Dat lijkt me niet meer dan terecht. Ik ben werkzaam als Linux engineer en vind mezelf nog lang niet goed genoeg om deze rol (security) goed te kunnen uitvoeren.

Om een echt goede IT'er te worden moet je goed logisch kunnen redeneren en heel veel tijd besteden aan leren. Als je ICT niet leuk vindt gaat je dat niet lukken. Met andere woorden; als het niet een hobby is en je dit alleen ambieert voor de je carrierre of het geld zou ik het vooral sterk afraden.

Er wordt al heel snel om aardig wat certificaten gevraagd bij een willekeurige security vacature. En dat schrikt af omdat die opleidingen zeer prijzig zijn. Een leuke SANS opleiding gaat al snel richting de 7000 euro.
Daarbij zie je heel veel "red team" vacatures, niet zo bijzonder veel "blue team" gerelateerde vacatures.
Niet iedereen heeft het in zich om hacker te worden, maar kan wel interesses hebben in bijvoorbeeld incident response of digital forensics. Ook die opleidingen zijn bijzonder duur waardoor instromen bemoeilijkt wordt.

Ik denk dat dat deels komt omdat er een heleboel mensen in de IT security sector werken die van security hoofdzakelijk een IT-feestje maken.

Daar heeft iemand een mooi verdienmodel bedacht. Een tekort dat er eigenlijk helemaal niet was is gecreëerd en met wat pr werkgevers bepraat om het te gaan eisen bij sollicitanten. De échte opleidingen vind je bij MBO, HBO en universiteiten.

De security functie is nog stevig in ontwikkeling, en wat IT ook had in de beginjaren, teveel gefocused op en geobsedeerd door wizard-achtige tech. Oplossingen liggen steeds meer in gedrag, goed controle concepten, wiskunde.

Ben ik niet met je eens; ontwikkelingen in ICT gaan razend snel en dan zijn certificaten een must. Als je het alleen van een MBO of HBO denkt te moeten hebben loop je heel snel achter. Bovendien twijfel ik aan het niveau van deze opleidingen; ik heb zelf m'n HBO niet afgerond maar acteer wel op HBO niveau door het halen van certificaten. Ik zie een hoop jonge mensen van HBO afkomen die vervolgens intern nog flink moeten studeren om te kunnen functioneren in de rol van Linux consultant.

Over welke opleidingen heb je het? Zo ver ik weet bestaat er geen MBO/HBO IR/DF.

Je haalt certificeren wat door elkaar met opleiden.

Certificeren is niet meer dan het borgen van bestaande kennis en ervaring. De kennis kun je op allerhande (niet per sé dure) manieren op hebben gedaan. Dat kost je wel vaak vele jaren doorlooptijd, maar dat is alleen maar goed: het moet in rust en degelijk opgebouwd worden. Een goede certificering let daar ook op: heb je die jaren doorlooptijd wel, heb je wel voldoende ervaring? Een CISSP certificering - om er maar eens 1 te noemen - staat voor 5 jaar ervaring plus kennis van de theorie op HBO/WO niveau. En en prima (passieve) beheersing van de Engelse taal ook nog.

Theorie crammen en dan dumpen op een examen kan heel goedkoop. Maar dan ben je nog lang geen beveiliger. Daarom snap ik ook wel dat mensen nogal opkijken tegen het vak. Ik denk dat die perceptie van " de mensen " heel aardig klopt: het is een vak waarin twee uitersten zich verenigen: enerzijds juridische kennis, kennis van standaarden en kennis van beleid, processen en procedures, anderzijds moet je techniek tot op tamelijk diep niveau beheersen. En om het nog spannender te maken: het veranderd waar je bijstaat.

Een goede informatiebeveiliger is als een arts en de opleiding is vergelijkbaar in zwaarte. En het houdt, net als bij een arts, nooit op: je blijft leren. Er zijn er niet zoveel die dat willen of kunnen. En als al, dan is de vraag of ze met hun talenten niet iets veel leukers kunnen doen. Arts worden bijvoorbeeld.. :-D

Security opleidingen vind je niet op het MBO. Als klaar bent met het HBO of de universiteit met een security opleiding sta je pas aan het begin. Met een jaar of 10 ervaring begin je pas mee te tellen. Het is geen verdienmodel, het vak vereist heel veel ervaring. Red team is een stuk makkelijker dan blue team... Feitelijk is een blue teamer een red teamer met heel veel ervaring en kan zich dus verplaatsen in hoe een aanval zal gaan verlopen en anticipeert bij voorbaat daar op.

Blue teaming is zoveel meer dan alleen procedures... Al de frameworks helpen je wel, maar maken je nog geen goede security man. Al de opleidingen ook niet.

Iemand met veel ervaring loopt moeiteloos door de verdienmodellen van (ISC)2 en Isaca heen.

Alsof je je daarna niet moet blijven bijscholen in de IT. Ik heb informatica gedaan aan de universiteit. Daarna nog talloze vak opleidingen gedaan, tijdens mijn loopbaan. Een IT-er die denkt na MBO/HBO/Uni uitgeleerd te zijn, die snap zijn vakgebied nog niet.

