogelijkheden voor het MKB soms groter zijn dan voor grotere organisaties. Dit werd pijnlijk zichtbaar bij de recente cyberaanvallen op iDeal die volgens branchevereniging thuiswinkel.org webwinkeliers tientallen miljoenen omzetverlies toebrachten. Training lost uiteraard niet alles op, maar vergroot het bewustzijn van de noodzaak om risico’s in kaart te brengen en security een dagelijks onderdeel van de business te laten zijn. Uit veel praktijkgevallen blijkt dat het niet de zogenaamde ‘Advanced Persistent Threats’ zijn waar kleine organisaties zich tegen moeten wapenen maar met name relatief goed te voorkomen aanvallen die gebruik maken van bijvoorbeeld SQL injection of Cross-Site Scripting. Trainingen zijn daarbij een logisch middel om het kennis- en bewustzijnsniveau te vergroten en de juiste acties te ondernemen om een organisatie hiertegen te beveiligen.
Toekomst
TSTC ziet kansen in meer specialistische, korte cursussen op specifieke security-terreinen. Veel cursisten die de meer generieke trainingen hebben afgerond en de bijbehorende bekende certificeringen hebben behaald, geven aan behoefte te hebben aan verdieping en praktijkoefening. Korte vervolgtrainingen onder leiding van praktijkexperts kunnen in deze behoefte voorzien. Te denken valt aan trainingen over het beveiligen van mobile devices, compliance issues van cloud computing, een verdieping in encryptie en het geavanceerd penetratietesten van webapplicaties.
De markt voor de bestaande trainingen en certificeringen lijkt echter nog lang niet verzadigd. Veel bedrijven onderkennen pas sinds kort de kloof tussen aanwezige kennis en de bedreigingen van cybercriminaliteit voor het imago en de toekomst van de organisatie. Nu steeds meer onderkend wordt dat de ontwikkelaar, tester, beheerder, manager en eindgebruiker elk hun eigen minimale security niveau nodig hebben, ligt er nog een grote potentiéle markt voor het opleiden.
Roderick Commerell is account manager Opleidingen TSTC
