SANS: security certificeringen maken systemen niet veiliger
Veel populaire IT security certificeringen zorgen er niet voor dat de houder in staat is om systemen veiliger te maken, zo blijkt uit het onderzoek van het SANS Institute. Het onderzoek toonde aan dat respondenten met certificeringen van de Computing Technology Industry Association (CompTIA), het International Information Systems Security Certification Consortium (ook bekend als (ISC)2) en de Information Systems Audit and Control Association (ISACA), denken dat hun training er niet voor gezorgd heeft dat ze een voordeel hebben bij het uitvoeren van de dagelijkse security taken, in tegenstelling tot specifieke certificeringen van de leverancier, waarbij dit wel het geval is.
De bevindingen kunnen enorme gevolgen hebben voor IT beslissingsmakers, die vaak mensen aannemen en een salaris betalen op basis van certificeringen, en denken dat die werknemers over de juiste vaardigheden beschikken om belangrijke systemen te beschermen, aldus Alan Paller van SANS.
Certificering aanbieders zijn het niet helemaal eens met de resultaten. Lynn McNulty van (ISC)2 erkent dat security professionals kennis van produkten en platformen moeten hebben, maar dat managers een breder perspectief nodig hebben om deze activiteiten te coordineren. Daar komt bij dat specifieke certificeringen van leveranciers beperkend kunnen werken voor de carriere mogelijkheden.
specifieke platformen is niet genoeg. Dan krijg je louter technische
beveiligingsmaatregelen, en wordt helemaal voorbij gegaan aan de
grootste bedreiging: het doen en laten van DE MENS.
http://www.amazecreations.com/datafast/consultants/Dilbert.jpg
(categorisch álle; hoezo simpele gedachte) collega's met certificering geen
haar beter zijn,
en degenen mét certificering (NB ik bedoel: zo'n certificeringspapiertje, heb
ikzelf ook een stapeltje van) die bereid zijn toe te geven dat het op zich niet
heel veel zegt (maar wel wat, nl. aansluiten bij verwachtingen van klanten)
en er ook best goeien zonder papiertje zijn.
Enne, als zo'n papiertje niks voorstelt, waarom haal je ze zelf dan niet...?
Kinderhand is gauw gevuld, toch, voor de volgende salarisronde ..?
Als je geen budget hebt om mee te werken of de nodige push van het
senior management krijgt, mag je nog zoveel certificaten hebben, je
netwerk gaat er niet veiliger mee worden.
de praktijk toegepast maar dat geldt voor alles) juist bij
aan een betere security omgeving.
Ik heb de neiging om te denken dat het onderzoek nogal matig
is uitgevoerd.
denken geen goede selectie te kunnen maken. Ik vind ze
persoonlijk niet veel waarde hebben, het ligt meer aan de
persoon dan aan het stapeltje papiertjes wat ie mee brengt.
Als het al om certificaaten gaat, hecht ik zelf juist meer
waarde aan leverancier onafhankelijke certificaten, dan
certificaten specifiek van een leverancier.
Aan de ene kant heb je de certificering die over het algemene issue
security gaat, in de breedste zin van het woord (CISSP, Security +, etc. ) en
de security over product gerelateerde security (firewall, IDS, etc.)
Beiden zijn denk ik essentieel voor het bedrijfsleven, maar bij de
implementatie zul je altijd eerst een brede view moeten hebben voordat je
de specifieke onderdelen kunt invullen. Kortom je gaat iemand met alleen
een CISSP certificering niet snel je PIX firewall laten configureren. Terwijl
je aan de andere kant iemand met je PIX certificering niet je security beleid
wil laten bepalen.
- IT Security management vaardigheden met betrekking tot mensen,
middelen en procedures. Snap het bedrijfsproces, je beveiligd niet de IT maar het bedrijfsproces.
- technische kennis van specifieke platformen.
Mis je één van de twee, dan kun je nog zo goed zijn in dat ene gebied,
maar dan kun je niet beveiligen. Techneuten denken dat je alles
technisch kan dichtzetten en vergeten dat alle technische maatregelen
door mensen kunnen worden doorbroken (tenzij aanvullende manuele
controls) en mensen met alleen Security management skills lopen klem
op de techniek.
En wil je financiële systemen effectief en efficient beveiligen, dan is een
basis financiele kennis ook wel nodig. Een IT beveiligingsnerd loopt
klem omdat hij het bedrijfsproces niet begrijpt, een bedrijfseconoom
omdat hij de techniek niet snapt. Dus, ja, een bedrijfseconomisch
certificaat, een IT security certificaat, en product kennis, en wellicht
komen we er wel.
Eén enkel certificaat maakt niet veilig, maar de juiste kennis van zaken
(bevestigd door meerdere diploma's en certificaten) is nodig in IT
beveiliging, zowel een generalistische blik als diepgaande kennis.
Probleem is dat de combinatie weinig in één persoon voorkomt.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
