De lerende driehoek voor praktisch security-onderwijs in Associate Degrees

Door Artikel IB3-2024 - Marlon Hartskeerl 3 okt 2024

Auteur: Marlon Hartskeerl is coördinator van de Associate Degree opleiding Information Security van de Rotterdam Academy (instituut voor Associate Degrees van de Hogeschool Rotterdam). Ook is hij voorzitter van het landelijk domeinoverleg (LADO) Ad Cyber Security. Hij is te bereiken via: mhart@hr.nl.

In de afgelopen jaren zijn er verschillende hbo-securityopleidingen gestart die in twee jaar studenten op tactisch-operationeel niveau opleiden tot nieuwe securitytalenten. Deze opleidingen worden Associate Degree (AD) opleidingen genoemd. Door als organisatie samen te werken met zo’n opleiding ontstaat er een leerdriehoek waar iedere partij van profiteert. Dit artikel bespreekt de AD-securityopleidingen in Nederland en hoe uw organisatie kan profiteren van een samenwerking met zo’n AD-opleiding.

De meeste werkgevers zijn nog niet goed op de hoogte van wat Associate Degrees inhouden en welke waarde ze voor hun organisatie kunnen hebben. Zeker in securityland waar opleidingen vooral op bachelor en wo-niveau (niveau 6 en 7) domineren. De Associate Degrees zijn tweejarige hbo-opleidingen op niveau 5 en richten zich op het tactisch-operationele niveau. In de AD-opleidingen staat de praktijk centraal, zodat studenten na twee jaar direct inzetbaar zijn. En dat gebeurt al sinds 2006 toen de eerste pilots van start gingen. Inmiddels is de Associate Degree verankerd in de wet en zijn er volgens de Vereniging Hogescholen nu ongeveer 326 AD-opleidingen met in 2021 zo’n 20.331 studenten. Dat aantal stijgt nog ieder jaar en dat merken we ook in de inmiddels zes AD’s die zich specifiek richten op security.

Doelgroepen van Associate Degrees
De Associate Degree is voor twee doelgroepen aantrekkelijk. De mbo’er en de medewerker die zich graag wil bij- of omscholen om door te groeien. Associate Degrees maken het voor mbo’ers toegankelijker om door te studeren naar hbo-niveau, omdat ze opereren tussen mbo (niveau 4) en vierjarige bachelors (niveau 6). Deze studenten hebben vaak een praktische instelling en leren vooral door te doen. Associate Degrees gebruiken deze praktische mindset om kennis toe te passen in de actuele beroepspraktijk en te gebruiken voor onderbouwing bij gemaakte keuzes in opdrachten.

Associate Degrees zijn ook steeds interessanter voor werkenden. Sommige AD-securityopleidingen bieden een deeltijdopleiding aan waarin studenten in twee jaar een hbo-diploma kunnen halen.

Eisen aan de opleiding
Securitystudenten op AD-niveau gaan tijdens hun opleiding direct aan de slag. Ze werken bijvoorbeeld aan het implementeren van IB-beleid, het opzetten van risicoanalyses, het uitvoeren van pentests, of het verbeteren van incidentresponse-plannen. De opleidingseisen zijn door de overheid vastgesteld en worden gecontroleerd door de NVAO. Als hbo-opleiding dien je duidelijk te maken waartoe je precies opleidt en hoe dat past op AD-niveau. Daarvoor worden verschillende bronnen gebruikt. De belangrijkste is het werkveld. Samen met hen wordt nagegaan voor welke taken en verantwoordelijkheden de opleiding studenten precies opleidt. Een opleiding heeft vaak meerdere keren per studiejaar met haar werkveldcommissie een bijeenkomst om input uit de praktijk op te halen.

Daarnaast zijn er specifieke bronnen voor IT-opleidingen. Bijvoorbeeld de European Cyber Security Framework, die verschillende rollen in informatiebeveiliging definieert en dit koppelt aan een andere veelgebruikte bron in het onderwijs voor IT-opleidingen, namelijk de e-CF (e-competence framework)

Tot slot is er ook de HBO-i domeinbeschrijving. Een output van dit geheel is vaak een functieprofiel met taken, rollen en verantwoordelijkheden. Zo krijgen studenten een duidelijk beeld waartoe ze worden opgeleid en toekomstige werkgevers wat ze van afgestudeerden van de opleiding kunnen verwachten.

Op dit moment zijn er zes AD-opleidingen specifiek voor security in Nederland. Amsterdam (HvA) bestaat al een aantal jaar, Diemen (Inholland), Amersfoort (HU), en Rotterdam (HR) zijn dit studiejaar gestart. Leeuwarden (NHL Stenden) en Enschede (Saxion) starten in september 2024. De opleidingen komen met een landelijk domeinoverleg bij elkaar om één landelijk AD-profiel voor security te formuleren. Sommige richten zich meer op de technische kant (pentesten en/of blue teaming) voor bijvoorbeeld het SOC- of CERT-team, andere juist meer op de organisatorische kant (risicomanagement en awareness) bijvoorbeeld richting junior Information Security Officer. Wat alle opleidingen gemeen hebben is dat ze zich focussen op de vijf leerresultaten van Associate Degrees:

