SANS: security certificeringen maken systemen niet veiliger
Veel populaire IT security certificeringen zorgen er niet voor dat de houder in staat is om systemen veiliger te maken, zo blijkt uit het onderzoek van het SANS Institute. Het onderzoek toonde aan dat respondenten met certificeringen van de Computing Technology Industry Association (CompTIA), het International Information Systems Security Certification Consortium (ook bekend als (ISC)2) en de Information Systems Audit and Control Association (ISACA), denken dat hun training er niet voor gezorgd heeft dat ze een voordeel hebben bij het uitvoeren van de dagelijkse security taken, in tegenstelling tot specifieke certificeringen van de leverancier, waarbij dit wel het geval is.
De bevindingen kunnen enorme gevolgen hebben voor IT beslissingsmakers, die vaak mensen aannemen en een salaris betalen op basis van certificeringen, en denken dat die werknemers over de juiste vaardigheden beschikken om belangrijke systemen te beschermen, aldus Alan Paller van SANS.
Certificering aanbieders zijn het niet helemaal eens met de resultaten. Lynn McNulty van (ISC)2 erkent dat security professionals kennis van produkten en platformen moeten hebben, maar dat managers een breder perspectief nodig hebben om deze activiteiten te coordineren. Daar komt bij dat specifieke certificeringen van leveranciers beperkend kunnen werken voor de carriere mogelijkheden.
specifieke platformen is niet genoeg. Dan krijg je louter technische
beveiligingsmaatregelen, en wordt helemaal voorbij gegaan aan de
grootste bedreiging: het doen en laten van DE MENS.
http://www.amazecreations.com/datafast/consultants/Dilbert.jpg
(categorisch álle; hoezo simpele gedachte) collega's met certificering geen
haar beter zijn,
en degenen mét certificering (NB ik bedoel: zo'n certificeringspapiertje, heb
ikzelf ook een stapeltje van) die bereid zijn toe te geven dat het op zich niet
heel veel zegt (maar wel wat, nl. aansluiten bij verwachtingen van klanten)
en er ook best goeien zonder papiertje zijn.
Enne, als zo'n papiertje niks voorstelt, waarom haal je ze zelf dan niet...?
Kinderhand is gauw gevuld, toch, voor de volgende salarisronde ..?
Als je geen budget hebt om mee te werken of de nodige push van het
senior management krijgt, mag je nog zoveel certificaten hebben, je
netwerk gaat er niet veiliger mee worden.
de praktijk toegepast maar dat geldt voor alles) juist bij
aan een betere security omgeving.
Ik heb de neiging om te denken dat het onderzoek nogal matig
is uitgevoerd.
denken geen goede selectie te kunnen maken. Ik vind ze
persoonlijk niet veel waarde hebben, het ligt meer aan de
persoon dan aan het stapeltje papiertjes wat ie mee brengt.
Als het al om certificaaten gaat, hecht ik zelf juist meer
waarde aan leverancier onafhankelijke certificaten, dan
certificaten specifiek van een leverancier.
Aan de ene kant heb je de certificering die over het algemene issue
security gaat, in de breedste zin van het woord (CISSP, Security +, etc. ) en
de security over product gerelateerde security (firewall, IDS, etc.)
Beiden zijn denk ik essentieel voor het bedrijfsleven, maar bij de
implementatie zul je altijd eerst een brede view moeten hebben voordat je
de specifieke onderdelen kunt invullen. Kortom je gaat iemand met alleen
een CISSP certificering niet snel je PIX firewall laten configureren. Terwijl
je aan de andere kant iemand met je PIX certificering niet je security beleid
wil laten bepalen.
- IT Security management vaardigheden met betrekking tot mensen,
middelen en procedures. Snap het bedrijfsproces, je beveiligd niet de IT maar het bedrijfsproces.
- technische kennis van specifieke platformen.
Mis je één van de twee, dan kun je nog zo goed zijn in dat ene gebied,
maar dan kun je niet beveiligen. Techneuten denken dat je alles
technisch kan dichtzetten en vergeten dat alle technische maatregelen
door mensen kunnen worden doorbroken (tenzij aanvullende manuele
controls) en mensen met alleen Security management skills lopen klem
op de techniek.
En wil je financiële systemen effectief en efficient beveiligen, dan is een
basis financiele kennis ook wel nodig. Een IT beveiligingsnerd loopt
klem omdat hij het bedrijfsproces niet begrijpt, een bedrijfseconoom
omdat hij de techniek niet snapt. Dus, ja, een bedrijfseconomisch
certificaat, een IT security certificaat, en product kennis, en wellicht
komen we er wel.
Eén enkel certificaat maakt niet veilig, maar de juiste kennis van zaken
(bevestigd door meerdere diploma's en certificaten) is nodig in IT
beveiliging, zowel een generalistische blik als diepgaande kennis.
Probleem is dat de combinatie weinig in één persoon voorkomt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime
Ben jij er klaar voor om de leiding te nemen in het bevorderen van de regionale samen-werking in de strijd tegen gedigitaliseerde criminaliteit en cybercrime? Samen met collega's, politie en regionale en landelijke partners? Dan is de dynamische rol van Ketenregisseur Gedigitaliseerde Criminaliteit en Cybercrime bij het Regionaal Samenwerkingsverband Integrale Veiligheid (RSIV) jouw op het lijf geschreven!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.