Ronald Bos is een negentienjarige information security management (ism)-student aan De Haagse Hogeschool. Hij zit in zijn derde jaar en is op zijn zeventiende aan de opleiding begonnen. De studie richt zich op de manier waarop een organisatie zijn beveiliging zou moeten inrichten vanuit het management-oogpunt. Ondanks dat het op het management is gericht, zit er ook een technische kant aan zijn studie. ‘Je hebt bijvoorbeeld een blok over programmeren en door middel van minors kan je je hier verder in verdiepen’, legt Bos uit. ‘Het gaat er om dat je in ieder geval begrijpt wat de medewerkers in een it-afdeling doen.’
Bos kiest zelf niet voor de meer technische minoren, omdat de andere kant van it-security hem meer interesseert. Dat is ook de reden dat hij voor deze opleiding heeft gekozen. ‘Ik vind management een interessant vakgebied en met deze studie kan ik veel kanten op, omdat er veel banen beschikbaar zijn.’ Daarnaast vindt Bos het leuk dat het onderwerp cybersecurity zo actueel is. ‘Het is praktisch een verplichting om informatiebeveiliging in te richten, denk bijvoorbeeld aan de Wet Meldplicht datalekken.’
Praktijk-ervaring
De opleiding die Bos volgt is op de praktijk gericht en biedt verschillende major-blokken waarbij ict-bedrijven als opdrachtgever bij zijn betrokken. De eerste opdracht van Bos vanuit zijn opleiding was bij Ziggo, leverancier van (digitale) televisie en radio, internet en telefonie via de kabel. De studenten kregen drie maanden de tijd voor de opdracht. ‘Het doel van de opdracht was erachter komen hoe je met behulp van bepaalde technieken gevoelige informatie kan achterhalen bij een bedrijf, oftewel social engineering.’ Bos vond het leuk om met een echt bedrijf te werken, maar tegelijkertijd maakte dit de opdracht ook ingewikkelder, meent hij. ‘Ik moest onderzoek gaan doen naar de organisatie en veel zaken met het bedrijf afstemmen. Zo moest ik een vrijwaring regelen, waarbij ik met Ziggo afsprak dat ik met toestemming op bepaalde momenten mocht proberen achter gevoelige informatie te komen.’
Daarnaast was het voor hem een uitdaging om uit te zoeken wat voor soort informatie interessant is, hoe je die informatie gaat achterhalen en hoe je dat weer gaat communiceren met de werkgever. ‘Je moet dus rekening houden met de punten die je later in het echt ook tegen gaat komen.’ Bos mag niet specifiek ingaan op de opdracht, omdat hij hier een geheimhoudingsovereenkomst voor heeft getekend.
Business continuity management
Bos heeft ook een opdracht bij softwarebedrijf Inconto uitgevoerd in het kader van zijn opleiding. Bij deze opdracht hield hij zich bezig met business continuity management. Hij moest processen gaan vastleggen. Daarbij moest hij onderzoeken welke bedrijfsprocessen het meest relevant en belangrijk waren voor de organisatie. Die processen moeten namelijk het eerst weer werken als er een ramp gebeurt. ‘Op basis van de uitkomsten van dat onderzoek en de business impact hebben we een advies gegeven voor het inrichten van business continuity management.’ Volgens Bos was Inconto erg blij met het advies en zeiden ze er daadwerkelijk mee aan de slag te willen gaan.
Verder heeft Bos binnen een minor de processen van Rijkswaterstaat op een Lean-methode bekeken en in kaart gebracht. Op dit moment loopt hij stage bij Afas Software in Leusden. Hij doet daar een ISO 27001-audit, wat alles te maken heeft met procesbeschrijving, risicomanagement en business continuity management. Dat laatste, in combinatie met ISO, is ook wat hij het leukste vindt aan zijn studie.
Helpen met ISO-certificeringen
Bos heeft nog ongeveer anderhalf jaar te gaan en dan heeft hij, als alles goed gaat, zijn studie afgerond. Hij wil dan de kant van het bedrijfsleven opgaan. Bij een eindgebruiker aan het werk gaan, lijkt hem niks, omdat je dan maar met één organisatie bezig bent. ‘Het lijkt me het leukst om als consultant bedrijven te helpen hun ISO-certificering goed in te richten. Je ziet namelijk vaak dat het daarbij mis gaat bij bedrijven’, licht hij toe. ‘Vaak nemen organisaties de ISO letterlijk over, maar dat hoeft helemaal niet. In plaats daarvan moet je kijken welk deel van de ISO van toepassing is en alleen dat deel gebruiken’, adviseert hij. ‘Je helpt jezelf er niet mee als je alles gaat gebruiken.’ Als je de ISO-certificering wel goed inricht en het goed en eenvoudig documenteert, kan je het volgens hem ook echt laten werken. ‘Bovendien moet niet alleen de it-afdeling ervan af weten, maar de hele organisatie. Want de hele organisatie moet dat ook kunnen toepassen.’
Hij denkt dat hij over anderhalf jaar niet veel moeite zal hebben met het vinden van een baan. ‘Veel organisaties zijn nu in starters in de ict geïnteresseerd. Bedrijven zijn zelfs actief op zoek naar starters. Ict wordt ook een steeds belangrijker onderdeel van organisaties.’ Wat betreft de arbeidsvoorwaarden vindt hij de mogelijkheid tot thuiswerken en genoeg vakantiedagen belangrijke punten. ‘Ik hoor vaak dat je heel veel opgeroepen kan worden. Dan is het ook fijn om tijd vrij te kunnen maken en je dan echt niet bereikbaar bent.’ Bos denkt dat zijn opleiding zich voldoende heeft voorbereid op een baan. ‘Als ik na de afronding van mijn studie stop, dan heb ik al opdrachten uitgevoerd, stage gelopen, minoren gevolgd en heb ik al wat contacten en ervaring. Ik denk dat ik mijn kennis dan ook al goed kan toepassing bij mijn eerste baan.’
Ambities
Over anderhalf jaar verwacht Bos dan ook zijn studie te hebben afgerond en inmiddels in een consultant-functie te werken. ‘Ik denk dat als ik aantoon kennis te hebben en genoeg ervaring heb op het gebied van management en informatiebeveiliging, ik door kan groeien naar een officer-functie.’ Dat is dan ook wat hij graag wil. ‘Consultant. De andere keuzes zijn dat je zelf bezig zou gaan. Maar dan moet je ook veel werkervaring hebben. Dus beginnen als consultant en ervaring opdoen. De officer-kant opgaan uiteindelijk en hoger in de organisatie zitten. ‘Ik heb het voordeel dat ik door mijn opleiding de basiskennis van management al heb, maar in een echte organisatie zal dat niet precies hetzelfde in zijn werk gaan. Ik moet dus gewoon ervaring opdoen.’