1) leer dat je een *ondersteunende* rol bent van het bedrijf. Je bent niet de almachtige baas , hoe belangrijk je je taak ook vindt .
2) leer hoe de bedrijfsprocessen van je constituents werken. Alleen maar regels produceren met "mag niet vanwege security" gaat vrij weinig effect hebben als je een vitaal proces blokkeert zonder een alternatief te (kunnen) geven. Er gaat omheen gewerkt worden, misschien zelfs onveiliger dan hetgeen je verboden/afgeraden/geblokkeerd had.
3) Je bent NOOIT klaar met leren in een IT carriere, zeker niet in security.
3b) Accepteer dat je ook nooit klaar bent met beveiligen ... Het kan altijd beter.
4) Bouw contacten op in security communities - je bent eigenlijk nooit de eerste/enige die iets ziet of meemaakt . Alleen in je kantoortje slim gaan zitten zijn is maar beperkt effectief.
4a) - En, afhankelijk van je bedrijfstak - met name met je leverancier(s), provider, concullega's .
Een groot incident is het slechtste moment om te beginnen met uitzoeken hoe je in contact kan komen met SOC/NOC van je upstream provider, 3e lijns support van (apparatuur/software) leveranciers etc.

Dank voor de reactie, dat zijn zeker wel tips waar ik wat mee kan!

Asset management, kroonjuwelen, bedrijfskritische processen... zorg dat je dat hebt en voortdurend in kaart hebt. Als je niet weet wat je hebt, wat je doet, heb je ook geen idee hoe je dat moet beveiligen.

kijk waar je heen wilt. Als je security manager wilt worden is je pad anders dan als je de CERT kant op wilt.