Ict-beveiliger moet beschermd beroep worden

Dit artikel delen:

Het Nationaal Cyber Security Centrum (NCSC) deelde deze week een plan voor een ethische code voor de securitysector. Dat moet de kwaliteit van security-professionals borgen in de snelgroeiende sector voor ict-beveiliging. Moet het vak van de security-professional beschermd worden om het kaf van het koren te scheiden?

‘We moeten professionaliseren als sector en toe naar een situatie waar cybersecurity echt een vak is met professionals waar je op kunt rekenen.’ Dat vindt senior onderzoeker van het  NCSC, Jeroen van der Ham. 

Bedrijven die een ict-beveiliger inhuren kunnen volgens hem nu niet goed nagaan of dat bedrijf of die persoon de kwaliteit biedt die ze mogen verwachten. Een systeem dat vergelijkbaar is met de registratie van zorgaanbieders of advocaten kan uitkomst bieden. Of kun je ook prima je werk doen als je niet tot een ‘Orde van ict-beveiligers’ behoort?

In hoeverre volstaan huidige certificeringen en normeringen als ISO 27001 en Certified Information Systems Security Professional (CISSP) eigenlijk? Of stroomt de sector vol met zoveel aanbieders van security-diensten dat er behoefte is aan meer duidelijkheid? Bijvoorbeeld over de capaciteiten van al die security-experts, maar ook welke kaders voor gedrag en gezamenlijke (ethische) waarden worden nagestreefd. In een code kan ook plaats zijn voor beperkingen van bevoegdheden. Zeker nu er bijvoorbeeld op het vlak van incident response steeds meer wordt samengewerkt, lijkt het steeds belangrijker te worden dat er meer duidelijkheid komt. 

Reageer:

Wat vind jij? Moet het vak van ict-beveiliger een beschermd beroep worden?

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

De kwaliteit bieden die verwacht wordt is nogal lastig want soms zijn verwachtingen niet haalbaar, de zorgaanbieder kan geen wonderen verrichten aangaande de genezing en hetzelfde geldt voor de advocaat. Beiden kunnen alleen een inspanningsgarantie geven en ik vrees dat een ICT-beveiliger uiteindelijk ook geen resultaatgaranties kan geven zoals dat NCSC geen garantie geeft in het bewaken van onze digital dijken. En ik denk daarom dat er beter manieren zijn om het kaf van het koren te scheiden want een bedrijf dat eventjes een ICT-beveiliger inhuurt heeft de beveiliging uiteindelijk niet hoog op de agenda staan. De inhuur zou meer moeten gaan om de vreemde ogen die dwingen want tekortkomingen constateren en er iets aan doen zijn twee heel verschillend dingen als we even naar de praktijk in het veld gaan.

Ooit was ik lid van een team dat audits aangaande de beveiliging deed en we deden dit niet alleen vanuit de techniek maar ook vanuit de processen, het vinden van de 'olifantenpaadjes' hierin gaat om de low-tech aanval die zich richt op de zwakste schakel. Organisaties die erg kwetsbaar zijn voor dit soort aanvallen kenmerken zich veelal door een hiërarchische bedrijfscultuur van macht en angst want in deze 'afrekencultuur' worden vooral papieren tijgers getemd omdat die niet brullen. En dat de papieren werkelijkheid vaak niet overeenkomt met de realiteit leverde vaak verbazing op bij de presentatie van de gevonden tekortkomingen. Een ieder die dat weleens gedaan heeft voelt direct de ongemakkelijke spanning die dan ontstaat want politieke spel van 'Zwarte Pieten' wordt een soort van blufpoker waarin opeens niemand zich meer herkent in gevonden tekortkomingen. Kortom, de presentatie is heel belangrijk om draagvlak te krijgen voor de feiten want het gaat om de olifant in de kamer omdat het uiteindelijk altijd de schuld van de techniek is.

De zorgaanbieder die de dominee moet genezen van een SOA heeft een zwijgplicht zoals dat de advocaat moet zwijgen over belastende feiten van zijn cliënt. De kaders voor gedrag en gezamenlijke (ethische) waarden zijn interessant als het om de definitie van professionalisering gaat want NCSC staat niet bekend om de informatiedeling. Ik meen me te herinneren dat hierover zelfs klachten zijn vanuit de Cyber Security Raad:

https://www.computable.nl/artikel/nieuws/security/7169196/250449/grapperhaus-haalt-woede-cyber-security-raad-op-de-hals.html

Hoe zit het eigenlijk met de bescherming van de klokkenluider?

