image

Hoeveel is de CISSP-certificering nog waard?

zondag 4 maart 2007, 10:06 door Redactie, 18 reacties

Er zijn wereldwijd meer dan 30.000 mensen met de titel Certified Information Systems Security Professional. Binnen Europa is Nederland met zo'n 500 gecertificeerden koploper. De titel is geldig voor drie jaar, waarna men aan hercertificering moet doen. Dit proces, dat volgens het "International Information Systems Security Certification Consortium" (ISC2) dient voor het verbeteren van de gecertificeerde, ligt onder vuur.

Steeds vaker wordt er geroepen dat de CISSP-certificering niets meer uitmaakt, en dat de hercertificering onzin is. Het is namelijk niet bedoeld voor de ontwikkeling van de gecertificeerde, maar voor het spekken van de ISC2 kas, dat de examens uitgeeft.

Wil men de CISSP titel behouden, dan moet men na drie jaar over 120 "continuing professional education" (CPE) punten beschikken. Punten die gratis verdiend kunnen worden door een artikel te schrijven, door onderwijs op het vakgebied te verzorgen, seminars bij te wonen, het volgen van opleidingen, vrijwilligerswerk en zelfstudie. Volgens critici klopt de verdeling van de CPE punten niet en de hoeveelheid werk die je moet verrichten om ze te krijgen.

CISSP Andrew Storms is van mening dat alleen mensen die op aanraden van hun werkgever de certificering hebben behaald, en er niet zelf achter staan, uiteindelijk via dit proces ontmaskerd worden. "Ik denk dat het CPE proces een zelfreinigend mechanisme is. De mensen die de certificering verlangen en waarderen zullen doorgaan. Voor degene die dit niet doen wacht de uitgang".

Reacties (18)
04-03-2007, 11:29 door egeltje
Ik heb hem al een tijdje en heb hem zelf betaald. Dat wil zeggen, een keer
het examengeld opgehoest, drie uur van mijn tijd opgeofferd en twee weken
later het papiertje in de bus gekregen.
Afgezien van het feit dat ik het een slecht examen vind, vind ik (ISC)2 als
organisatie bedroevend.
Als je met ze probeert te communiceren, krijg je of geen antwoord, of ze
sturen je naar hun website, of ze snappen je niet (en gooien dus je vraag
meteen weg).

Ze gebruiken verlopen pgp keys om hun email te ondertekenen en als je ze
daarop wijst, krijg je het antwoord dat ze niet snappen waar je het over hebt.
Als je ze vraagt hoe je een bepaald soort CPE moet opvoeren, verwijzen ze
je naar de website (waar het dus niet opstaat, anders had ik het niet hoeven
vragen :-( ).

Het CISSP certificaat is handig bij sollicitaties. Bij HRM heeft het een klank
van "Deze meneer/mevrouw weet alles van security". Dat is voor mij ook een
reden geweest om hem te halen. Over vier jaar verloopt ie. (ISC)2 bekijkt het
maar.
04-03-2007, 13:55 door Preddie
wat zijn de kosten voor dit papiertje? wil hem namelijk ook
graag halen !
04-03-2007, 14:22 door Anoniem
Door egeltje
Ik heb hem al een tijdje en heb hem zelf betaald. Dat wil zeggen, een keer
het examengeld opgehoest, drie uur van mijn tijd opgeofferd en twee
weken
later het papiertje in de bus gekregen.
Afgezien van het feit dat ik het een slecht examen vind, vind ik (ISC)2 als
organisatie bedroevend.
Als je met ze probeert te communiceren, krijg je of geen antwoord, of ze
sturen je naar hun website, of ze snappen je niet (en gooien dus je vraag
meteen weg).

Ze gebruiken verlopen pgp keys om hun email te ondertekenen en als je
ze
daarop wijst, krijg je het antwoord dat ze niet snappen waar je het over
hebt.
Als je ze vraagt hoe je een bepaald soort CPE moet opvoeren, verwijzen ze
je naar de website (waar het dus niet opstaat, anders had ik het niet
hoeven
vragen :-( ).

Het CISSP certificaat is handig bij sollicitaties. Bij HRM heeft het een klank
van "Deze meneer/mevrouw weet alles van security". Dat is
voor mij ook een
reden geweest om hem te halen. Over vier jaar verloopt ie. (ISC)2 bekijkt
het
maar.

Hallo egeltje.

Helemaal mee eens dat HRM over het algemeen denk dat een CISSP
alles weet van security. Zit natuurlijk wel een kern van waarheid in. Zonder
basiskennis van security haal je het examen niet.

