/dev/null - Overig

Welk bedrijf past bij mij?

20-02-2017, 12:14 door tvo83, 17 reacties
Laatst bijgewerkt: 20-02-2017, 12:16
Met het volgende topic enigszins als uitgangspunt, heb ik een specifieke vraag waar ik niet uit kom:
https://www.security.nl/posting/500924/CISO+zonder+experts+voldoende%3F

De topicstarter geeft aan dat systeem- en netwerkbeheerders naar een security functie zijn gegroeid. Zelf ben ik er ook zo één. Prive ben ik altijd al met security bezig geweest, maar bij mijn huidige werkgever is het balletje gaan rollen:

- In 2008 bij mijn huidige werkgever (GGZ instelling met zo'n 3500 FTE) begonnen als allround Windows beheerder.
- Medio 2009 hield ik me alleen nog maar met het beheer van Linux systemen bezig.
- Medio 2010 begonnen met het ontwikkelen van maatwerk Linux oplossingen, om dure proprietary software en overpriced SLA's te vermijden.
- Medio 2012 heb ik op verzoek van mijn toenmalige leidinggevende een nieuwe CentOS webcluster opgebouwd, nadat de oude Ubuntu Server machines die ooit door een collega waren neergezet onderuit waren gehaald (slowloris en SQL injections).

Omdat ik t.b.v. de webservers allerlei security technieken heb toegepast, werd ik al snel automatisch betrokken bij alles dat met security te maken had. In 2014 werd (in de aanloop naar het aanstellen van een Security Officer) een "Werkgroep Informatiebeveiliging" in het leven geroepen. Ik ben toen gevraagd om daar zitting in te nemen. Sinds januari 2016 hebben we ook daadwerkelijk een Security Officer en wordt deze werkgroep tot op heden voortgezet. In de praktijk komt het er op neer dat onze Security Officer zich met wet- en regelgeving bezighoudt, en dat ik hem informeer en adviseer aangaande de techniek.

Wat ik inmiddels doe en heb gedaan:

- Ontwikkelen en implementeren SIEM oplossing.
- Onderzoek doen naar dreigingen. Denk o.a. aan het analyseren van onze logfiles en het onderzoeken van verdachte bestanden (bijv. reverse engineeren van nog onbekende cryptolockers en daar een impactanalyse op doen).
- Security oplossingen bedenken/ontwerpen op basis van wat ik heb gevonden.
- Inzetten maatwerk honeypots die volledig zijn afgestemd op onze situatie, waarmee we actief aan IP blacklisting doen.
- Pentesting, waarbij ik regelmatig zaken naar voren breng en de collega's scherp probeer te houden.
- Het intern versturen van phishing mails en het registreren van de klikkers, t.b.v. awareness.

En zo doe ik nog veel meer soortgelijke zaken. Dit is tot in alle lagen van het management bekend, want sommige taken die ik uitvoer worden tot op het hoogste niveau geaccordeerd. Echter ben ik op papier nog steeds systeembeheerder en mijn directe management heeft kenbaar gemaakt dit niet te willen veranderen. Sterker nog, ze willen nu een systeembeheerder zonder affiniteit met security en Linux medeverantwoordelijk maken voor de taken die ik uitvoer. Ik ben uit mijn functie gegroeid, maar dat zal binnen deze organisatie blijkbaar nooit erkend en gewaardeerd worden.

Zodoende heb ik mijn CV online gezet, zonder actief te solliciteren. Inmiddels zijn daar een stuk of acht gesprekken bij verschillende securitybedrijven en detacheerders uit voortgekomen, maar:

- Of het zijn dozenschuivers die handig door een voorgekauwde GUI kunnen klikken, maar je volledig kwijt raken wanneer je "onder de GUI duikt" en daar opmerkingen of vragen over hebt. Diepgaand onderzoeken doen ze niet, dan uploaden ze automatisch gegenereerde ZIP/TAR files naar de fabrikant. Daar werken systeembeheerders die een rename naar "security engineer" hebben gehad. Daar ga ik echt mijn uitdaging niet vinden.