In het artikel wordt gesproken over registratie van security professionals, maar eigenlijk zou je die vraag breder moeten trekken: als ik (professioneel) een stopcontact wil installeren, moet ik een erkend installateur zijn, als ik een vrachtauto wil rijden, moet ik chauffeur zijn, maar als ik software bouw voor een bank, een verzekeringsmaatschappij, voor de overheid of voor een ziekenhuis, hoef ik helemaal geen enkele opleiding of certificering aan te tonen. Iedereen die in staat is een letter in te tikken in een editor mag software schrijven voor wat dan ook. Dat is de ene kant van het verhaal. De andere kant is dat de registraties en erkenningen in het verleden meestal ingesteld zijn vanuit de beroepsgroepen om hun eigen beroep te beschermen. In sommige andere landen zie je dat uit de hand gelopen beroepsbescherming de hele economie lamlegt, omdat het de markt sluit voor nieuwe toetreders. Die kant moeten we niet op, want daar worden we niet beter van.
Het instellen van een registratieverplichting of een erkenning, moet niet vanuit de beroepsgroep zelf komen, want dan is deze meestal ingegeven door behoefte aan bescherming van de beroepsgroep, maar moet vanuit de behoefte van de maatschappij komen. Als wij, als maatschappij, het prima vinden dat iedereen zich software developer mag noemen, dan is dat prima. Hetzelfde geldt voor security professional en voor artsen en advocaten. Laat de maatschappij, vertegenwoordigd in de politiek, over de hele breedte bepalen voor welke beroepsgroepen een erkenning nodig is, zonder dat daarmee de economie teveel lamgelegd wordt.

“Om deze vraag te beantwoorden wil ik graag onze eigen ervaring als voorbeeld geven. Als leverancier van digitale certificaten zijn we al vroeg begonnen met het behalen van eerst de ISO 27001-, en vervolgens de 9001-certificering. De initiele motivatie hiervoor was dat dit door de markt werd gevraagd. Ondanks, of juist dankzij het feit dat de implementatie erg veel werk is, zorgt het zeker voor een grote mate van professionalisering. Dit is juist bij - vaak snel groeiende- IT-organisaties belangrijk. Het zorgt ervoor dat alle medewerkers op het gebied van kwaliteit en informatiebeveiling betrokken worden bij de nieuwe werkwijze en deze ook bewust toepassen. Een structurele manier van werken die ook periodiek extern gecheckt wordt, zorgt voor een zo klein mogelijke foutmarge. Een ander voorbeeld is het regelmatig onderwerpen van je eigen systemen aan pentests. Uiteraard zal niet iedere ICT-beveiliger (alle) certificeringen nodig hebben, het geeft alleen maar aan dat bepaalde standaardeisen op het gebied van kwaliteit en informatiebeveiliging door klanten van iedere ICT-beveiliger verwacht mogen worden. In dat licht is het stellen van bepaalde minimumeisen, voordat je security-diensten aan mag bieden, naar onze mening zeker nuttig.”

Het opstellen van een ethische code/gids voor de cyberbeveiligingssector is een uitdaging en complex. De sector heeft al een overvloed aan regels, voorschriften en certificeringen om de risico's voor organisaties te beperken. De invoering van verdere eisen kan de ondersteuning die de sector biedt in de weg staan in plaats van deze te versterken.

De sector heeft op dit moment onmiskenbaar te kampen met een tekort aan gekwalificeerde arbeidskrachten, dus het nadeel van de invoering van dit type certificering zou zijn dat het de kandidatenpijplijn voor cyberbeveiligingsleveranciers zou kunnen versmallen. Terwijl die toch al de moeilijke taak hebben om het veranderende cyberdreigingslandschap bij te houden, soms zonder dat ze daarvoor een volledig team hebben.

Ook is het de vraag hoe we objectief kunnen vaststellen wat "goed" is in termen van kwaliteit. Bij elk model om dit te beoordelen lopen we het risico dat het vanuit vooroordelen opgesteld wordt. Leveranciers en professionals zouden in theorie kunnen worden gehouden aan een gemeenschappelijke gedragscode (bijna een eed van Hippocrates), maar het afdwingen daarvan of zelfs het verzamelen van gegevens om de naleving daarvan te evalueren zou in de praktijk een uitdaging zijn.

Zoals in de meeste sectoren bouwen cyberbeveiligers in de loop der jaren een reputatie op, vaak onafhankelijk van de organisaties waarvoor ze werken, maar er is geen algemeen aanvaarde visie op de kwaliteit van doorlopend werk of zelfs onderzoek.

Jim Cox, Area Vice President, Benelux bij Proofpoint

Uw reactie

LET OP: U bent niet ingelogd. U kunt als gast reageren maar dan wordt uw reactie pas zichtbaar na goedkeuring door de redactie. Om uw reactie direct geplaatst te krijgen moet u eerst rechtsboven inloggen of u registreren

Vul uw naam in
Vult u een geldig e-mailadres in
Vult u een reactie in
Jaarbeurs b.v. gaat zorgvuldig en veilig om met uw persoonsgegevens. Meer informatie over hoe we omgaan met je data lees je in het privacybeleid
Als u een reactie wilt plaatsen moet u akkoord gaan met de voorwaarden

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2021-05-18T17:40:00.000Z Pim van der Beek