Waarom vindt je het een slecht examen?
Is het echt zo dat je zonder een boek in te hebben gekeken het examen
hebt gedaan en hebt gehaald? Die drie uur voor het examen lijkt me ook
wat overdreven.
Als je het zo makkelijk haalt, vraag ik me af waarom je het papiertje nodig
had om HRM te overtuigen.

Heb je je klachten al voorgelgd aan Faisal A. Malik?

Even voor de duidelijkheid, ik heb 'm ook en ook zelf betaald.
Ik zie een beetje de zelfde soort (oeverloze) discussie ontstaan als
destijds met het MCSE.
04-03-2007, 17:33 door Anoniem
Examen kost zo een 450€. Kan wat meer of minder zijn
afhankelijk van de locatie en hoe lang op voorhand je
inschrijft.
Zie https://www.isc2.org/cgi-bin/content.cgi?category=1188
voor gedetailleerde pricing.

Ik ben mij momenteel aan het voorbereiden voor CISSP, en of
het nu waardeloos is of niet, zolang ik er maar aan bij kan
leren ben ik al content. Het systeem van de CPE credits vind
ik persoonlijk ook fantastisch, om de mensen gemotiveerd te
houden om bij te blijven. Of het in de praktijk echter
werkt, kan ik nog niet over meespreken.
04-03-2007, 22:51 door Anoniem
Welke leermiddelen gebruik je voor CISSP?
05-03-2007, 08:46 door Anoniem
CISSP heeft zo zijn voordelen en nadelen. Een daarvan is dat er bedrijven
gewoon 'alle' examens voor een land kunnen opkopen. DAT is natuurlijk
verschrikkelijk fout. Verder is inderdaad de CPE structuur zo ondoorzichtig
als stront, en ook daar schuilt weer het probleem in dat als je in een
omgeving zit waar weinig tot geen seminars worden gegeven, je heel veel
geld moet gaan uitgeven om je punten bij elkaar te sprokkelen. Want
inderdaad informatie vinden over OF iets en zoja HOEVEEL punten iets
oplevert is nogal wazig. En inderdaad is het inmiddels zoiets als MCSE
geworden. En over HRM gesproken, die mensen hebben echt de ballen
verstand van ICT, dus het enige wat die mensen kunnen doen is vragen
aan de ICT manager (die vaak nog minder weet van ICT) waaraan iemand
moet voldoen. En die roept natuurlijk CISSP. Simpel is het dan, als je een
stapel van 100 personen hebt, dat de 99 die geen CISSP op hun CV
hebben staan niet eens de selectie in komen, al hebben ze 30 jaar evaring
in ICT beveiliging, de CISSP die met mazzel het examen gehaald had op
de dag dat ie met ICT beveiliging begon, die gaat het het interview scoren..
Vervolgens valt die persoon tegen en de organisaties maar roepen "er zijn
te weinig "GEKWALIFICEERDE NEDERLANDSE IT-ERS"...
05-03-2007, 11:20 door Anoniem
Ik ben het volledig met egeltje eens. Zelf heb ik het ook al
enkele jaren, maar de toegevoegde waarde kan ik enkel bij
'marktwaarde van de consultant' plaatsen. En zelfs dat is
onterecht: als ik zie wat voor mensen het kunnen halen, en
wat hun inzicht in informatiebeveiliging is, heeft het voor
mij geen waarde meer. Zelf heb ik het niet helemaal zonder
studie gedaan: ik heb 2 tot 3 dagen gebruikt om een
CISSP-boek door te nemen. Dat was enkel nodig doordat er wat
zwaar verouderde onderwerpen worden behandeld, en enkele
onderwerpen vooral op de Amerikaanse doelgroep zijn gericht.
Er wordt 5 jaar ervaring geeist: toch zie ik mensen met
CISSP die net op de markt komen kijken.

Conclusie is dat ze zelf al proberen om alle benodigde
kennis in 1 boek te stoppen. Als dat kan, dan kan je het
examen ook halen door enkel dat boek te leren. Hiermee tonen
ze zelf al aan dat de certificering weinig inzicht geeft in
de kwalitieiten van de gecertificeerden.
05-03-2007, 11:42 door wouja
ik vind CISSP een nuttige certificering blijven. Een certificering op zich
maakt je geen beter of slimmer mens dan een ander, maar het is een
bevestiging van een instelling of instituut dat je ten minste een
basisniveau in een bepaald domein hebt bereikt. Uiteindelijk is dat
weer goed voor je werkgevers en (potentiële) klanten als je in de
dienstverlening werkt.