1. Methodisch handelen: verbinding maken van aangeleerde theorieën naar de actuele beroepspraktijk
2. Samenwerken: AD’ers moeten verbinder zijn tussen tactisch en operationeel niveau, waardoor samenwerken met anderen een belangrijk aspect is
3. Communiceren: doelgericht kunnen verbinden tussen beleid en uitvoering
4. Probleemoplossend vermogen: de AD’er analyseert alvorens te handelen door het stellen van de juiste vragen om zo een passende oplossing te realiseren
5. Lerend vermogen: de AD’er blijft zich aanpassen aan de veranderende rol in de omgeving door leervragen te delen

Hoe ziet het onderwijs van een Associate Degree eruit?
Een student aan een AD-opleiding heeft twee studiejaren de tijd om van een mbo’er, havist of deeltijder een gedegen starter te worden op de arbeidsmarkt. De eerdergenoemde securityopleidingen pakken dat op verschillende manieren aan, maar wat steeds meer bekendheid krijgt in het hbo is het formatief evalueren. Waar traditioneel gezien een onderwijsperiode lang les wordt gegeven en aan het eind een toets volgt (wat ook wel ‘door een hoepel springen’ wordt genoemd), gaat formatief evalueren ervan uit dat er vanaf dag één wordt geëvalueerd hoe ver de student is in zijn leren. Waarin een student een onder-wijsperiode de tijd heeft om middels bewijzen aan te tonen dat hij competent is voor de gestelde leerdoelen.

De student moet hierdoor sneller in een actieve houding. Daarnaast moet zij of hij iets doen met ontvangen feedback en leren bewijzen te verzamelen en te reflecteren op het leerproces. Dit zijn belangrijke zogenaamde soft skills voor de beroepspraktijk. Niet alleen omdat ze veel duurzamer zijn voor in hun carrière, denk bijvoorbeeld aan het lerende vermogen, maar ze zorgen er ook voor dat de student een verbinder wordt. Eén die doelgericht een discussie kan aangaan op tactisch niveau en met zelfvertrouwen oplossingen kan presenteren en uitvoeren op de werkvloer. Om dit te bereiken besteden Associate Degrees vanaf de eerste dag aandacht aan de praktijk. Zo krijgen studenten bijvoorbeeld de zes overtuigingsprincipes van Cialdini aangeboden en gebruiken ze deze in social engineering-scenario’s om een organisatie op kwetsbaarheden te testen. Ook doet elke student in die twee jaar één of meerdere stages. In het laatste halfjaar doet de student een afstudeerstage in de praktijk. Niet zozeer om een scriptie te schrijven met vooral onderzoek, maar vooral om een onderzoekende houding te laten zien. Daarmee toont de student startklaar te zijn voor de arbeidsmarkt en is de stagegever er vaak ook al beter van geworden.

De lerende driehoek voor optimaal praktijkonderwijs
Om de praktijk optimaal te integreren in de AD-opleiding is een sterke leerdriehoek tussen opleiding, student en organisatie nodig. Vanuit de organisatie is dit niet alleen goed voor het MVObeleid, maar ook voor een duurzame instroom van securitytalent. Dat kan enerzijds door bijvoorbeeld de vacatures rondom security nog eens goed te evalueren. Veel vacatures vereisen namelijk CISSP, CISM, SSAP, OSCP etc. en sluiten deze praktische starters daardoor nog uit. Het kan studenten afschrikken om te gaan solliciteren voor een stage of eerste baan. Anderzijds kan de duurzame instroom opgezet worden door een samenwerking aan te gaan met het onderwijs. Daarvoor zien we doorgaans een aantal varianten:

Incidentele samenwerking
Een medewerker van een organisatie geeft een gastcollege en presenteert daarin ook haar werkgever. De organisatie krijgt hierdoor naamsbekendheid bij studenten, maar weet nog niet wat de studenten precies weten en hoe ze optimaal op te nemen in de organisatie.

Periodieke samenwerking
De organisatie geeft één of meerdere onderwijsperioden een opdracht met vaak een gastcollege en het feedback geven op de prestaties van de opdracht. Studenten maken de opdracht, verdiepen zich in de organisatie en de context. De organisatie heeft een betere kijk op de kennis en vaardigheden van de studenten en krijgt wellicht een goede oplossing voor een actueel vraagstuk.

Intensieve samenwerking
Organisaties leveren niet alleen een opdracht, maar dragen actief bij aan het onderwijs. Door bijvoorbeeld in de werkveldcommissie deel te nemen en hierdoor invloed uit te oefenen op het curriculum van de opleiding en/of door hybride docenten in te zetten. Een hybride praktijkdocent geeft 0,05 tot 0,2 fte les en feedback. Ze worden vaak ook ingezet als externe beoordelaar, waardoor de opleiding beter aan kan sluiten op de wensen van de praktijk.

Om goed te kunnen opleiden hebben AD-opleidingen voortdurend contact met de praktijk nodig. Dit betreft opdrachten, het geven van feedback en praktijkdocenten. In ruil daarvoor krijgen organisaties een beter beeld van de studenten en de opleiding. Hierdoor kunnen ze tijdig advies geven over hoe de opleiding beter op de praktijk kan aansluiten. Daarnaast biedt het organisaties het voordeel om studenten gericht uit te nodigen voor stages. Ze kunnen deze studenten op een soepele manier en zonder veel risico in dienst nemen. Dit is voor alle partijen in de leerdriehoek – opleiding, organisatie en student – positief.

Dit artikel verscheen in IB3-2024.
Voor het opgemaakte artikel (pdf), klik hier onder op 'Document downloaden'.