Archief - De topics van lang geleden

Opleiding belangrijker voor beveiligingsexperts dan ervaring

13-02-2008, 11:29 door Redactie, 31 reacties

Laatste publiceerde het International Information Systems Security Certification Consortium (ISC2) richtlijnen voor het aannemen van security professionals en beveiligingsexpert. Naast algemene vaardigheden, zijn vooral certificeringen volgens het ISC2 zeer belangrijk, omdat die aantonen dat een sollicitant over de vereiste kennis beschikt.

Nu verdient het ISC2 hier haar geld mee, dus is het advies enigszins gekleurd. Daarnaast roepen veel IT'ers dat ze over jarenlange ervaring beschikken, en dat die meer waard is dan een papiertje. Probleem is echter dat een HR-manager vaak niet over deze ervaring beschikt, en alleen een opleiding of certificaat als bewijs van kennis ziet. Ervaring mag dan de basis zijn, zonder "diploma" kom je nergens. Onze stelling luidt derhalve: Opleiding belangrijker voor security professionals dan ervaring

Reacties (31)
13-02-2008, 11:33 door Anoniem
Ervaring is belangrijker maar moet aangevuld worden met enkele
certificaten voor de leuke HR-manager. Heb je alleen veel ervaring dan is
het moeilijk ergens binnen te komen of je moet aardig gaa netwerken.
Heb je alleen certificaten dan ga je een probleem hebben bij het
daadwerkelijk uitoefenen van je functie. Theorie en praktijk komen namelijk
nooit evereen :-)

Als je al veel ervaring hebt dan zal het halen van enkele certificaten ook niet
zo moeilijk moeten zijn.
13-02-2008, 11:46 door meneer
Zeker is ervaring belangrijk, maar probleem is wel dat
informatiebeveiliging eigenlijk een interdisciplinair aandachtspunt is. En
dat betekent eigenlijk dat je als informatiebeveiliger eigenlijk op al die
disciplines ervaring zou moeten hebben. Dat is maar weinigen gegeven.
De meeste ervaren IT'ers hebben weinig affiniteit met of inhoudelijke
kennis van bedrijfsprocessen en dat geldt ook vice versa.
Als het goed is zou je met een deugdelijke opleiding over de schutting
moeten leren kijken.

Tweede reden voor toch opleiden is dat de techniek (kansen en
bedreigingen) en organisatiekunde betrekkelijk snel ontwikkelen. Als je
genoeg ervaring hebt en de ontwikkelingen meeneemt, prima. Maar er is
eigenlijk toch permanente educatie nodig.

Jammer dat ISC2 iets roept over de noodzaak van beveiliging. Zij roepen
eigenlijk 'alleen' iets over IT security, dat is dus eigenlijk een subset van IB.

Graag even aandacht voor dit nuttige document:
[url=http://www.gvib.nl/Download/SU/1012/Functies_in_de_Informatiebeveil
iging_dec_2006.pdf]Functies in de Informatiebeveiliging[/url], met daarbij
ook een voorstel voor opleidingsniveau per richting. Dit document wordt
inmiddels bij een flink aantal (grote) organisaties gehanteerd.

We kunnen het in eigen land ook echt wel allemaal bedenken.
13-02-2008, 12:01 door DarkieDuck
Een opleiding is wel belangrijk maar ik denk dat ervaring
zeker veel belangrijker is.
En daarbij als je een opleiding hebt afgerond moet je nog
steeds goed bij spijkeren in de praktijk om dat de
bedreigingen tegenwoordig met de dag veranderen / erger worden.
13-02-2008, 12:03 door Anoniem
It's the papers that get you the interview, it's the experience that let's you
keep the job.
13-02-2008, 12:10 door Ed Dekker
Opleiding: belangrijk
Ervaring: belangrijk
(Communicatie)vaardigheid: noodzakelijk

Dus een autistische nerd die z'n papiertje haalt en jaren in een bezemkast de hackers uit het netwerk weert is waardevol, maar niet als informatiebeveiliger in de ruimste zin van het woord.
13-02-2008, 12:27 door [Account Verwijderd]
[Verwijderd]
13-02-2008, 12:54 door Anoniem
Door rookie
Maar uiteindelijk gaat het toch om dat hackers-hart en het
tikkeltje paranoïde karakter dat je moet hebben.

