Tag: opleiding

Het kennisniveau in relatie tot bijzondere rechten

  door

Inmiddels hebben we al verschillende malen nagedacht over functiescheiding, rechten en plichten, beveiligingsbewustwordingsprogramma’s en ga zo nog maar even door. Nu wordt het ook tijd om te gaan kijken hoe goed al die maatregelen nu eigenlijk werken en hoe goed onze medewerkers nu echt zijn. Een gevoelig onderwerp, maar wel een waar we naar moeten kijken als we het echt veilig willen maken. Opzet en bestaan is goed, maar de werking is misschien nog wel het belangrijkst.

Daarom de vraag:
Worden alleen aan medewerkers met voldoende kennis en ervaring bijzondere rechten binnen de informatiesystemen verstrekt?

De eerste dag dat een medewerker met bijzonder rechten binnen komt, laten we hem niet los gaan op het systeem. Nee, we willen hem eerst introduceren en de systemen laten leren kennen. Maar op een gegeven moment hebben we: of geen tijd meer om hem te begeleiden, of het gevoel dat hij het nu wel zou moeten kunnen. Maar zijn beide aspecten een goede graadmeter? Kunnen we er nu echt vanuit gaan dat het hem wel gaat lukken? Misschien toch te risicovol…daarom willen we weten of hij voldoende kennis heeft om in het grote zwembad te gaan zwemmen.

Als het goed is heeft hij best zijn diploma’s en certificaten behaald, ze staan mooi op zijn CV en theoretisch moet hij het inderdaad kunnen, maar hoe zit het met de praktijk? Vergelijk het eens met je eerste skivakantie. Je las misschien eerst een boek over de basis van skiën, je bekeek wat filmpjes op YouTube en ging een keertje naar een indoorbaan. Als je er echt in geloofde heb je misschien zelfs een semi-professionele set gekocht met skischoenen en latten.

Daar ging je dan, op vakantie. Om er vervolgens achter te komen dat die berg in het echt toch wel wat hoger en steiler is dan gedacht. Maar je kent de theorie, dus niet zeuren. Durfal, is het je gelukt of moest je met de eerste gipsvlucht weer terug naar huis?

Vergelijken we dit met onze organisatie dan lopen we dus risico’s als het gaat om het kennisniveau in relatie tot bijzondere rechten. Heeft die medewerker alleen het boekje gelezen of heeft hij praktijkervaring opgedaan? Kan hij het geheel zelfstandig of moeten we er toezicht op houden? Misschien willen we erg risicovolle taken wel onder 4-ogen uit laten voeren om het risico nog verder in te perken.

Klinkt misschien absurd en erg zwaar, maar ook hier gaat het er weer om dat we eerst naar de risico’s kijken. Zijn de risico’s te groot dan moeten we aanvullende maatregelen overwegen. We willen niet dat iemand met een druk op de knop ons gehele eigen vermogen op de beurs inzet…de voorbeelden zijn daar, miljarden zijn erdoor verloren en bedrijven zijn er aan failliet gegaan.

Willen we als organisatie excelleren dan kan dat alleen met medewerkers met het juiste kennisniveau (en de juiste motivatie). Is het door ons gewenste kennisniveau nog niet bereikt dan moeten we er voor zorgen dat dat alsnog gebeurt. Is het kennisniveau eenmaal bereikt dan moeten we er vervolgens voor zorgen dat het up-to-date blijft door continue scholing en bij uitdiensttreding moeten we ervoor zorgen dat de kennis tijdig wordt overgedragen.

De juiste mensen met de juiste kennis zorgt er dus niet alleen voor dat we beter beveiligd zijn maar zorgt er ook nog eens voor dat we kunnen excelleren…wat willen we nog meer?

“Certificeringen onmisbaar voor IT’er”

  door

Certificeringen worden steeds belangrijker voor IT’ers nu het baanaanbod weer aantrekt, zo stelt de Computing Technology Industry Association (CompTIA)…Vanuit het perspectief van de werkgever, hebben IT-certificeringen als voordeel dat ze valideren dat iemand nieuwe of complexe technologieën kan begrijpen, hogere productiviteit biedt en meer inzicht heeft om problemen op te lossen”, aldus vice president Tim Herbert (bron).

Uiteraard zou ik, als certificerende instelling, ook beweren dat certificaten onmisbaar zijn voor de IT’ers. De eerste reactie op www.security.nl was te verwachten: Wij van WC-eend, adviseren WC-eend. En inderdaad, daar heeft het heel veel van weg.

Verder is het natuurlijk tegenstrijdig. Omdat het baanaanbod toeneemt wordt certificering belangrijker voor de IT”er? Ehm, volgens mij werkt het andersom. Als er minder banen zijn, juist dan is certificering (voor de verkoopbaarheid van je CV) belangrijk.

Bij een groot baanaanbod is het voor de recruiter, P&O-er of HR-manager makkelijker als er profielen binnenkomen met een certificering. Dan kunnen we lekker makkelijk matchen. Totdat het moment is aangebroken dat er weer krapte is op de arbeidsmarkt, dan zijn er geen gecertificeerde IT’ers meer te vinden. Nee, dan zullen de bedrijven weer moeten komen met een juiste beloning. Dat hoeft niet gelijk met: solliciteer nu en krijg twee lease auto’s, dat soort profielen wil je toch eigenlijk juist niet in huis hebben?

Nee, je zult een interessante werkomgeving moeten creëren, je zult de mensen uitdagingen en verantwoordelijkheid moeten geven. Dan kun je ze aan je binden.

Certificeringen, natuurlijk kunnen ze nut hebben. Maar om de certificering gelijk te stellen aan het begrijpen van nieuwe of complexe technologieën, hogere productiviteit en meer inzicht in het oplossen van problemen, nee, dat gaat te ver daar is toch echt meer voor nodig dan een certificering.