Wellicht een aardig artikel in dit kader van gisteren: https://www.darkreading.com/threat-intelligence/7-non-technical-skills-threat-analysts-should-master-to-keep-their-jobs--/a/d-id/1338922

Het probleem zit denk ik ook wel hier:

IT functies zijn tegenwoordig erg specialistisch en vindt je tegenwoordig alleen nog maar in steeds grotere IT bedrijven, waar IT ers door vakjes-denkers gerecruiteerd worden.

Van iemand die bv begint als software packager of servicedesk medewerker (instapfunctie) wordt verwacht dat deze zijn aandacht en bijscholing richt op zijn 'taakveld' en zich niet gaat bemoeien met security, want daar is een andere afdeling voor. Op die manier kun je als gedreven potentieel security specialist, nooit in die rol groeien. Dat was vroeger als MBO systeembeheerder veel gemakkelijker, toen bouwde je alleen de IT omgeving voor het bedrijf waar je in dienst was. Als jij security interresant vondt of als sport zag, dan nam je dat mee in het ontwerp van je omgeving en groeide je vanzelf in dat specialisme.

Tegenwoordig mag je alleen aan de slag met CISSP en een WO diploma.

Dan sluit je dus heel veel potentiele kandidaten bij voorbaat uit, want voor die certificering zul je eerst voldoende ervaring moeten opdoen, maar dat kan pas goed als men je aan wil nemen zonder die ervaring.

En men onderschat security op mbo/hbo niveau: wat heb je eraan als je 1 security WO-er in je bedrijf hebt terwijl netwerkbeheerders, werkplekbeheerders en servicedeskmedewerkers er een gatenkaas van maken omdat security 'niet in hun takenpakket zit'. Dan heb je toch liever daar ook mensen die mee willen denken, gek op linux zijn en af en toe met hele slimme "out-of-the-box" ideeen komen?

Security draait niet om certificaten, maar om een mindset. Het is een sport, geen instructiehandleiding waarvan je kan toetsen of de crusist het goed uit zijn hoofd heeft geleerd.

Pertinent niet. Een opleiding zoals u hem omschrijft is bedoeld om een bepaalde denkwijze / methode / concepten eigen te kunnen maken. Security is tegelijkertijd te specifiek en te breed (kijk maar naar CISSP, dat is al een opleiding op zich qua breedte en achtergrond). Kortom een opleiding bereidt je voor om concepten zoals security te kunnen doorgronden en certificaten voorzien je van kennis op het specialismegebied.

Vergelijk het met een opleiding in de IT. Je leert daar echt geen Windows- of Linuxserverbeheer, dat leer je jezelf aan omdat je het interessant vindt en borg je met een cursus op dat gebied: het uitdiepen van specialistische kennis.

Er zijn legio kwibussen tegenwoordig in IT management functies die vinden dat techniek niet zo belangrijk is :)

Die heikneuters kom ik elke dag tegen .... een schande voor de branche... IT (met de T van technologie) is gewoon een beroep waar techniek heel belangrijk is.

Security en goed besef van transport & netwerken en protocollen is wel degelijk belangrijk voor security en daarom vind ik dat dit wel degelijk specialistische functies zijn...... analytisch vermogen en helicopter view kom je ook steeds minder tegen.

het gedrag van mensen speelt ook mee maar neem daar maar een gedragsconsulent(e) voor aan en schaar dat niet onder IT

En certificaateisen bij vacatures zijn niet mild... nooit begrepen want juist die ene hobbyist die heel veel zelfstudie en interesse heeft ontmoedig je zo om uberhaupt te solliciteren en juist dat kunnen potentiele pareltjes zijn.

Ik heb liever 10 schoolverlaters met een enorme passie , drive en zelfstudie wens dan een paar van die "kijk mij eens hoeveel certificaatjes ik heb" gasten.

Er speelt ook nog iets anders mee. Ik heb heel wat jaren ervaring in de IT Security... maar ze willen dat je 18 jaar bent en uptodate diplomas v.e. 80 jarige studie.

Ik ben persoonlijk wat meer technisch bezig echter na een bepaalde leeftijd krijg je die kans niet meer.

Al zou dat zo zijn, dan laat die "mindset" zich niet gemakkelijk controleren of er moet al security personeel aanwezig zijn die van wanten weet en die deze "mindset" bij jou kunnen testen.
Maar meestal is zulk security personeel er niet, daarom willen ze nu juist zo iemand aannemen.
Een certificaat is hierbij net als een diploma een indicatie dat je bepaalde voor de job gewenste kennis aan boord hebt.

Gecertificeerd is een ander woord voor disfunctioneel of incapabel.

De misvatting is dat een 'certificaat' een garantie is voor het hebben van bepaalde kennis. Het zegt alleen dat je wat examens met goed gevolg hebt afgelegd. Waarbij een 6 ook 'goed gevolg' is. En je dus in 40% van de gevallen toch verkeerd zat.