Dat kan ook met een certificaat. Ervaring is een lampje dat op je rug
hangt. En naar achter schijnt. Een solide opleiding (b.v. master in
computer science) biedt meer garanties voor inzicht. Met inzicht kun
je bestaande en nieuwe dreigingen (mogelijk ;) goed beoordelen. Met
alleen ervaring het je vooral kennis van het hier en nu. En combinatie
van ervaring en opleiding (lees: abstract leren denken) biedt de levert
de hoogste kans op op zowel een sterke positie voor nu *en* later...
13-02-2008, 13:30 door Anoniem
Ervaring vind ik minstens zo waardevol als certificering, maar het probleem
met ´ervaring´ is dat dit zeer lastig meetbaar is voor iemand die dat moet
beoordelen. Jarenlange ´ervaring´ zegt niks over de diepgang, kwaliteit
ervan. De certificering is dan tenminste nog vrij objectief. De echt goede
specialisten hebben hun basis in de theorie, maar de bijzondere
toegevoegde waarde hebben ze opgebouwd in ervaring.
13-02-2008, 13:39 door rewired
Het volgen van een opleiding en het behalen van certificaten
zorgt ervoor dat de werknemer op de hoogte is van de basis
technieken en procedures. Door middel van ervaring wordt
deze kennis toegepast in de praktijk. Naar mijn mening is
opleiding en certifcering voor startende IT'ers in het
algemeen (ook IB) belangrijker dan ervaring.

Mensen die claimen 'ervaring' te hebben hebben dit vaak
alleen op de terreinen waar ze mee in aanraking zijn geweest
en zullen terug moeten gaan naar de basis bij onbekende
terreinen terwijl goed opgeleide werknemers in de meeste
gevallen over een goede basis beschikken en makkelijker mee
kunnen draaien in een kennisintensieve omgeving zonder
daarvan afhankelijk te zijn.

Beiden zijn bij IT'ers in het algemeen dus belangrijk.
13-02-2008, 14:00 door Anoniem
het is raar te noemen wanneer je jarenlange ervaring hebt en
daar geen certificaten aan overgehouden hebt.
13-02-2008, 14:13 door [Account Verwijderd]
[Verwijderd]
13-02-2008, 14:14 door Anoniem
Ik deel de mening van het gros hierboven dat een combinatie ideaal is.
Een minpunt echter is de waarde die je tegenwoordig nog aan een
certificaat kunt hangen met bedrijven als TestKing. Ik ken mensen die
zuiver en alleen papieren MCSE'er zijn (Windows 2000 én Windows 2003,
en die personen hebben ook al enkele trajecten van de nieuwe 2008
opzet "succesvol" doorlopen) simpelweg door alle vragen met
bijbehorende antwoorden uit hun hoofd te leren.

Daarom is de waarde van een certificaat zoals MCSE in mijn ogen
aanzienlijk lager dan de waarde van b.v. CISSP (waar de vragen en
antwoorden niet op Internet staan) en GIAC (waar je zelf een kwalitatief
goed paper moet schrijven en zelf onderzoek moet doen). Zolang er echter
vraag is naar MCSE'ers zal dat niet af te dekken zijn, ook niet als ook
expliciet op ervaring wordt geselecteerd. Ik heb genoeg beheerders gezien
die jarenlang geen fluit deden of simpelweg weinig konden, maar wel alle
software die een bedrijf in huis had op hun CV zetten. Dan heb je een
indrukwekkend CV met termen waarvan er altijd wel 1 of 2 van worden
gezocht, met als gevolg dat je in ieder geval dat introductiegesprek aan
kunt gaan (en aangenomen wordt, gezien de krapte op de arbeidsmarkt).

Misschien is het een idee om meer met cases te werken als mensen
aangenomen moeten worden. "Alstublieft, hier heeft u een testnetwerkje.
Er mankeert iets aan dit netwerk, maar dat merkt u vlug genoeg als u
aanlogt. Los het probleem maar op in een half uur. Technet staat op die en
die machine, en dit is het account waarmee u kunt aanloggen. Succes
ermee." Velen zullen door de mand vallen ben ik bang.
13-02-2008, 15:03 door Anoniem
Wat ZOU belangrijker moeten zijn, zelfs voor managers?
Theorie of de (actuele) praktijk.... duh.....
13-02-2008, 15:27 door Anoniem
"Imagination is more important than knowledge" Albert
Einstein (Proest) ;)
13-02-2008, 15:42 door Anoniem
Stellingen zijn dogma's. Gevaarlijk wordt het indien de hele gemeenschap
(van HRM tot manager tot individu) deze quasi waarheden gaan
overnemen.

Geef mij maar een collega die durft te zeggen waar het op staat, die kan
communiceren, zich inzet voor het (gemeenschappelijke) doel, durft te
falen, eerlijk is daarin, zijn afspraken nakomt en vooral duidelijk is over zijn
agenda. (met geen verborgen paragrafen).

Dit is 1000 x meer waard dan welk diploma of ervaring dan ook.
SOFAR
13-02-2008, 15:56 door Anoniem
Door Anoniem
Wat ZOU belangrijker moeten zijn, zelfs voor managers?
Theorie of de (actuele) praktijk.... duh.....