- Of ze bijten zich volledig in de NEN 7510 en/of ISO 27001 vast, wat eigenlijk bar weinig over security binnen mijn aandachtsgebieden zegt. Ook daar ga ik mijn uitdaging niet vinden.

Staat security nog dusdanig in de kinderschoenen waardoor ik telkens tegen bovenstaande aanloop, of heb ik simpelweg de verkeerde bedrijven getroffen? Bij welk type bedrijf ga ik dan wel mijn uitdaging vinden, en naar wat voor vacatures zou ik moeten kijken? Ik ben het spoor inmiddels een beetje bijster :)
Reacties (17)
20-02-2017, 12:28 door Anoniem
Wat ik lees is dat je voornamelijk alles zelf gemaakt hebt. En dat is iets wat de meeste organisaties niet doen. Die willen een product hebben, waar indien mogelijk de leverancier ondersteuning op kan geven. Iets wat jij dozen schuivers noemt.
Hele diepgaande kennis is vaak niet nodig, en eerder overbodig. Daar heb je de tool voor, en eventueel de leverancier.

Wat je gemaakt hebt zal zeker heel goed werken, maar zonder certificering zegt het juist weer weinig en momenteel draait alles op jou schouders. Wat als jij morgen uitvalt? Wie moet er dan mee aan de slag? Of pakt het op?

Wel leuk om te bouwen moet ik zeggen.

Als je hier echt verder in wilt, zal je specifiek bij een security bedrijf moeten gaan werken.
20-02-2017, 13:11 door Anoniem
Wat jij meemaakt gebeurt bij (semi-)overheidsinstellingen en andere weinig flexibele werkgevers. Wel profiteren, niet waarderen. Het kan niet zo zijn dat jij bijvoorbeeld evenveel als je chef gaat verdienen. Voor jou maken ze niet even een nieuwe functie. Dat past niet in het plaatje.

Behalve een security bedrijf (een dienstenaanbieder of producent, geen handel) kun je bij een goede Internet provider gaan werken of bij een kwaliteitshoster.

Verder: grotere bedrijven in de buurt, universiteiten, banken. Solliciteren zonder vacature werkt vaak het best. Een ontvanger weet dan precies wat je kan en je hebt veel minder concurrentie.

Kijk ook eens internationaal naar ontwikkelaars van security oplossingen of commerciele distro's. Soms kun je op afstand werken.

Maak je zoekterrein niet te klein, zet je erover heen dat je niet hetzelfde gaat doen als je al gedaan hebt.

Veel mensen in jouw positie maken de transitie van praktijk naar management, bijvoorbeeld Security Officer.

Of begin je eigen bedrijf. Daarvoor heb je wel een netwerk nodig.
20-02-2017, 13:21 door tvo83
Door Anoniem: Wat ik lees is dat je voornamelijk alles zelf gemaakt hebt. En dat is iets wat de meeste organisaties niet doen. Die willen een product hebben, waar indien mogelijk de leverancier ondersteuning op kan geven. Iets wat jij dozen schuivers noemt.
Hele diepgaande kennis is vaak niet nodig, en eerder overbodig. Daar heb je de tool voor, en eventueel de leverancier.

Wat je gemaakt hebt zal zeker heel goed werken, maar zonder certificering zegt het juist weer weinig en momenteel draait alles op jou schouders. Wat als jij morgen uitvalt? Wie moet er dan mee aan de slag? Of pakt het op?

Wel leuk om te bouwen moet ik zeggen.

Als je hier echt verder in wilt, zal je specifiek bij een security bedrijf moeten gaan werken.

Klopt helemaal! Echter is het risico dat je benoemd volledig aan de zijde van mijn huidige werkgever. Ik zou mijn werkzaamheden graag in teamverband willen doen, want ik heb nu niemand om op gelijk niveau mee te sparren. Maar juist door het gebrek aan erkenning zal er nooit een volwaardig team ontstaan en zal de organisatie daarmee inderdaad een probleem hebben wanneer ik opstap/wegval. Bij een andere werkgever waarbij ik in een team zou komen, hoeft dit probleem er dus niet te zijn.