Het CPE proces (dus aantonen dat je relevante activiteiten blijft doen zoals
training, artikels en workshops) is ook van deze tijd en zeker zinvol op ons
vakgebied. De ontwikkeling van zowel IT in het algemeen en information
security vliegt; als je er 10 jaar uit bent, dan loop je behoorlijk achter..
en kun je je afvragen op welk niveau je nog zou kunnen meedraaien.
Het is geen waterdicht systeem, maar ik zou op dit moment moeilijk
een alternatief kunnen bedenken.
05-03-2007, 12:31 door Anoniem
Door Anoniem
Welke leermiddelen gebruik je voor CISSP?

Ik gebruik deze drie:

Official (Isc)2 Guide to the Cissp Exam (Hansche, Susan)
CISSP Certification All-in-one Exam Guide, Third Edition (Shon
Harris)
The CISSP Prep Guide, Gold Edition (Ronald L. Krutz, Russel Dean)

En hiervoor heb ik mijn Comptia Sec+ gedaan, waar ook al een 40%
overlappende leerstof inzat. Waarom 3 boeken? Ik heb er de tijd voor, en
als ik iets leer heb ik graag meerdere meningen / visies en tijd om zelf te
experimenteren.

Mensen die zeggen dat ze hun CISSP halen zonder veel moeite kan ik niet
echt begrijpen. Ik zit ook al bijna 5 jaar in de security en heb hooguit 4
overlappende domeinen van het CBK waar ik echt redelijk wat vanaf weet.
De rest is voor mij relatief nieuw qua leerstof. Oftewel heb je dus +10/15
jaar ervaring, oftewel heb je zwaar zitten foetelen volgens mij. Ik zeg niet dat
de leerstof moeilijk is, maar wel dat het VEEL is. Ik zie niet in hoe je dat op
enkele dagen tijd volledig kunt bekijken.
05-03-2007, 13:17 door joashh
Om eerlijk te zijn snap ik deze dicussie niet.

Ik ben het eens met mijn voorganger, als je er echt werk van
maakt doe je dat niet ff in een paar dagen voorbereiden.

Ik ben zelf al bijna 10 jaar actief in de nederlandse ICT
security industrie, in diverse rollen, en heb een aantal (4
tal) cbk's waar ik erg veel van weet, al zeg ik het zelf.

De rest van het materiaal is inderdaad veel studie en
leeswerk voor mij.
En dat is nu ook precies wat ISC2 probeert te bereiken, een
actieve, continue benadering van je vak gebied.

Ik denk dus persoonlijk dat CISSP wel veel waard is, en een
goede "kaf van het koren scheidings" methode is, immers, er
zijn er in NL maar 1500, tegenover een veelvoud aan 'self
proclaimed" security professionals.

CISSP is een relatief onafhankelijke test van je kennis en
kunde en is dus in die hoedanigheid veel waard.
Zeker de toevoeging van ISC2 van een aantal concentration
exams als ISSAP e.d. geven nog meer body aan het geheel.
05-03-2007, 14:31 door Anoniem
@joashh: Dat er slechts enkelen een certificering hebben zegt NIETS over
die certificering. Ik ben slechts een van de enkelen die zijn PPL hebben,
maar dat wil ook niet zeggen dat ik een Airbus kan vliegen.
05-03-2007, 14:55 door Anoniem
Door Anoniem
Ik gebruik deze drie:
Official (Isc)2 Guide to the Cissp Exam (Hansche, Susan)
....

Was dus mijn reactie, blijkbaar niet ingelogd op andere
computer.

Zoals ook mijn voorgangen zei, deze discussie is
waarschijnlijk al 100 keer voorgekomen. Het is niet omdat je
een certificaat hebt dat je het kunt, en ongekeerd. Het
blijft wat je er zelf mee doet. Mensen doen ook altijd
neerbuigend over MCSE.
Wel, ik weet ook wel dat ik dat op een week kan halen door
wat testvragen te blokken, maar wat heb ik daaraan?
Ik heb in de plaats daarvan, met meerdere jaren ervaring als
systeembeheerder, ook mijn MCSE gehaald, en heb er een
volledig jaar op liggen studeren. Ik heb alles grondig
bekeken, zitten te bestuderen, en zitten uit proberen.

Dus of mensen het nu waardeloos of niet vinden kan mij niet
schelen. Voor mij was hij zeer leerrijk, en ik heb er vele
dingen uit opgestoken. Punt!

