image

SANS: security certificeringen maken systemen niet veiliger

dinsdag 10 januari 2006, 11:55 door Redactie, 8 reacties

Veel populaire IT security certificeringen zorgen er niet voor dat de houder in staat is om systemen veiliger te maken, zo blijkt uit het onderzoek van het SANS Institute. Het onderzoek toonde aan dat respondenten met certificeringen van de Computing Technology Industry Association (CompTIA), het International Information Systems Security Certification Consortium (ook bekend als (ISC)2) en de Information Systems Audit and Control Association (ISACA), denken dat hun training er niet voor gezorgd heeft dat ze een voordeel hebben bij het uitvoeren van de dagelijkse security taken, in tegenstelling tot specifieke certificeringen van de leverancier, waarbij dit wel het geval is.

De bevindingen kunnen enorme gevolgen hebben voor IT beslissingsmakers, die vaak mensen aannemen en een salaris betalen op basis van certificeringen, en denken dat die werknemers over de juiste vaardigheden beschikken om belangrijke systemen te beschermen, aldus Alan Paller van SANS.

Certificering aanbieders zijn het niet helemaal eens met de resultaten. Lynn McNulty van (ISC)2 erkent dat security professionals kennis van produkten en platformen moeten hebben, maar dat managers een breder perspectief nodig hebben om deze activiteiten te coordineren. Daar komt bij dat specifieke certificeringen van leveranciers beperkend kunnen werken voor de carriere mogelijkheden.

Reacties (8)
10-01-2006, 13:33 door Anoniem
Lynn McNulty (ISC)2 heeft helemaal gelijk, vind ik. Alleen kennis van
specifieke platformen is niet genoeg. Dan krijg je louter technische
beveiligingsmaatregelen, en wordt helemaal voorbij gegaan aan de
grootste bedreiging: het doen en laten van DE MENS.
10-01-2006, 13:37 door beamer
Dilbert strip over "the vast power of certification":
http://www.amazecreations.com/datafast/consultants/Dilbert.jpg
10-01-2006, 15:23 door Anoniem
Opvallend toch... Het zijn altijd degenen zónder certificering die klagen dat
(categorisch álle; hoezo simpele gedachte) collega's met certificering geen
haar beter zijn,
en degenen mét certificering (NB ik bedoel: zo'n certificeringspapiertje, heb
ikzelf ook een stapeltje van) die bereid zijn toe te geven dat het op zich niet
heel veel zegt (maar wel wat, nl. aansluiten bij verwachtingen van klanten)
en er ook best goeien zonder papiertje zijn.

Enne, als zo'n papiertje niks voorstelt, waarom haal je ze zelf dan niet...?
Kinderhand is gauw gevuld, toch, voor de volgende salarisronde ..?
10-01-2006, 16:25 door Anoniem
Wat ben je met certifiëring als de investering in de producten er niet is?

Als je geen budget hebt om mee te werken of de nodige push van het
senior management krijgt, mag je nog zoveel certificaten hebben, je
netwerk gaat er niet veiliger mee worden.
10-01-2006, 17:26 door pipo
Product onafhankelijke certificeringen dragen (mits goed in
de praktijk toegepast maar dat geldt voor alles) juist bij
aan een betere security omgeving.

Ik heb de neiging om te denken dat het onderzoek nogal matig
is uitgevoerd.
10-01-2006, 18:44 door Anoniem
Certificaatjes haal je voor managers, omdat die anders
denken geen goede selectie te kunnen maken. Ik vind ze
persoonlijk niet veel waarde hebben, het ligt meer aan de
persoon dan aan het stapeltje papiertjes wat ie mee brengt.

Als het al om certificaaten gaat, hecht ik zelf juist meer
waarde aan leverancier onafhankelijke certificaten, dan
certificaten specifiek van een leverancier.
10-01-2006, 19:12 door Anoniem
Denk dat hier twee dingen met elkaar verward worden.

Aan de ene kant heb je de certificering die over het algemene issue
security gaat, in de breedste zin van het woord (CISSP, Security +, etc. ) en
de security over product gerelateerde security (firewall, IDS, etc.)

Beiden zijn denk ik essentieel voor het bedrijfsleven, maar bij de
implementatie zul je altijd eerst een brede view moeten hebben voordat je
de specifieke onderdelen kunt invullen. Kortom je gaat iemand met alleen
een CISSP certificering niet snel je PIX firewall laten configureren. Terwijl
je aan de andere kant iemand met je PIX certificering niet je security beleid
wil laten bepalen.
10-01-2006, 20:31 door Constant
je moet het allebei hebben:
- IT Security management vaardigheden met betrekking tot mensen,
middelen en procedures. Snap het bedrijfsproces, je beveiligd niet de IT maar het bedrijfsproces.
- technische kennis van specifieke platformen.

Mis je één van de twee, dan kun je nog zo goed zijn in dat ene gebied,
maar dan kun je niet beveiligen. Techneuten denken dat je alles
technisch kan dichtzetten en vergeten dat alle technische maatregelen
door mensen kunnen worden doorbroken (tenzij aanvullende manuele
controls) en mensen met alleen Security management skills lopen klem
op de techniek.

En wil je financiële systemen effectief en efficient beveiligen, dan is een
basis financiele kennis ook wel nodig. Een IT beveiligingsnerd loopt
klem omdat hij het bedrijfsproces niet begrijpt, een bedrijfseconoom
omdat hij de techniek niet snapt. Dus, ja, een bedrijfseconomisch
certificaat, een IT security certificaat, en product kennis, en wellicht
komen we er wel.

Eén enkel certificaat maakt niet veilig, maar de juiste kennis van zaken
(bevestigd door meerdere diploma's en certificaten) is nodig in IT
beveiliging, zowel een generalistische blik als diepgaande kennis.
Probleem is dat de combinatie weinig in één persoon voorkomt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.