Of je alles gecertificeerd moeten hebben vraag ik me af. In beide eerdergenoemde normen worden geen harde eisen gesteld, daar lees je alleen over "passende/adequate maatregelen" waarmee je alle kanten op kunt :)
20-02-2017, 13:22 door Anoniem

- Medio 2010 begonnen met het ontwikkelen van maatwerk Linux oplossingen, om dure proprietary software en overpriced SLA's te vermijden.
- Medio 2012 heb ik op verzoek van mijn toenmalige leidinggevende een nieuwe CentOS webcluster opgebouwd, nadat de oude Ubuntu Server machines die ooit door een collega waren neergezet onderuit waren gehaald (slowloris en SQL injections).

Met alle respect - en zonder inzicht in hoe en wat je hebt gedaan. Maar dat CentOS cluster gaat tenonder zoals ook de Ubuntu Servers tijdens jou aanwezigheid ten onder zijn gegaan (niemand die jou maatwerk designs gaat overnemen - meeste engineers beginnen lekker opnieuw).

Het is goed te bedenken dat veel bedrijven geen IT/Technologie instelling zijn. De door jou geprezen diepgang van een product heeft pas zin als je een beheer team hebt voor een specifieke doos. B.v. een netwerk beheerder die bij alle klanten een bepaald merk gebruikt. Of een hosting provider die tientallen van dezelfde load balancers heeft staan. Dan gaat de extra kennis over die dozen zich terugbetalen. Voor de overige bedrijven is het vele malen aantrekkelijker dozen in huis nemen die intern of extern laten beheren en als er issues zijn dit doorspelen naar de fabrikant. Een klein team zal namelijk niet snel de dozen-bouwer overklassen.

Die SLA's zijn overpriced zoals ook een verzekering overpriced is. Voor een techneut is die niet uit te staan voor het gemiddelde management een no-brainer. Een bedrijf heeft niet alle met de kosten van vandaag te maken - maar moet ook de tent beschermen op korte en lange termijn. Het met SLA's kan veel op papier worden afgedekt en dat maakt het dan naar de bank weer makkelijker uitleggen als er wel wat misgaat.
20-02-2017, 13:26 door Erik van Straten
@mjszwo: zeer herkenbaar, met het verschil dat ik nooit in de gezondheidszorg gewerkt heb en de brug slaan naar ISO 27001 juist wel belangrijk (en boeiend) vind.

Ook ik heb zelf oplossingen ontworpen en gebouwd die lastig of niet door anderen onderhouden kunnen worden en/of die, bij nader inzien, niet alle bedoelde risico's voldoende mitigeerden (i.p.v. 1 iemand die dit "erbij" doet, heb je een team nodig voor de continuïteit en goede ideeën - in je eentje kun je niet alles weten). Aan de andere kant zijn COTS oplossingen vaak gewoon niet goed genoeg, via nutteloos tot risicoverhogend. En om de juiste spullen aan te kunnen schaffen heb je niets aan marketing glossies/beursbezoekjes en zul je je in producten moeten verdiepen (vaak tijdrovend).

Mits je niet stronteigenwijs bent (en goed kunt samenwerken) mag het niet moeilijk zijn om een baan te vinden. Benoem ook dat je goed kunt schrijven. Beeld je in wat je wilt en ga actief op zoek (van de halve dag in de file staan wordt, denk ik, niemand vrolijk dus hou daar ook rekening mee - vooral bij detacheerders kan dit er in hakken en is zonde van jouw kostbare tijd). Vermijd bedrijven en organisatie waarvan directie en leidinggevenden security zien als iets waar jij voor moet zorgen en waar zijzelf zo min mogelijk last van hebben, want daar raak je gefrustreerd.

Succes!
20-02-2017, 13:42 door Anoniem
Het intern versturen van phishing mails en het registreren van de klikkers, t.b.v. awareness.

Ik hoop dat je hier de privacy ook in het oog houdt; bij de meeste bedrijven worden dergelijke zaken extern geregeld, waarbij enkel statistische informatie wordt teruggekoppeld; je weet dus wel hoeveel mensen in dergelijke mails trappen, of er verbetering is bij herhaling van de test, en meer van dat soort zaken.