Een certificaat kan je misschien wel een streepje voor geven
bij een sollicitatie, maar zonder de achterliggende kennis
val je toch wel door de mand.
Sommige mensen vinden certificaten in zijn geheel misschien
waardeloos, voor mij persoonlijk is het een erkenning voor
mijn kennis en harde werk. Is het een gouden toegangsticket
tot alle jobs? Nee. Zal het mij helpen bij sollicitaties?
Waarschijnlijk een beetje. Kan het mij allemaal schelen? Nee.
05-03-2007, 17:29 door Anoniem
Door Anoniem
Welke leermiddelen gebruik je voor CISSP?

http://www.testking.com/CISSP-certification-training.htm

Heerlijke discussie trouwens, net zo kansloos als over welk
OS nu 'beter' is: MS-Windows of Linux :P
05-03-2007, 17:45 door Secyourit
Zelf heb ik CISSP, CEH en CISA gedaan en gedoceerd en vind
ik de CISSP, die ik nog doceer, kwalitatief het beste. Mijn
cursisten blij, ik blij, allebei een stuk wijzer.

Ieder jaar verplicht bijleren heeft zo zijn voordelen, er
rolt nog eens wat extra's uit zoals de Cryptop of
onderzoeken in het belang van velen.
05-03-2007, 18:30 door Anoniem
Er staan trouwens wat fouten in de topic. De membercount van
30000 is al serieus oud:
https://www.isc2.org/cgi-bin/constituent_count.cgi?displaycategory=1344#cissps

In België zijn er een 200, in NL 641, en in totaal 47555.
Berekening op basis van de cijfers halverwege vorige maand.

Wel leuk. ISSAP, ISSEP en ISSMP's zijn er blijkbaar nog niet
veel. Iemand trouwens hier de toegevoegde waarde in
vergelijking met CISSP van? Eerste zou naar architectuur toe
zijn, 2de naar engineering en derde naar management. Maar
aangezien ik niemand ken met 1 van deze titels en de website
er nogal vaag rond is heb ik er ook geen idee van.
05-03-2007, 20:08 door Anoniem
Ik heb het over het algemeen niet zo op certificeringen. Er
zijn altijd zat personen zonder certificering die prima hun
werk kunnen doen, en ook net zo veel met certificering die
dat totaal niet kunnen.

Als men tijdens een sollicitatie(gesprek) enkel kijkt naar
wel/geen certificering zijn ze heel fout bezig.

Het systeem van de punten die behaald moeten heeft wel wat,
maar als ik zo lees moet dat wel een stuk duidelijker worden.
07-03-2007, 12:11 door Anoniem
Is CISSP wel een onafhankelijke certificering. Van MCSE of
CCNA is duidelijk dat ze aan een leverancier gekoppeld zijn.
Heeft ISC2 niet gewoon zakelijke belangen bij het verdienen
van CPE punten. Persoonlijk zou ik kiezen voor opleidingen
en certificeringen waar geen nadrukkelijk stempel van een
leverancier of organisatie is opgedrukt. Er zijn genoeg
Nederlandse universiteiten en HBO's die goede en
onafhankelijke opleidingen verzorgen. Zoals bijvoorbeeld de
post-HBO opleiding Internet Security van de Haagse Hogeschool.
Permanente educatie is trouwens een persoonlijke
verantwoordelijkheid. Dit moet niet bepaald worden door een
organisatie die je oplegt om puntjes bij elkaar te sprokkelen.
28-11-2012, 14:28 door Anoniem
ik snap de klachten over CISSP niet helemaal.
Het is tenminste een examen dat niet iedere knutselaar op zijn jan-boeren-fluitjes haalt.
Daarmee heeft het al meer waarde dan de meeste anderen.
Het examen is zwaar en je moet voldoende kennis hebben om het te halen.
Daarbij wordt er gekeken of je de nodige 5 jaar werkervaring hebt en moet je er mee bezig blijven.
Daar kun je over jammeren en klagen, maar dat is wel de enige manier om de kennis die het certificaat zou moeten ondersteunen te staven.
Dat die punten niet geheel kloppen zal allemaal wel, maar het tenminste beter dan niets doen.
Dat geeft waarde aan je certificaat.
Ik vind het jammer dat er $85 per jaar moet worden betaald, maar er moeten ook mensen betaald worden die het bijhouden.
Tot slot zoals hierboven vermeld: het is niet leverancier gebonden!
Het gaat dus over open standaarden en principes (naast commerciele) in plaats van alleen maar een leverancier implementatie.
Als je in de informatiebeveiliging wilt gaan werken kan ik het van harte aanbevelen.
De stof bevat een degelijke brede overview met veel aandacht voor best practices.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.