Ontbrekende securityberoepsprofielen

Informatiebeveiliging is aan het formaliseren. Dit kun je duidelijk zien aan het bestaan – en toenemend gebruik – van raamwerken en certificatieschema’s. Ook de trend dat die convergeren naar een gemeenschappelijke structuur en verzameling practices draagt er aan bij. Hier heb ik in het verleden al wat columns aan gewijd.

Wat in de praktijk nog lastig is, is hoe organisaties informatiebeveiliging inbedden en hoe dit aansluit op opleidingen. Veel beveiligingscollega’s die ik tegenkom in informatie - beveiliging zijn erin gerold op een creatieve manier. Ikzelf ook. Daar is niets mis mee. Voor de toekomst is het echter niet het model waarmee we kunnen blijven werken. Zeker niet in het licht van de ontwikkelingen die ik hierboven noem.

Er zijn een aantal rollen waarvoor duidelijke, algemene profielen bestaan. De beroepsprofielen IB 2.0 [1] beschrijven de profielen voor securitymanagement (Chief Information Security Officer, Information Security Officer) en technische beveiliging (ICT-beveiligingsmanager en drie niveaus ICT-beveiligingsspecialist). Het mooie van deze profielen is dat ze gespecificeerd worden in termen van de competenties uit het European e-Competence Framework (e-CF). Daarmee is de afstemming met andere ICT-profielen ook geduid [2]. Hiermee wordt de relatie tussen securityprofessionals en ICT-professionals duidelijk.

Deze profielen sluiten ook goed aan op de eisen die aan securitygovernance en preventieve maatregelen gesteld worden, vanuit de securityraamwerken. Ze passen minder goed op functies die securitydetectiemaatregelen en responsactiviteiten invullen, zoals de SOC-analist, het CSIRT/CERT-teamlid, de forensisch onderzoeker. Waar vallen die in het raamwerk? Is het operationeel werk? Deels. Is het support? Mogelijk, maar daaronder staan geen passende profielen.

En dan heb je nog de security-onderzoekers. Hun werkzaamheden beslaan het hele security werkveld: dreigingen, kwetsbaarheden, werking maatregelen (preventie/detectie/respons). Als ik ze zou moeten plaatsen, plaats ik ze onder support. Maar het zijn geen typische supportmedewerkers, dus wellicht is hier een hele nieuwe categorie voor nodig.

Het wordt tijd dat we ook deze profielen gestructureerd een plaats geven. Het zijn veelgevraagde functies in het werkveld, je ziet ook veel verschillen in de invulling. Mochten hier al initiatieven voor lopen, dan hoor ik er graag over!

Referenties
[1] https://www.pvib.nl/kenniscentrum/documenten/beroepsprofielen-informatiebeveiliging-2-0
[2] https://itprofessionalism.org/app/uploads/2019/11/User-guide-for-the-application-of-the-e-CF-3.0_CEN_CWA_16234-2_2014.pdf
 

Lex Borger
Security consultant bij Tesorion en oud-hoofdredacteur van iB-Magazine.
Lex is bereikbaar via lex.borger@tesorion.nl

Deze column verscheen in IB3-2024.