Wat je niet teruggekoppeld krijgt is de namen van de individuele medewerkers (die wel awareness info voorgeschoteld krijgen, indien ze op de link klikken). Dit is m.i. de meeste nette manier om dit soort testen uit te voeren.
20-02-2017, 14:33 door tvo83
Met alle respect - en zonder inzicht in hoe en wat je hebt gedaan. Maar dat CentOS cluster gaat tenonder zoals ook de Ubuntu Servers tijdens jou aanwezigheid ten onder zijn gegaan (niemand die jou maatwerk designs gaat overnemen - meeste engineers beginnen lekker opnieuw).

Wanneer ik hier vertrek, dan zal er naar alle waarschijnlijkheid voor externe hosting worden gekozen wegens kennisgebrek. Daar ben ik me heel goed van bewust en ik vind dat allemaal prima. Dan heb je onze (web)ontwikkelaars op de kast, maar dat is weer een heel ander verhaal.

Het is goed te bedenken dat veel bedrijven geen IT/Technologie instelling zijn. De door jou geprezen diepgang van een product heeft pas zin als je een beheer team hebt voor een specifieke doos. B.v. een netwerk beheerder die bij alle klanten een bepaald merk gebruikt. Of een hosting provider die tientallen van dezelfde load balancers heeft staan. Dan gaat de extra kennis over die dozen zich terugbetalen. Voor de overige bedrijven is het vele malen aantrekkelijker dozen in huis nemen die intern of extern laten beheren en als er issues zijn dit doorspelen naar de fabrikant. Een klein team zal namelijk niet snel de dozen-bouwer overklassen.

Dat soort bedrijven vallen ook volledig buiten mijn doelgroep v.w.b. mijn volgende werkgever.

Die SLA's zijn overpriced zoals ook een verzekering overpriced is. Voor een techneut is die niet uit te staan voor het gemiddelde management een no-brainer. Een bedrijf heeft niet alle met de kosten van vandaag te maken - maar moet ook de tent beschermen op korte en lange termijn. Het met SLA's kan veel op papier worden afgedekt en dat maakt het dan naar de bank weer makkelijker uitleggen als er wel wat misgaat.

Ik begrijp wat je bedoelt, maar die beslissingen zijn destijds door het management genomen. Ik ben nooit in de positie geweest om dit zelf te kunnen bepalen.
20-02-2017, 14:40 door tvo83
Door Anoniem:
Het intern versturen van phishing mails en het registreren van de klikkers, t.b.v. awareness.

Ik hoop dat je hier de privacy ook in het oog houdt; bij de meeste bedrijven worden dergelijke zaken extern geregeld, waarbij enkel statistische informatie wordt teruggekoppeld; je weet dus wel hoeveel mensen in dergelijke mails trappen, of er verbetering is bij herhaling van de test, en meer van dat soort zaken.

Wat je niet teruggekoppeld krijgt is de namen van de individuele medewerkers (die wel awareness info voorgeschoteld krijgen, indien ze op de link klikken). Dit is m.i. de meeste nette manier om dit soort testen uit te voeren.

Uiteraard! We loggen op basis van teams, en presenteren de uitkomsten aan de teamleiders. Vervolgens krijgen de teams met hoge clickrates een awareness training aangeboden.

We hebben destijds inderdaad een aanbod van een externe partij gekregen. Deze vroeg echter €12.000 voor het versturen van drie phishing mails. Zodoende is onze Security Officer bij mij terecht gekomen, omdat hij al vermoedde dat ik dit ook kon :)
20-02-2017, 15:10 door Computest
[Verwijderd door moderator]
20-02-2017, 17:28 door Anoniem
Als je uit je functie bent gegroeid - en je huidige werkgever je geen beter betaald alternatief biedt -, dan is het een goed idee om een andere werkgever te gaan zoeken. Daarbij is echter wel de volgende waarschuwing op z'n plaats:

Misschien is het een goed idee om je door ervaring en zelfstudie verworven ICT competenties eerst formeel vast te leggen in een EVC-certificaat, of in de vorm van een (verkorte) HBO studie, voordat je (zomaar) van werkgever gaat veranderen.