Informatiebeveiliging (ik gebruik dit woord bewust) omvat veel en veel meer dan alleen 'IT security'. Die misvatting daar moeten we echt vanaf.
Als je ISO27001 bekijkt zie je dat een groot deel juist gaat over mensen, bedrijfsvoering, risicomanagement, etc.
Dus er zijn veel verschillende competenties nodig voor het IB-vak.
En daarom is er wel veel mogelijk (ik zou zeggen juist) voor niet-IT-geschoolden.
Maar op de een of andere manier weet de branche dat niet goed te communiceren, al zo lang (>20jr) ik in het vak zit. En dat is wel erg jammer.

Cybersecurity is ook alleen goed uit te voeren door mensen met verstand. Het is geen marketing.

ah leuk iemand die onderscheid weet te maken! Hier gaat het dus om, informatiebeveiliging is het hele stelsel van beveiliging, je moet een strategie hebben, een doel en commitment van het MT. Daar heb je specifieke kennis voor nodig (met alleen Linux kom je er niet) Daarbinnen bouw je een netwerk op en daar heb je beheerders en ontwikkelaars nodig, allemaal met specifieke kennis en kunde. (met alleen Bedrijfskunde kom je er niet).
Voor ieder zijn rol passen verschillende opleidingsvormen, ervaring en certificaten bij. Juist dat hele stelsel en daar ieder dag mee bezig te zijn maak het zo'n gaaf werkgebied.

En als je dat certificaat alleen krijgt als je minimaal 5 jaar aaneengesloten in de betreffende functie hebt gewerkt, en jij wil heel graag maar hebt 4 jaar ervaring. Dan stuurt die manager jou naar huis terwijl je de certificering binnen 1 jaar zou kunnen halen.

En dan maar klagen dat er geen geschikt personeel te vinden is.

Certificeringen zijn meestal marketing, Microsoft certificeringen zijn wel een goed voorbeeld daarvan: bedrijven krijgen partner kortingen en kunnen zich indekken bij verzekeringsmaatschappijen. Maar dat verandert niets aan het feit dat mensen fouten maken en de professionals diegene zijn die daar juist van leren.

Jullie hebben het allemaal mis. ICT en in het bijzonder security heeft geen ZAK te maken of je cum laude van je 4de uni komt. Het heeft te maken met een beetje basis en veel inzicht en wat evaring.
Ik heb red teams gehad met allemaal dropouts die door hun autisme niet de uni haalden vanwege het antieke opleiding systeem.

Ik heb zelf een HBO IT opleiding gedaan en ik kan uit ervaring vertellen dat meer dan de helft van de vakken die we kregen absoluut nutteloos blijkt in de praktijk. De andere helft is gedateerd en je moet in de praktijk alsnog bijspijkeren. Dit komt doordat veel "dropouts" uit de praktijk dan maar docent worden (zonder dat ze voldoende kennis of technische skills hebben). Daarnaast is het up-to-date en relevant houden van zo'n opleiding erg lastig en dat gebeurt in de praktijk gewoon niet.

Eerlijk gezegd, als ik sommige naïeve comments lees op deze website denk ik echt ik ga hier nooit tussen willen zitten, Natuurlijk zijn de meeste schreeuwers natuurlijk ook niet de slimste en worden ze wel gelijk gecorrigeerd hier maar nog steeds, het geeft me een beetje een paranoïde impressie van cybersecurity (btw ik ben student Technische Informatica).

Sterker nog, naast enige IT kennis ben je soms ook projectleider (projectmatig sturen op verbetering van de Informatiebeveiliging), psycholoog (probeer maar eens een groep mensen anders over het gebruik van e-mail te laten nadenken), leraar/presentator (je staat regelmatig "voor de klas" om mensen te onderwijzen) en je moet ook nog eens op bestuurlijk niveau directeuren/managers in hun eigen taal zover weten te krijgen dat ze zich eigenaar voelen en daar ook op gaan acteren dus je moet ook nog een beetje gevoel voor politiek (en de politiek spelletjes) hebben.
Oh ja, aangezien privacy en informatiebeveiliging min of meer met elkaar verweven zijn zul je ook nog het een en ander van de AVG moeten weten en dan niet waar het te vinden is maar ook hoe de privacy wetgeving een beetje werkt.
Infosec is een heel breed en niet altijd afgebakend werkveld. Zo moest ik me ook ineens bezig gaan houden met de beveiliging van SCADA/IA systemen omdat daar de kennis even niet voor in huis was. Met de opgedane kennis wordt mijn werkveld steeds breder en zit ik met steeds meer partijen aan tafel, partijen met ieder hun eigen wensen en belangen. Kortom Infosec is veel meer dan IT en daar zit volgens mij het grote probleem omdat het nog steeds als een IT ding gezien wordt en bij veel organisaties nog steeds binnen de IT is ondergebracht.

Mijn ervaring is dat de uni halen niets te maken heeft met wel of niet autistisch zijn, maar grotendeels bepaald wordt door keihard doorbuffelen. Mijn studie-begeleidster zei het in het eerste jaar: "Het zijn de volhouders die het halen", en gelijk had ze.

Natuurlijk zijn er verschillen in HOE de leerstof wordt overgedragen, maar dan zijn het gewoon slechte/goede faculteiten.