Onderwijs op het gebied van informatiebeveiliging is voor de meeste doelgroepen kwalitatief en kwantitatief ver onder de maat. Tot deze conclusie komt KPMG na een in opdracht van het Ministerie van Economische Zaken uitgevoerd onderzoek.
KPMG onderscheidt een aantal groepen met verschillende eisen. Een zeer grote doelgroep bestaat uit werknemers die in aanraking komen met IT zonder dat zij specifieke kennis of vaardigheden nodig hebben. Dit zijn bijvoorbeeld eindgebruikers, accountants en kwaliteitscontroleurs. De onderzoekers constateren dat deze groep basiskennis van informatiebeveiliging nodig heeft en ‘attitudevorming’: deze functionarissen moeten beseffen wat de waarde is van informatie en hoe ze daar op de juiste manier mee omgaan.
Het opleidingsaanbod schiet echter jammerlijk tekort. Het is zeer moeilijk te overzien en de kwaliteit varieert sterk, aldus KPMG. Universiteiten en hbo’s besteden in veel gevallen geen enkele aandacht aan informatiebeveiliging. KPMG pleit er overigens niet voor om het vak daar onder te brengen. Voor attitudevorming hebben de academische opleidingen en het hoger beroepsonderwijs gebrek aan diepgang. Bovendien is de basiskennis informatiebeveiliging voor zo veel mensen van belang dat een vaste plek in het voortgezet onderwijs de beste oplossing is. Ondersteuning van buiten moet de scholen voorzien van het juiste lesmateriaal, correcte achtergrondinformatie en bijscholing. Vooralsnog zijn de scholen namelijk geheel onbekend met de materie van informatiebeveiliging.
Cryptografie
Systeembeheerders en IT-deskundigen (de technische doelgroep) hebben niet alleen behoefte aan technische kennis en vaardigheden, maar moeten ook op de hoogte zijn van de organisatorische aspecten van informatiebeveiliging zoals het beheer van informatiesystemen en de ontwikkeling van veilige telecommunicatienetwerken. Deze gebieden komen weinig aan bod op de universiteiten en hbo’s. De opleidingen die er wel aandacht aan besteden, onderrichten de student voornamelijk in de cryptografie. Het aanbod bij de overige opleidingsinstituten is uitgebreider maar varieert sterk in kwaliteit en inhoud. KPMG noemt het bovendien "ondoorzichtig en gefragmenteerd". De onderzoekers stellen voor twee opleidingsrichtingen te ontwikkelen voor deze technische doelgroep, één gericht op het beheer van de informatievoorziening en één op ontwikkeling en onderhoud van telecommunicatienetwerken.
De laatste doelgroep bestaat uit "overige functionarissen". KPMG rekent hiertoe bijvoorbeeld de EDP-auditor en de beveiligingsfunctionaris. De eerstgenoemde heeft behoefte aan vrijwel alle aspecten van informatiebeveiliging: de technische, organisatorische, bestuurlijke en juridische. Tussen het post-academische EDP-auditing-onderwijs en het bedrijfsleven bestaan nauwe contacten, waardoor snel gereageerd wordt als er veranderingen ontstaan in de opleidingsbehoeften. Deze opleidingen voldoen aan de eisen en er is dan ook geen verandering nodig, aldus KPMG.
De beveiligingsfunctionaris heeft van alle partijen de meeste kennis en vaardigheden nodig, op alle gebieden van informatiebeveiliging. De onderzoekers concluderen dat geen opleidingen beschikbaar zijn die aan die eisen voldoen. Ze hebben te weinig diepgang en behandelen niet voldoende onderwerpen. Beveiligingsfunctionarissen zijn vaak "selfmade"-deskundigen. De opleidingen voor EDP-auditors zijn wat kwaliteit betreft voor deze functionarissen voldoende, maar de eenzijdige nadruk op controle wordt als bezwaar beschouwd.
KPMG roept op tot innige samenwerking – liefst met veel persoonlijke contacten – tussen onderwijsinstellingen en het bedrijfsleven om de nodige veranderingen tot stand te brengen.
Het opleidingsaanbod op het gebied van informatiebeveiliging voldoet niet aan de vraag vanuit het bedrijfsleven. Dat heeft voornamelijk behoefte aan kennis over de organisatorische en bestuurlijke aspecten van informatiebeveiliging. Bij de technische kennisgebieden bestaat opvallend weinig interesse voor onderwijs over het beveiligen van besturingssystemen en fysieke beveiliging.
