Security-opleidingen zijn niet langer exclusief voorbehouden voor de techneuten van een bedrijf. Integendeel, volgens securityspecialist Steven Ackx van Ascure zijn het vooral de strategische cursussen die het momenteel goed doen: “Het management wil zelf het securitybeleid uitstippelen en minder afhankelijk zijn van de it-medewerkers.”

Securitytrainers mogen tegenwoordig niet klagen. De vraag naar opleidingen loopt ongeveer parallel met de conjunctuur. Nu het voorzichtig de goede kant op gaat, is er in heel wat bedrijven weer tijd én geld om medewerkers op cursus te sturen. “Wanneer het in ‘de business’ niet goed gaat, zijn het meestal de opleidingsbudgetten die als eerste sneuvelen”, weet Steven Ackx. “Zeker in het securitydomein is dat zo. Al zien we wel dat de algemene awareness rond het veiligheidsprobleem in de meeste bedrijven sterk toegenomen is. En dat maakt dat security niet langer alleen voor de technical experts in de bedrijfswereld belangrijk is.”

Bij Ascure worden drie types van opleidingen gegeven. De meest technische cursussen – bedoeld voor onder meer de engineers – gaan heel erg diep in op hacking, en technische beveilingsproblemen of risico’s binnen software. De ‘middle management’ opleidingen waar vooral ingegaan wordt op architecturen en digitale certificaten, mikken een niveau hoger. En nog een stap hoger zitten de strategische cursussen. “En die zijn momenteel in trek”, aldus Steven. “Die cursus neigt meer naar security governance en information security management. De cursus wordt vooral gevolgd door cio’s of aparte security managers binnen grote bedrijven die een antwoord willen op vragen als ‘hoe beheer ik?’ en ‘hoe monitor ik?’. Meer dan ooit wil een cio de mogelijke risico’s van zijn it-infrastructuur en businessprocessen kunnen inschatten en het hele securitybeleid vanuit het management laten aansturen: dingen als return on investment en business continuity zijn daarbij ook belangrijk. Een cio wil bijvoorbeeld weten hoe hij in het geval van een rampscenario de onderneming toch draaiende kan houden.”

Certificaties toch belangrijk

Bij kleinere klanten of kmo’s worden vooral de technische cursussen nog veel gevraagd. “Logisch ook”, zegt Steven daarover: “Bij een kleiner bedrijf blijft it doorgaans veel overzichtelijker en speelt de hiërarchie ook minder.” Tegenwoordig lijken de certificaties ook in trek te zijn. “Wij hosten bijvoorbeeld de CISSP-cursussen (Certified Information Systems Security Professional) die vanuit de States komen aanwaaien en waarbij cursisten na het afronden van de cursus met een volwaardige certificatie kunnen uitpakken. Voor heel wat it’ers is dat toch belangrijk om een officieel ‘diploma’ op zak te hebben om hun specifieke kennis te kunnen aantonen.”

Naast het aanleren van puur technische aspecten, mikt een securityopleiding doorgaans ook op ‘menselijke’ factoren. “Het merendeel van onze klanten zijn geen typische it-bedrijven, maar zitten vooral in de industrie of in de overheid. Heel belangrijk is het om werknemers bewust te maken van beveiligingsrisico’s. Zo hebben we bijvoorbeeld al trainingen gegeven aan mensen van De Post, De Lijn of onlangs nog Kind & Gezin. Neem nu Kind & Gezin: die organisatie is van nature niet echt met beveiliging bezig. Toch werken zij vaak met uiterst gevoelige data: van ieder kind hebben zij persoonlijke info. Voor hen hebben wij dus een complete risicoanalyse gemaakt. Voor Kind & Gezin is het zaak om hun vele medewerkers bewust te maken van de mogelijke risico’s. Dossiers mogen ze nooit zomaar laten slingeren. Ook dat is security!” z

Kristof Van der Stadt