Tja, de meeste bedrijven willen voor een dubbeltje op de eerste rang zitten. Je krijgt echter niet de professionals met de beste kennis, als je inhuur beleid is gebaseerd op de vraag wie het minst vraagt per uur. Je kan net zoveel mensen opleiden als je wilt, maar dat zal weinig helpen indien bedrijven veel te weinig waarde hechten aan kennis en ervaring.

Yep, en om die mensen bij te scholen kost het een vermogen want security zit nooit stil en vooral in bedrijfsleven is het belangrijk om je IT'er/Systeembeheerder bij kennis te houden.
Vaak zijn vermeende cursussen en dergelijk aardig wat prijzig en wil niet elke IT'er zo een cursus doen.
Natuurlijk zou een systeembeheerder zelfstudie kunnen doen, maar dat is ook niet voor iedereen weg gelegd jammer genoeg.
Zelfstudie en dergelijke kennis is toch wel een pro/pre voor de IT wereld, oja en ook out of the box denken is handig.

We zullen het fundament van onze computers moeten aanpassen.

De huidige architecturen voldoen niet meer. We moeten os-en gaan bouwen waar het systeem inherent veilig is en de gebruiker niet verantwoordelijk is voor de gevolgen van een klik, gevolgen die de gebruiker niet kan weten vooraf.

Dat dit geen fantasie is blijkt uit HP's Polaris security voor Windows XP.

Zie: https://web.archive.org/web/20131002223734/http://www.hpl.hp.com/personal/Alan_Karp/polaris/index.html

Net as 18 jaar oud zijn, 20 jaar ervaring hebben, en in staat zijn problemen in een handomdraai op te lossen, onafhankelijk van het OS. In staat zijn om op ALLE niveaus van de organisatie te kunnen acteren en goed verslag uit te kunnen brengen. (Dat moet zo natuurlijk gaan, dat hier geen tijd aan verloren gaat) Duidelijke overredende persoonlijkheid hebben zodat men zijn of haar aanbevelingen ook opvolgt (Dat is natuurlijk de verantwoordelijkheid van de werknemer, anders comuniceert hij slecht).
Wat ook heel belangrijk is dat deze mensen en willen werken tegen MINIMUM jeugdloon, want anders is het allemaal te duur

Mwa. Kennis opbouwen. Bij hoeveel bedrijven heb je (bijna) alleen maar externe IT-ers, die vaak binnen een jaar de deur weer uit zijn ? Kennis opbouw gaat op die manier ook lastig, iig voor zover de kennis bedrijfspecifiek is. Zo is kennis vluchtig, als ook de betrokkenheid van externe IT-ers.

Gebrek aan kennis over ICT-security is een groeiend probleem in alle lagen van organisaties. Je kan je CISPP al bij een pakje boter krijgen als je een beetje kan studeren, en dat soort personen zet het hoger management dan als ICT-security expert op managing functies. Vervolgens is alles een incident, van een ping tot een mislukte poging van sql-injection. Volgt er een vertekend beeld bij het hoger management en de nieuwe budgetten en personen met onvoldoende (praktijk)kennis zijn bekend. En zo draait het molentje door tot aandeelhouders zich belazerd voelen of de leiding wenst te beseffen dat ze geen flauw benul hadden waar ze besluiten over namen. Maar vaak zijn dan de verantwoordelijke personen al gevlogen naar het volgende baantje met een opgepimpte CV op gebied van ICT-security. Om nog meer geld te verdienen. Dat laatste is waarom de meeste personen imho in de ICT-security zijn gestapt. Niet omdat het hun passie is of omdat ze er werkelijk interesse in hebben, maar om hun carriere en bankrekening een boost te geven. Om kwaliteit te krijgen heb je meer nodig dan opleidingen die een businesscase zien in het geld verdienen aan opleiden van zoveel mogelijk personen tot welke specialisatie dan ook, heb je meer nodig dan een diploma, meer nodig dan een goede babbel, meer nodig dan een beslissende functie maar zeker ook heel veel operationele ervaring, de juiste denkwijze en meer dan een carrierebelang. Maar dat lijkt steeds meer wishfull thinking hoe meer en meer personen er in de ICT-security wereld bezig gaan omdat het handel is.