Denk goed na, voordat je een overstap overweegt. Veel werkgevers sturen helaas blind op diploma's en certificaten, en in de ICT voorkeur gaat de voorkeur dan uit naar geaccrediteerde hooggeschoolden met meer dan alleen een papiertje.

Dus het is nog niet gezegd dat je je veelal autodidactisch verworven kennis en ervaring opgedaan in de praktijk naar een andere werksituatie of opdrachtgever kunt meenemen. Dat is namelijk nog niet zo eenvoudig als het lijkt.

Je huidige werk wordt namelijk in je in feite door je huidige baas en je collega's in grote mate gegund, terwijl jij -- al dan niet terecht -- vooral de nadruk legt op het idee van je eigen inspanningen om dat werk te verwerven.

Het idee van, "Ik heb het allemaal zelf gedaan/geleerd" kan, achteraf gezien, wel eens een grote vergissing blijken. Het feit is dat vele anderen jouw werk in de eerste plaats mogelijk hebben gemaakt. Zonder hen was je nooit zover gekomen.

Onderschat nooit en te nimmer het effect van sociale-profesionele netwerken, die kunnen je maken of breken. En het komt veelvuldig voor dat met name autodidacten daarin vastlopen, omdat ze sneller een bedreiging voor de status quo vormen.

Kennis en ervaring is in de praktijk veel moeilijker overdraagbaar dan je vermoedt, omdat die zaken veelal bijzonder sterk context gebonden en politiek geladen zijn -- met name in de high tech, omdat de gunfactor daarbij sterk meespeelt.

Mocht je nu plotseling overstappen naar een (geheel) andere organisatie of afdeling, dan loop je een aanmerkelijk risico dat je huidige of vroegere collega's dat gegeven bewust of onbewust als een vorm van "verraad" opvatten.

Middels hun indirecte invloed in het gedeelde sociale-professionele netwerk, of via LinkedIn en Facebook, kunnen ze dan jouw nieuwe loopbaan gaan traineren. Kletspraat verspreidt zich tegenwoordig met de snelheid van het licht.

Gaat het daarop onverhoopt mis, en je gaat tijdelijk -- uit noodzaak -- lager gekwalificeerd werk doen dan voorheen, dan zit je mooi met de gebakken peren, want je beschikt formeel gezien niet over de "juiste papieren".

Zo behoeft het natuurlijk niet per se te gaan, maar het komt er wel op aan om je overstap op een tactvolle manier lang van te voren te plannen en geduldig uit te voeren. Heb altijd dus een goed Plan B en C voorhanden voor als het mis loopt.

Erkenning van verworven competenties
https://nl.wikipedia.org/wiki/Erkenning_van_verworven_competenties
20-02-2017, 18:26 door Anoniem
Door mjszwo:
Klopt helemaal! Echter is het risico dat je benoemd volledig aan de zijde van mijn huidige werkgever.
Ik zou het eerder anders zien. Wat jij gemaakt hebt, is een gevaar voor je werkgever. En dat bedoel ik niet slecht. Alles wat je zelf maakt, moet je zelf onderhouden en dus de kennis in huis houden. Dat is duur en een risico. Wat als er iets omvalt door een Patch X of upgrade Y. Dan moet je alles zelf uitzoeken als bedrijf.
En dit kan plaats vinden als jij op vakantie bent, en jouw vervanging toevallig ziek. En wat dan.... Of het kan al zijn dat jij weg bent bij dit bedrijf. Kennis is dan in eens weg en een vervanging is lastig te vinden die ook jou kennis heeft.

Iemand een training geven van product Y is dan een stuk gemakkelijker / goedkoper.
Zo werkt het helaas wel vaak.

