Het hebben van ervaring en de juiste vrienden is mooi meegenomen, maar hoe vind je nu de juiste certificering? Security.NL vroeg het aan de mensen die van certificeren hun beroep hebben gemaakt.

Volgens Ronald van Erven, MSc. CISSP CISA, een van de auteurs van het International Management Forum (IMF), moet je weten wat je wilt bereiken. Hoe staat de certificering internationaal aangeschreven? en wat is de "base-community", oftewel hoeveel mensen hebben een dergelijke certificering al? Zijn enkele van de vragen die je jezelf kunt stellen. Ze adviseert mensen om contact te leggen met reeds gecertificeerde personen en te kijken hoe zij het ervaren hebben.

Naast het in kaart brengen van de eigen wensen is het net zo zinvol om te onderzoeken wat de markt verlangt. “Bepaalde technologieën zijn momenteel sterk in ontwikkeling, zoals bijvoorbeeld Unified Communications (UC) en Security, zodat er veel behoefte is aan gecertificeerde UC en Security Engineers en veel engineers kiezen die richting als specialisatie,” zegt André Brugman, Manager Systems Engineers bij Cisco. Hij adviseert om te kijken welke technologie het beste aansluit bij de kennis, vaardigheden en persoonlijk ontwikkelingsplan. Lodewijk Nolke van DNV Academy – CIBIT beaamt deze aanpak. Naast het aansluiten op de persoonlijke doelstelling, moet er ook naar de objectiveerbare waarde van de certificering worden gekeken.

Net zoals met zoveel producten zijn er ook heel veel verschillende certificeringen die allemaal zeggen de beste te zijn, merkt Frank van Vliet, CTO van Certified Secure op. “Daarom is het belangrijk om te kiezen voor een certificatie die duidelijke informatie geeft over de inhoud van de certificatie, dan kunnen anderen voor zichzelf bepalen of jouw certificatie voldoet aan hun eisen.” Verder zijn er heel veel certificeringen die alleen op management- en procesniveau en niet op technische zaken certificeren. “Dat is jammer, omdat de technische zaken vaak het gebied zijn waar hackers op binnenkomen.”

De grondregel die het SANS Instituut adviseert is te onderzoeken welke processen gevolgd zijn bij het opzetten van de certificatie. Daarnaast is het ook verstandig om uit te zoeken wat andere gerespecteerde leden uit de industrie over de certificatie te zeggen hebben. “In de IT-security gaat het meestal om een combinatie van technische en praktische kennis, de industrie is dan ook het best gediend met technische specialisten,” zegt Jeff Frisk, Director of GIAC (Global Information Assurance Certification). “Het is uiteindelijk afhankelijk van je wensen en behoeften.”

Een leven lang leren

Wie eenmaal een certificering heeft gekozen en behaald kan niet achterover zitten. Je wordt tenslotte niet voor het leven gecertificeerd. Zeker niet in een industrie als de IT-security, waar het dreigingslandschap continu verandert. Nieuwe problemen en aanvalstechnieken worden constant gevonden en gepubliceerd. Het is voor een security professional dus essentieel om up-to-date te blijven, laat van Vliet weten. Toch ontkomen gecertificeerden er niet aan om hun kennis op peil te houden. “Certificaties dwingen dit automatisch af omdat ze na een periode verlopen.”

De boeken kunnen dan ook na het behalen van een certificaat niet dicht. “Life Long Learning is het devies! Leren houdt niet op met het behalen van een certificaat en geen enkele opleiding is het eindstadium,” zegt Nolke.

Zeker in het security-vakgebied volgen de veranderingen en nieuwe mogelijkheden elkaar snel op. “Het is daarom niet alleen zaak een zekere beheersing van het vakgebied te hebben, maar vooral ook je als professional in staat te stellen relevante nieuwe ontwikkelingen op hun waarde in te schatten er ervoor te zorgen bij te blijven. En door deze leercyclus te integreren in de certificering dwingt dat de gecertificeerde zich continu bij te scholen.” Volgens Nolke geeft een certificering zo altijd een actueel beeld van de competenties die de professional in huis heeft en vormt het niet een stempel uit een grijs verleden.

Bij Cisco worden mensen zelfs gemaild als hun certificering verloopt. “Zo kan een werknemer in overleg met zijn manager op tijd ruimte vrij maken in zijn agenda om op tijd de nodige opleidingen te doen en zijn certificeringen bij te houden,” aldus Brugman.

Kan een IT’er zonder certificering?

Zeker in Nederland met alle diploma’s en regels lijkt het bijna onmogelijk om als ambitieuze IT’er zonder certificering door het leven te gaan. Volgens Joop Verdonk, Managing director bij Security College, kan je zeker zonder papiertje, alleen maken mensen met een certificering zich wel zichtbaar aan de buitenwereld dat ze zich op eigen initiatief hebben ingespannen.

Ook bij het IMF zien ze geen problemen met IT’ers die niet gecertificeerd zijn. “Maar de vraag of je tegenwoordig nog een echte II-er kunt zijn zonder enige vorm van opleiding of professionele training is een tweede,” merkt van Erven op. “Indien je besluit om je leven lang bij één werkgever te blijven dan heb je geen diploma's en certificaten nodig. Maar dat is vandaag de dag niet meer realistisch.”

Brugman ziet vooral het probleem met professionals zonder papiertje maar met veel ervaring. “Er zijn professionals die door zelfstudie en veel praktijkervaring een hoog niveau bereikt hebben. Je kunt echter niet controleren of deze persoon inderdaad de juiste kennis in huis heeft. Door middel van een examen door een onafhankelijke partij kun je dit in ieder geval toetsen.”

Wat vooral een rol speelt bij het kiezen van een certificering is wat men wil gaan doen. “Niet elke IT’er heeft de behoefte aan een certificering of heeft die nodig,” merkt Frisk op. Toch kan het wel verstandig zijn om er eentje te kiezen, aangezien praktijkervaring vaak lastig te toetsen is. “Iedereen kan in potentie fantastisch autorijden, of zeggen dat ze dit kunnen, maar zou je iemand zonder rijbewijs achter het stuur van je gloednieuwe auto willen zien kruipen? Wat als je gezin op de achterbank zou zitten”

Het principe "iemand op z'n blauwe ogen geloven" is een mooi uitgangspunt, maar is vandaag de dag natuurlijk niet voldoende aldus Nolke. Volgens hem dragen aantoonbare ervaring, opleidingen en bijbehorende certificeringen bij aan de professionaliteit. En zorgen ervoor dat derden de gecertificeerde als professional herkennen. “In steeds meer omgevingen wordt daarbij om een certificering gevraagd, als een soort bewijs van verworven competenties. Soms is dat relevant, soms ook minder, en soms is het gewoon een gegeven.”