Ik heb het wel vaker gezegd. Zolang de bedrijven security specialisten aanneemt op basis van wat ze dragen en hoe glad geschoren ze zijn, zal dit nooit opgelost worden.

Ik ben bij meerdere sollicitaties de deur gewezen omdat ik als hacker niet in pak wil zitten. Want daar ga ik echt niet beter van hacken. De uitstraling is dan belangrijker dan de kennis helaas....

TheYOSH

De komende tijd gaat het alleen maar erger worden. De mens zal blijven ontwikkelen en zal steeds meer afhankelijk worden van techniek en I(C)T (zelfrijdende auto's, internet of things, drones, AI, etc). Helaas zullen er altijd fouten worden gemaakt en risico's ontstaan aangezien de mens nou eenmaal fouten maakt. Zaak is dat hier zo goed mogelijk op wordt ingespeeld en ik ben bang dat (zoals reactie 3 ook aangeeft) de huidige fundamenten en protocollen niet voldoen om ons in de toekomst te voorzien van I(C)T die betrouwbaar genoeg is. Houdt er rekening mee dat alles steeds complexer zal worden. De basis zal dus robuust en simpel gehouden moeten worden. Ik ben benieuwd welke ontwikkelingen er op dit vlak de komende tijd plaats zullen vinden. Hierbij komt dat zowel het creeren van informatiebeveiligingsbewustzijn als het opleiden van security professionals en onderzoekers een belangrijke eerste stap kan zijn.

De kennis van security zit niet altijd in een opleiding.
Het is een aangeboren gaven.

En waarom zijn die IT-ers de deur zo weer uit, precies omdat er betere vis in de zee zwemt, vaak hebben bedrijven(willen) niet betalen voor een security specialist omdat het te duur is, maar ze willen wel vanalles op de website hebben en dergelijk.



Een hacker die zichzelf een hacker noemt, security specialisten hebben geen pak nodig en dat word ook niet van je gevraagd.
Je moet kunnen denken, samenwerken, oplossen, aankaarten, en een pak of uiterlijk heeft er niks mee te maken.
Dit zullen goede werkgevers ook vinden.


En dan nog, niks is 100% veilig er zal altijd wel een soort breach(vuln,exploit) plaatsvinden, ookal kan je een heel OS maken dan begint de ellende pas met het patches en verbeteren van de OS(vulns,exploits patchen)
Spoilers : Dit gaat nooit veranderen maakt niet uit hoeveel je er tegen aangooit er zal altijd een % blijven dat de goedkoopste / makkelijkste weg kiest.

Och.. of je bent al hacker te deskundig voor bepaalde organisaties, dat ze je liever buiten de deur hebben (pretendeer niet dat ik dat ben, zag het wel....).

Het werk Security is niet meer eervol, de lol is eraf. Alles word naar lagelonenlanden geoutsourced. De goedkope arbeidskrachten komen ook al jaren lang naar Nederland, voor een aantal jaren werken ze in Nederland om voor hun begrippen poen te scheppen (dit is geen onzin!). Natuurlijk tegen een belastingregeling van 30%. 30%!!! Hoe kan ik daar tegenop boksen, bruto verdienen ze minder en netto houden ze nog steeds meer over! Natuurlijk willen de werkgevers dit! De lonen blijven hierdoor laag en hun eisen blijven laag.

Je ziet tegenwoordig weinig jongeren in de Security instromen, wordt alleen maar minder.

Stel dat windows een keer helemaal veilig is, is de connectie ook altijd veilig ?,
of kunnen ze je alsnog hacken door je verstuurde data te veranderen ( man in the middle attack ) ?