Of je alles gecertificeerd moeten hebben vraag ik me af. In beide eerdergenoemde normen worden geen harde eisen gesteld, daar lees je alleen over "passende/adequate maatregelen" waarmee je alle kanten op kunt :)
Vaak in SLA, icm het bedrijfs kritische applicaties wat vaak wel ergens beschreven staat. Wat als jouw CenteOS cluster morgen crashed, als jij er niet meer bent?
Custom made applicaties is voor een bedrijf gewoon vaak een risico. Dat het soms beter werkt is een 2de.
21-02-2017, 08:58 door tvo83
Door Anoniem:
Door mjszwo:
Klopt helemaal! Echter is het risico dat je benoemd volledig aan de zijde van mijn huidige werkgever.
Ik zou het eerder anders zien. Wat jij gemaakt hebt, is een gevaar voor je werkgever. En dat bedoel ik niet slecht. Alles wat je zelf maakt, moet je zelf onderhouden en dus de kennis in huis houden. Dat is duur en een risico. Wat als er iets omvalt door een Patch X of upgrade Y. Dan moet je alles zelf uitzoeken als bedrijf.
En dit kan plaats vinden als jij op vakantie bent, en jouw vervanging toevallig ziek. En wat dan.... Of het kan al zijn dat jij weg bent bij dit bedrijf. Kennis is dan in eens weg en een vervanging is lastig te vinden die ook jou kennis heeft.

Iemand een training geven van product Y is dan een stuk gemakkelijker / goedkoper.
Zo werkt het helaas wel vaak.

Of je alles gecertificeerd moeten hebben vraag ik me af. In beide eerdergenoemde normen worden geen harde eisen gesteld, daar lees je alleen over "passende/adequate maatregelen" waarmee je alle kanten op kunt :)
Vaak in SLA, icm het bedrijfs kritische applicaties wat vaak wel ergens beschreven staat. Wat als jouw CenteOS cluster morgen crashed, als jij er niet meer bent?
Custom made applicaties is voor een bedrijf gewoon vaak een risico. Dat het soms beter werkt is een 2de.

Eens, maar dit zijn destijds allemaal beslissingen vanuit het Management Team geweest. Voorbeelden:

- Leverancier van ons EPD legt opeens de verantwoordelijkheid rondom backuppen bij de klanten. Opdracht vanuit MT om een backup oplossing te ontwikkelen.
- Leverancier VoIP systemen blijkt niet te backuppen. Opdracht vanuit MT om een backup oplossing te ontwikkelen.
- Ubuntu Server webservers bleken vulnerable. Opdracht vanuit MT om een stabiele webserver omgeving met adequate security te bouwen.
- Barracuda Message Archiver kan niet fatsoenlijk worden gebackupt (alleen mirroring). Opdracht vanuit MT om hier een maatwerk oplossing voor te ontwikkelen.
- Cisco ISE kan zijn backups alleen naar SFTP wegschrijven. Opdracht vanuit MT om ervoor te zorgen dat dit meeloopt met de bestaande Linux backupservers.

En zo kan ik nog wel even door gaan en dan ben ik nog niet eens over mijn aandeel rondom informatiebeveiliging/security begonnen. Ze weten dus heel goed waar ik mee bezig ben geweest en dit heb ik ook allemaal aan het MT en de Raad van Bestuur gepresenteerd. Enerzijds dus maximaal profiteren, anderzijds niet willen erkennen en daarom de situatie niet kunnen borgen. Waar ligt dan de oorsprong van deze risico's?
21-02-2017, 10:02 door Anoniem
In het kort, ja, de industrie staat in de kinderschoenen. En niet alleen de security industrie: Dat zijn vooralsnog zelfs vooral handelaren in keizerlijke textiel. De hele computerindustrie levert gewoon geen producten en diensten die goed genoeg zijn om op te bouwen. Ze zullen altijd blijven lekken en spontaan inelkaar klappen of anderszins de geest geven, ook als dat met betere software en hardware helemaal niet had gehoeven. De rot zit inderdaad tot in de hardware. En zoals je gezien hebt, is de ruimte om dat soort dingen aan te kaarten extreem beperkt. Wat ik hier nu zeg gaat eigenlijk de meeste lezers al te boven. En we hebben nog niet eens aangestipt waarom dat nu zo is.

(Sterker nog, een stukje historische reflectie kwam hier recent niet eens door de moderatie heen. Hele milde historische reflectie. Zo leer je zeker niet van je fouten.)

