De afgelopen jaren heb ik genoegen gehad om menig cyber security congres mee te maken, meestal als bezoeker, maar ook regelmatig als spreker of zelfs als dagvoorzitter. Naast de vele ‘cyber security oplossingen’, is ‘cyber security educatie’ steeds vaker onderwerp van gesprek op dergelijke congressen. Is dit een gevolg van de cyber security ‘hype’ of is dit daadwerkelijk een goede ontwikkeling? In dit artikel zal ik ingaan op deze vraag.
Cyber security is een containerbegrip en bevat vele aspecten. Hetzelfde geldt ook voor de cyber security educatie. Het wordt aangeboden in vele ‘soorten en maten’ en door verschillende organisaties. Zo bestaan er organisaties die van origine (algemene) opleidingsinstituten zijn en sinds enkele jaren ook cyber security opleidingen aanbieden (categorie 1). Ook zijn er organisaties die van origine it/risk assessment expertise bezitten en nu ook cyber security opleidingen gaan aanbieden (categorie 2). Tenslotte zijn er organisaties die specifiek zijn opgericht met als doel cyber security opleidingen aan te bieden (categorie 3). Naast deze categorisering, is er ook een onderscheid te maken in opleidingen ‘zonder officiële certificering’ en opleidingen ‘met officiële certificering’. IT Security (CISSP en CISM) en ICS Security (GICSP) opleidingen zijn voorbeelden van opleidingen waaraan een officiële certificering is verbonden.
Naast de bovengenoemde categorisering, is het ook van belang om te beseffen dat er verschillen bestaan in opleidingsvormen. Zo zijn er classroom opleidingen variërend van een dag tot enkele dagen, online opleidingen, specifieke cyber security workshops, cyber security ronde tafel-sessies en combinaties van deze opleidingsvormen. Vanzelfsprekend variëren ook de kosten voor de verschillende opleidingen. De online opleidingen worden aangeboden vanaf 595 euro, terwijl de classroom sessies kunnen oplopen tot ruim vijfduizend euro.
Qua specialisme en diepgang zitten er nogal wat verschillen in de opleidingen, maar er kan in ieder geval worden geconstateerd dat er ‘voor elk wat wils’ is en dat het misschien wel lastiger is om niet ‘overloaded’ te raken van het opleidingen-aanbod dan een specifieke cyber security opleiding te kunnen vinden.
Kwaliteit
Aan de hoeveelheid en veelzijdigheid van de cyber security opleidingen ligt het dus niet, maar betekent dit dat alle opleidingen ook kwalitatief op niveau zijn? Natuurlijk draagt iedere cyber security opleiding bij aan het verhogen van de algemene cyber security awareness, maar ik ben van mening dat de kwaliteit van de cyber security opleiding wordt bepaald door de waardering van de deelnemers zelf. Het zijn namelijk de deelnemers die ervoor betalen en hier tijd in steken. Zij hebben een bepaalde verwachting vooraf en willen graag enkele concrete/toepasbare ‘take aways’ terugnemen naar hun organisatie.
Als ik dan kijk naar de verschillende cyber security opleidingen, die ik zelf heb gevolgd of waar ik aan heb meegewerkt, dan ben ik van mening dat de meeste cyber security opleidingen wel degelijk van voldoende kwaliteit zijn. Toch zijn mij enkele zaken opgevallen. De cyber security opleidingen, die door de ‘specialistische organisaties’ (categorie 3) worden verzorgd, zaten op een aanzienlijk hoger kwaliteitsniveau dan de opleidingen, die werden verzorgd door de niet-specialistische organisaties (categorie 1 en 2). Dit is ook enigszins verklaarbaar, want effectieve cyber security kennisoverdracht vereist ook daadwerkelijke in-dept kennis. Cyber security is dusdanig complex dat het er niet ‘even bijgedaan’ kan worden.
Daarnaast viel het mij op dat in de evaluaties achteraf vooral de ervaren echte specialisten meer werden gewaardeerd dan de goede sprekers/presenters, die van origine niet uit de cyber security wereld afkomstig zijn. Ondanks het feit dat de verhalen van de goede sprekers logischerwijs heel ‘smeuig’ en ‘smooth’ verliepen, waren het meestal toch de ‘ethical hackers’, ‘penetration testers’ en ‘operators’, die de meeste waarde toevoegden aan de cyber security opleidingen, volgens de deelnemers zelf.
Conclusie
Aan de hand van bovenstaande bevindingen en mijn persoonlijke ervaringen, kan ik concluderen dat cyber security educatie altijd bijdraagt aan de goede zaak en niet kan worden gezien als een hype. Er is een grote mate aan diversiteit op de markt voor wat betreft de cyber security gerelateerde opleidingen en de meeste cyber security opleidingen zijn van voldoende kwaliteit.
Tot slot wil ik toch nog één additionele opmerking maken. Cyber security educatie is essentieel voor eenieder, die in de huidige ‘cyber wereld’ werkzaam is. Het is echter wel zaak om die opleidingen te kiezen, die het beste aansluiten bij de uitvoering van het dagelijkse werk. Helaas zie ik nog veel te vaak dat er mensen cyber security opleidingen volgen, die niet of nauwelijks relevant zijn voor hun professionele functie, maar worden gevolgd ‘omdat zij waren aangewezen of er nog budget over was’. Mijn advies is dan ook dat iedere professional een jaarlijkse functieafhankelijke cyber security planning moet maken, in overleg met zijn/haar manager. Dan zou cyber security educatie nog effectiever zijn.
Prima artikel. Zoals je al zegt is Cyber Security een container begrip. Cyber security trainingen zijn vaak gericht op de mensen die in cyber security werken, zoals bijvoorbeeld de security managers. Wat echter ook erg belangrijk is zijn de trainingen die het bewustzijn vergroten van management en de medewerkers op het gebied van security en privacy. 40% van de security incidenten wordt veroorzaakt door onveilig menselijk handelen. Vaak onbewust. Goede security awareness training is erop gericht de mensen te stimuleren en motiveren tot veilig gedrag. Hierdoor worden risico’s verminderd.
Goed artikel over een onderwerp dat veel spannender is dan het lijkt. Want een belangrijk probleem (dat in dit artikel helaas -nog- niet wordt afgedekt) is het vinden van de juiste opleidingg bij een bepaalde situatie. Hoe ‘herken’ je de juiste opleiding. Is er een centraal bestand o.i.d. waarin een overzicht van de opleidingen terug te vinden is? Is er een shortlist die door belangrijke partijen wordt gehanteerd, bv door de overheid?
Bedrijven kunnen niet de juiste mensen vinden. Die met recente specialistische kennis. Toch stuurt men de medewerkers naar “niet relevante opleidingen omdat er nog budget over is”. IT security is geen hype lees ik nu. Twee dag terug las ik hier dat studenten zo’n opleiding kiezen omdat het zo “cool en sexy” is.
Business Intelligence ?