Precies!
Zoek maar op "Learn about protecting your Windows 10 PC from viruses"

https://windows.microsoft.com/en-us/windows/how-protect-computer-from-viruses
https://windows.microsoft.com/en-us/windows-8/how-protect-pc-from-viruses
https://windows.microsoft.com/en-us/windows7/tips-for-protecting-your-computer-from-viruses
https://windows.microsoft.com/en-us/windows-10/getstarted-protect-your-pc

Kwestie van kennis nemen van, vertrouwen hebben in en het toepassen van de security adviezen van je leverancier.

Er is een groot verschil tussen iets (maakt niet uit welk OS) veilig inrichten (security specialisme) en iets kunnen kapot maken (de black hacker of de incidentele misbruiker van processen).
Zolang":
- Het idee leeft dat dat de zelfde werelden zijn met dezelfde soort benodigde vaardigheden
- De top van een bedrjif de verantwoording kan afschuiven of die o zo slimme hackers
- De meeste belangstelling uit gaat naar kwantiteit en gadgets ipv kwaliteit en continïtteit
Dan zal er weinig aan veranderen.

Nieuwe mensen opleiden waarvoor?
Sluit de opleiding aan? De gangbare klacht is dat oplediingen tekort schieten. Je moet het echt leren in de praktijk.
Zijn er extr (dure) mensen gewild. De opemerking dat het vooral goedkoop moet zijn dus outsourcen vaak gebeurt is daaraan strijdig.
Budgetten stijgen? Kan kloppen men besteed het graag aan nieuwe tools/speeltjes/. Daarmee is niet gezegd dat een tool ook iets verbeterd. Zonder inzicht geen uitzicht op iets behoorlijks.

En ook ik werd, ongeschoren in een spijkerbroek met shirt en sportschoenen afgewezen. Met ruim 25 jaar security ervaring waren er anderen (jonger waarschijnlijk) die tactisch en strategisch beter zouden zijn. Viel wel op dat er wel heel erg vaak naar mijn leeftijd gevraagd werd (staat niet in mijn cv, maar op basis van de werkervaring zou de conclusie moeten zijn dat ik de 40 ruim gepasseerd ben). Ach, voor sommige zaken zul je op een gegeven moment gewoon te oud worden. Daarom volg ik steeds vaker online hands on trainingen omdat zo'n enorm boek doorlezen (en onthouden wat er allemaal in staat) wel wat minder wordt :-)

Dus pas op de plaats met de uitbreiding van netwerktoepassingen, op de allereerste plaats van IoT, de grootste beveiligingsnachtmerrie aller tijden. Laat ze voorlopig nog maar voldoende domme apparaten produceren, zodat de branche op orde kan komen, voor we ons op de smart tv's, auto's, grids en weet ik wat storten.

Wat een herkenbare geluiden allemaal... Werkt het blijkbaar toch in geen een non-it-business anders dan dat men wel een snel en praktisch systeem wil maar daar niet daadwerkelijk in wil investeren. Vervolgens kunnen deze mensen ook zeer goed klagen wanneer een vergadering 3 minuten te laat begint, maar even meewegen dat je elke dag bijna standaard een half- tot een uur doorwerkt om waar je mee bezig was "af te krijgen" is weer een stap te ver.
Allemaal eenrichtingsdenken en dan uiteindelijk nog verbaasd zijn als het averechts werkt, ookal heb je het vooraf allemaal gemeld en beargumenteerd waarom wel/niet. Je bent gewoon bezig met op professionele basis tegen een stel muren te lullen. Maar ik ben klaar met het leiden van digibete kleuterklassen.

Tja, de meeste bedrijven willen voor een dubbeltje op de eerste rang zitten. Je krijgt echter niet de professionals met de beste kennis.
En blijkbaar ook niet met duur betaalde als je de gaten kaas van b.v windows ziet.
Je moet mensen met passie voor hun beroep zien te krijgen, en niet voor hun bankrekening, want waar dat
heen lijdt dat weten we nu allemaal wel.