Het eindresultaat is dat iets als een EPD of een "mijnoverheid" wel mooi lijken maar uiteindelijk gegarandeerd meer ellende gaan opleveren dan ze waard zijn. Je kan de boel inperken maar ook daar ben je reeds vantevoren al ernstig in je mogelijkhedendomein en je succesbereik ingeperkt. Dat is onvermijdelijk botweg vanwege de priors. Die ellende, beginnend met de risicos, en beperkingen uiten zich meestal het sterkst voor de eindgebruiker, bv. de burger of de patient, terwijl de "aanbieder" nog wel in de middelen zit om zichzelf een succesvertelling aan te praten. Dus, afschuiven op grotere schaal, "webscale".

Wat dat voor jou betekent? Tsja, dat moet je zelf verzinnen. Wellicht je CV aanpassen zodat je weer aantrekkelijk wordt voor werkgevers met baantjes als waarmee je begon, zodat je zeg maar nog een keer de security in kan rollen.
21-02-2017, 10:09 door Anoniem
Het probleem dat je voor jezelf gecreeerd hebt bestaat uit meerdere lagen. Ten eerste heb je een functie ingevuld die niet binnen je oude werkgever bestaat. Het was noodzakelijk, maar zij zien dat liever ingevuld worden door een generalist.

Nu heb je veel voor elkaar gekregen, maar anders dan jouw woord is er niets dat het niveau aangeeft van wat je gemaakt hebt. Een buitenstaander zal hier geen inzicht in krijgen. Dit is anders dan bij commercie producten. CCIE, CISSP etc. geeft een status en kennis niveau aan. Tevens is dit veelal noodzakelijk voor certificeringen etc.

En om eerlijk te zijn, ik denk na hierboven je activiteiten gelezen te hebben, dat je een goede Linux specialist bent, maar Security is veel meer dan een server. Sterker nog, de server is gewoon een endpoint. En die worden in het algemeen beschermt door commercie producten. Ga je daarom ook bekwamen in deze. Dan wordt je keuze in bedrijven veel groter.
21-02-2017, 11:40 door Anoniem
Door Anoniem: Alles wat je zelf maakt, moet je zelf onderhouden en dus de kennis in huis houden. Dat is duur en een risico.
Ik weet dat dat heel breed zo gezien wordt, maar ik vraag me af of dat altijd terecht is. De ICT-kosten van de rijksoverheid lopen mede uit de hand omdat ze de ICT-kennis niet in huis hebben die nodig is om de uitbesteding in goede banen te leiden. En dit soort kennis haal je niet even uit een boekje of opfriscursus, je houdt hem levend door in ieder geval een deel van de ICT zelf te blijven doen.

Een ander punt is dat bij bedrijven die vanouds helemaal zelf hun automatisering hebben gedaan een hoop kennis over de bedrijfsvoering bij automatiseerders terechtkomt, die worden er door bouw en onderhoud van de software meer mee geconfronteerd dan de mensen die de systemen gebruiken en alleen de oppervlakte zien. Da's niet wenselijk maar het lijkt ook onvermijdelijk te zijn. Als zo'n bedrijf de automatisering uitbesteedt gooien ze een hoop parate kennis over hun eigen bedrijfsvoering de deur uit. Een vroegere werkgever van me heeft dat gedaan, en het bedrijf waar het aan is uitbesteed is druk bezig het weer aan India uit te besteden. Wat blijft er dan van die kennis over? Hoe zit het met alle (nogal complexe) wetgeving van Nederland en andere Europese landen waar die systemen aan moeten voldoen?

