Securityberoepsprofielen in de herhaling

In mijn column in iB-Magazine 3 van dit jaar gaf ik aan dat er beroepsprofielen ontbreken en dat het tijd werd dat we die een structurele plaats geven. Vrijwel meteen na publicatie kreeg ik twee rectificaties in mijn e-mailinbox. De beroepsprofielen zijn er wel! Met dank aan Fred van Noord en Jan Wessels, hier een aanvulling op mijn column, met in de hoofdrol de nieuwgevonden profielen.

Enisa heeft een European Cybersecurity Skills Framework (ECSF) gepubliceerd [1], waarin twaalf cybersecurity beroepsprofielen zijn opgenomen. Wanneer je eenmaal deze referentie hebt, dan zie je dat hier best breed in de beroepswereld naar verwezen wordt. Ik noem even Isaca en SANS als degenen die mij schaamrood op de kaken geven, omdat ik die had moeten vinden. Alle beroepsprofielen uit de Nederlandse publicatie zijn uiteraard opgenomen in het ECSF, alle profielen die ik als ontbrekend had aangegeven ook, en dan nog vijf profielen meer.

Eerst wil ik de door mij genoemde ontbrekende profielen introduceren. Ik had het over de SOC-analist en het CSIRT/CERT-teamlid. Deze zijn gecombineerd genoemd als ‘Cyber Incident Responder’. Deze functieprofielen liggen ook heel dicht tegen elkaar aan. De forensisch onderzoeker is een ‘Digital Forensics Investigator’, de security-onderzoeker is een ‘Cybersecurity Researcher’. Allen komen goed overeen met de verwachting. De vijf additionele zijn ook belangrijke rollen. De eerste die ik noem is ‘Penetration Tester’. Dit profiel heeft een overlap in competenties met de ‘Cyber Incident Responder’, ook al zijn het qua taken en vaardigheden verschillende rollen. Daar heb ik wel een beeld bij, je hebt inzicht in de creativiteit van een aanvaller hard nodig in beide profielen.

Een ‘Cyber threat intelligence specialist’ vergt invulling door iemand die analytisch van aard is, kan overzien, goed kan afstemmen met verschillende stakeholders en goed kan documenteren. Het lijkt zo een behoorlijk brede rol. De ‘Cybersecurity auditor’ is een nuttig profiel binnen een grotere organisatie en cruciaal als je wilt certificeren tegen de ISO 27001. Zoals ik het lees hoeft het geen formele auditor te zijn, zoals een RA, RE of CISA, het gaat wel weer om de vergelijkbare vaardigheden. En dan is er nog de ‘Cybersecurity educator’. Dit profiel is heel breed neergezet binnen de menselijke kant van informatiebeveiliging. Alles wat te maken heeft
met kennis opdoen en vaardigheden trainen valt hieronder, of het nu een securityopleider/-trainer is, een awareness trainer binnen een bedrijf of een academische positie in het hoger onderwijs.

De ‘Cyber legal, policy & compliance officer’ is het laatste profiel uit het ECSF. Het lijkt heel erg op de CISO, maar dan meer gefocust op compliance, en wat meer afstand van risicomanagement. Hier valt de DPO (data protection officer) in, maar het dekt in mijn ogen ook het profiel van de CISO die aan de board rapporteert of er dicht tegenaan zit, vooral door de elementen business- en securitystrategie in het profiel.

Zo is er genoeg stof om over na te denken, vooral bij het opstellen en invullen van functieprofielen in de informatiebeveiligingsorganisatie, maar ook voor het toetsen van de effectiviteit van de huidige organisatie binnen bedrijven en overheid. Uiteindelijk verwacht ik dat zo ook de opleidings- en ontwikkelmogelijkheden van security professionals helder worden.

Referentie
[1] https://www.enisa.europa.eu/publications/european-cybersecurity-skills-framework-role-profiles
 

Lex Borger
Security consultant bij Tesorion en oud-hoofdredacteur van iB-Magazine.
Lex is bereikbaar via lex.borger@tesorion.nl

Deze column verscheen in IB4-2024.