Tja, heb eens moeten uitleggen op werk hoe routing en TCP/IP werkt.
Maar na een dag wist niemand meer de basis termen van het internet ( DNS, IPV4, IPv6, NTP, Routing informatie, IP ect )
Voor de baas zou het vaak ook allemaal toverij zijn.

Ik denk dat ontwikkelingen domweg te snel gaan. Heel veel mensen, buiten maar ook binnen het bedrijfsleven, ziten heel sterk in een modus dat nieuw cool en beter is. Ik kom af en toe jonge mensen tegen die vinden dat iets dat niet aan de laatste vormgevings- en "experience"-modes meedoet onbruikbaar is. Als je elkaar massaal gek blijft maken met het constant al je energie nodig hebt om het voor gebruikers zichtbare deel van applicaties aan de laatste rages aan te passen dan ligt het voor de hand dat je te weinig mogelijkheden overhoudt om de minder zichtbare kanten ook op orde te houden, en daar zitten vaak de beveiligingslekken.

Dat is niet hetzelfde, maar gaat qua zelfmisleiding comfortabel samen met de misvatting dat je met een training de benodigde kennis even in een medewerker kan pluggen en dat daarmee de veiligheid (of een ander kwaliteitsaspect) zonder verdere inspanning geregeld is. Dat gaat helemaal voorbij aan het feit dat inzicht opbouwen veel tijd en ervaring vergt en dat een opleiding, hoe goed ook, niet meer doet dan een basis daarvoor leggen. Hoe sneller de techniek verandert hoe moeilijker het is om die ervaring binnen een specifiek technisch domein op te bouwen en bij te houden, en hoe minder mensen er rondlopen die dat kunnen.

Het wordt steeds duidelijker dat het type brein dat je nodig hebt om een hoop IT-zaken grondig te doen precies is wat nog steeds vaak als een stoornis wordt gezien: autisme. Er zijn aanwijzingen dat veel IT'ers, of ze dat nou zelf door hebben of niet, hoog scoren op aspecten van autisme. En laten autisten nou juist een groep zijn die gemiddeld ook relatief slecht tegen die constante verandering kan. Dat is een slechte match, die wellicht mede verklaart waarom IT'ers een groep zijn met relatief veel werkstress, en te veel werkstress is dodelijk voor de kwaliteit van je werk.

Kort samengevat, hoe sneller alles maar moet veranderen hoe meer het resultaat rammelt.

Precies. Iets aangeboren hebben en dan vanaf vroeg cultiveren. Anders zou je iedere bobo een cursus Formule1 kunnen geven en direct Hamilton verslaan. Het probleem daar is echter dat HRM afdeling domme mensen zijn die alleen een dure vorm van memory kunnen spelen. Op internet zoeken ze iemand met een certificering want dat is over komen waaien uit de VS. En dan gaan ze net zo lang memory spelen met CVs totdat ze die persoon gevonden hebbem die EN 20 jaar ervaring heeft, 18 jaar oud is, drie ingeneurs titels heeft in geschiedenis, biologie en psychologie en een minor (3 weken summerschool) in de VS heeft gedaan op netwerk beheer en CISSP heeft. (Real world ervaring bij klant van me). Eerste actie van deze gast was alle externen eruit, vervangen door mensen van hetzelfde detacheringsbureau waar hij via werkte.

Een van de grootste problemen van IT en security is dat de gebruikers er niets van snappen. Ze hoeven het niet te kunnen beheren, installeren maar ik vind dat wat je gebruikt je moet BEGRIJPEN.
Tegenwoordig moet je ook weten als je een rijbewijs hebt wat onder de motorkap de ruitensproeier reservoir zit. Echter bij it en security weten de mensen niet eens wat een stuur is.

Lol, alsof jij opeens minder kennis hebt, wanneer je een pak (of ander willekeurig kledingstuk aantrekt). Of alsof jij per definitie meer kennis hebt, dan iemand die wel bereid is een pak aan te trekken richting een sollicitatie. Dat jij ervoor kiest geen pak te dragen, is geheel je eigen keuze. Het zegt in het geheel niets over kennis, het zegt enkel wat over je karakter.