En dan heb ik ook nog pakketten meegemaakt waarin een specifieke functie werd ondergebracht die zo'n zwaar implementatietraject opleverden dat ik me afvroeg of we het niet beter en goedkoper zelf hadden kunnen bouwen. Dergelijke pakketten bleken meer dan eens een datamodel te hebben dat groter was dan het hele corporate datamodel van het bedrijf waar ze werden ingezet. Voor maar een klein brokje van de totale functionaliteit dus. Dat zit zo in elkaar omdat dergelijke pakketten enerzijds pretenderen een kant-en-klare oplossing te zijn en tegelijkertijd ingericht zijn om aan de meest uiteenlopende wensen van klanten te voldoen. Ik kan zeker niet uitsluiten dat zoiets per saldo uiteindelijk toch goedkoper is dan wat je zelf bouwt, maar het gebeurt op een manier die bij mij alarmbellen doet afgaan, ik ben bang dat een dergelijke overdaad aan complexiteit, al is die door een ander gebouwd, tegen je gaat werken.
21-02-2017, 13:27 door tvo83
Door Anoniem: Het probleem dat je voor jezelf gecreeerd hebt bestaat uit meerdere lagen. Ten eerste heb je een functie ingevuld die niet binnen je oude werkgever bestaat. Het was noodzakelijk, maar zij zien dat liever ingevuld worden door een generalist.

Dat kan. Maar wanneer ik vertrek, zouden ze dan een generalist vinden die mijn werkzaamheden op gelijk niveau kan uitvoeren? Of een specialist die deze werkzaamheden voor de waardering van een generalist wil gaan doen? Indien beide nee, dan klopt er ergens iets niet.

Nu heb je veel voor elkaar gekregen, maar anders dan jouw woord is er niets dat het niveau aangeeft van wat je gemaakt hebt. Een buitenstaander zal hier geen inzicht in krijgen. Dit is anders dan bij commercie producten. CCIE, CISSP etc. geeft een status en kennis niveau aan. Tevens is dit veelal noodzakelijk voor certificeringen etc.

Daar ben ik niet bang voor. Ik had al ruimschoots bij één van de bedrijven kunnen werken die me hebben gevraagd langs te komen, en dan heb ik nog niet eens zelf gesolliciteerd. Dan was ik in de weer geweest met Palo Alto's, F5 BIG-IP's, Netscalers, etc, dus de commerciële producten waar je op doelt. Maar dat is niet wat ik zoek.

En om eerlijk te zijn, ik denk na hierboven je activiteiten gelezen te hebben, dat je een goede Linux specialist bent, maar Security is veel meer dan een server.

Je moet het wel in de juiste context proberen te lezen. Ik ben van Windows beheerder, naar Linuxbeheerder, naar Linuxontwikkelaar, richting informatiebeveiliging/security gegroeid. De focus wordt nu teveel op mijn toenmalige Linux ontwikkelingen gelegd.

Sterker nog, de server is gewoon een endpoint. En die worden in het algemeen beschermt door commercie producten.

Dat is wel heel kort door de bocht. Wanneer je een fatsoenlijk securitymodel hebt, dan dienen je endpoints by-default secure te worden ingericht. Encryptie wordt steeds meer gemeengoed, waardoor IPS/IDS'en het verkeer niet kunnen inspecteren en SSL-offloading is lang niet overal toepasbaar. Bij end-to-end encryptie ga je al helemaal nat. Schrijf een stukje "malware" dat over TCP/443 een SSL-based tunnel opbouwt en waarbij een eventuele proxy gehandhaafd wordt (simpel uit het registry te vissen), en ik fiets op mijn gemak langs o.a. Cisco Firepower. Getest in de praktijk. Op dat moment kun je niet meer spreken van "gewoon een endpoint". Security dient op alle lagen in acht te worden genomen en dat begint al bij inrichten en ontwikkelen. Maar nu gaan we wel erg off-topic, dus ik wil het hierbij laten.

Ga je daarom ook bekwamen in deze. Dan wordt je keuze in bedrijven veel groter.

Nee, dat wil ik juist niet. Ik ben me er van bewust dat mijn scope daarmee kleiner wordt, maar dat is dan ook precies de reden van dit topic.
21-02-2017, 18:21 door Anoniem
Gezien je geclaimde Linux expertise, vermoedelijk op universitair werk- en denkniveau, moet je misschien maar eens gaan praten met de auteur van de roemruchte C++ Annotaties of diens collegae. Goede raad vragen kan geen kwaad.

http://www.icce.rug.nl/documents/cplusplus/
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.