Certificaten zijn goed, maar een baas moet de mensen filteren zoals bij programeer banen gebeurd moet je eerst aantal dingen kunnen laten zien in evt gesprek of een soort opdracht.
Bij netwerkbeheer moest ik laten zien met een dag tijd of ik een netwerk kon opzetten met Cisco switches en daar waren ook 2 andere netwerkbeheerders bij die mij beoordeelde ( ik had geen CCNA maar omdat ik veelal met Cisco routers en firewalls had gewerkt mocht ik 't proberen ) later heb ik CCNA gehaald omdat mijn baas dat wel een mooie aanvulling op mijn CV vond.
Zo gaat het ook bij voetbal en dergelijk werk, grotere bedrijven gaan vaak kijken op bootcamps daar pikken ze diegene eruit die naar hun wens de "beste" zijn.

Het lijkt mij stug dat je baas ccna goed op jouw cv vindt staan. Eerder op zijn cv. Hij immer "gecertificeerd personeel"... Nee, niet GOED personeel of BEKWAAM, gecertificeerd personeel.

Ik heb ees uitgerekend hoeveel tijd ik kwijt ben als ik alles wat ik de afgelopen jaren voor papierwerk gehaald heb bij zou moeten houden. 400 dagen in een jaar zou niet voldoende zijn om alles up2date te krijgen. DAT is de wereld waar we nu in werken. En dan bedoel ik van CNE tot CCIE en van CISSP tot CEH. Van CISP tot MIT C:TAP. Gewoon krankzinnige ratrace.

Sommige bazen kunnen nog veel leren, aan jezelf denken daar ga je geen bedrijf mee runnen dat miljoenen kan verdienen per jaar.
Veel bazen huren een zogenaamde specialist die het bedrijf dan weer voor de gekhoud met een nieuw verzinsel om geld van het bedrijf aftroggelen.
Als baas moet je tegenwoordig ook kennis van dit soort zaken hebben, en ook wanneer je voor de gek gehouden word.
Een baas moet kunnen filteren en zolang die dat niet kan dan leid zijn bedrijf eronder, certificaten maakt niet uit zoals diegene boven jou is die begonnen zonder certificaten werken bij het bedrijf daarna kan je altijd certificaten halen als je het leuk vind en je baas dat geen probleem vind.
Maar dit is vaak voor grotere bedrijven waar ze genoeg geld hebben om dat te betalen voor de medewerkers.

Ja er moet geduizendpoot worden en men moet als veiligheids-officier echt buiten de gebaande paden kunnen denken. Een aanvaller heeft het wat dit aangaat veel gemakkelijker, hij hoeft maar een miniem gaatje te vinden om via binnen kunnen te wurmen en het begin van het opschalen van het compromitteren van het systeem is al geschied. De beveiliger moet op alles voorbereid zijn. Hij moet zijn protocolletjes van buiten kennen, zijn reguliere expressies kunnen toepassen, de brakke zooi verwijderen. De veiligste code is die, die zo min mogelijk moet worden aangepast en geupdate, Want al geef je ze drie maanden de tijd, nog doet men het niet en blijven de updates liggen. Een soort ingebakken veiligheidsgevoel, iets zoals mij overkomt dat toch niet!. Helemaal misplaatst, maar toch. Dan is er nog een verkeerde combinatie van technologieën.
Wat maakt het uit als de software front-end beveiligd is op allerlei manieren en de boel aan de achterkant volledig open staat. En dan nog het onveilig inzetten van stagiaires, die niets mogen kosten, want ze krijgen werkervaring toch en je geeft ze gratis koffie. Dat is natuurlijk fnuikend. Goed idee maar wel met een goede instructeur ernaast waar ze het echte handwerk van leren, ja en mix windows en linux mannetjes eens goed doorheen, zodat ze elkaars blinde vlekken leren inzien. Er is nog een hele bende te doen voor we het beter op orde hebben.