Beide. Laat ik als voorbeeld eens Active Directory nemen. Iedereen kan
een OU aanmaken of een groep voorzien van wat leden. Da's geen kunst.
Maar dan gaan we rotzooien met GPO's, Deny hier, Enforce daar,
Loopback processing voor het SBC platform, en dan lukt iets niet.
Hetzelfde geldt voor AD replicatieproblemen als je te maken hebt met trage
links, site link bridges, tombstone lifetimes die overschreden worden,
lingering objects, tientallen domeinen van verschillend OS pluimage etc. Ik
kan je zeggen dat zonder een solide kennis van de theorie in dat geval
geen enkele eer valt te behalen bij het troubleshooten.

Mensen die het zich al doende een beetje aan hebben geleerd en de
theorie hebben gelaten voor wat het is weten namelijk vaak de
onderliggende structuren niet, en redden zich vaak alleen als ze een vrij
eenvoudig netwerk hebben te beheren. Hoe complexer de omgeving, hoe
belangrijker de theorie wordt, en hoe indrukwekkender dan ook meteen de
praktijkervaring wordt. Theorie en pratijk versterken (en verzwakken) zo
elkaar. Alleen praktijkervaring in complexe omgevingen levert in de regel
veel losse feitenkennis op, maar dat is geen gezonde basis voor proactief
systeembeheer, beveiligingsbeleid of wat dan ook.
13-02-2008, 16:02 door Anoniem
"Imagination is more important than knowledge" Albert
Einstein (Proest) ;)"

Heel toepasselijk, maar niet in dit topic. lol :-))
13-02-2008, 16:45 door Anoniem
Door Anoniem
Door Anoniem
Wat ZOU belangrijker moeten zijn, zelfs voor managers?
Theorie of de (actuele) praktijk.... duh.....

Beide. Laat ik als voorbeeld eens Active Directory nemen.
Iedereen kan
een OU aanmaken of een groep voorzien van wat leden. Da's
geen kunst.
Maar dan gaan we rotzooien met GPO's, Deny hier, Enforce daar,
Loopback processing voor het SBC platform, en dan lukt iets
niet.
Hetzelfde geldt voor AD replicatieproblemen als je te maken
hebt met trage
links, site link bridges, tombstone lifetimes die
overschreden worden,
lingering objects, tientallen domeinen van verschillend OS
pluimage etc. Ik
kan je zeggen dat zonder een solide kennis van de theorie in
dat geval
geen enkele eer valt te behalen bij het troubleshooten.

Mensen die het zich al doende een beetje aan hebben geleerd
en de
theorie hebben gelaten voor wat het is weten namelijk vaak de
onderliggende structuren niet, en redden zich vaak alleen
als ze een vrij
eenvoudig netwerk hebben te beheren. Hoe complexer de
omgeving, hoe
belangrijker de theorie wordt, en hoe indrukwekkender dan
ook meteen de
praktijkervaring wordt. Theorie en pratijk versterken (en
verzwakken) zo
elkaar. Alleen praktijkervaring in complexe omgevingen
levert in de regel
veel losse feitenkennis op, maar dat is geen gezonde basis
voor proactief systeembeheer, beveiligingsbeleid of wat dan
ook.

Prachtig (managers) verhaal maar het ontkracht/bevestigt
m.i. helemaal nix!

Want; dit geldt dus uitsluitend als er geen
[color=red]ervaring[/color] is opgedaan binnen 'complexe'
omgeving...... en een solide kennis van de theorie maar geen
enkele ervaring levert ook een zeer lange troubleshoot tijd op.
Uit de [color=red]praktijk[/color] weet ik dat een 'nerd'
gaat 'googlen' als hij iets niet begrijpt en op deze wijze
vaak veel sneller een (structurele) oplossing vind dan een
theoreticus die überhaupt eerst nog eens moet gaan googlen
hoe hij b.v. kan telnetten of hoe NMAP werkt. o.i.d.

Maar het ging hier ook eigenlijk over een andere
interpretatie van het woordje theorie dan jij er hier nu aan
de haren bijschleppt, n.l. certificering
13-02-2008, 17:06 door Anoniem
Veel certificaten toont m.i. vooral aan dat je regelmatig op de bank zit en je
werkgever zich zorgen maakt over je inzetbaarheid. Meestal is daar een
goede reden voor alleen hoeft die niet in de persoon te zitten - als sales
zuigt of de firma niets toevoegt, willen ze graag stapels certificaten.

Als je in een IT club werkt of gewerkt hebt, geldt dit tenminste. Ben je in
dienst van een gewoon bedrijf zijn certificaten vreemd - je hebt de baan
immers al. Voor een promotie is een enkele afdoende, sommige clubs
sturen gewoon hele afdelingen naar CISSP of zo.

Een paar toevallige certificaten zul je wel hebben, denk ik. Maar als ik een
intake doe werken veel certs tegen je, en geen ook. Logische mix geeft
doorslag.
13-02-2008, 17:16 door Anoniem
Door Anoniem
het is raar te noemen wanneer je jarenlange ervaring hebt en
daar geen certificaten aan overgehouden hebt.
helemaal niet, als je om welke reden dan ook geen examens gaat doen
dan krijg je dus ook geen certificaten.
13-02-2008, 17:25 door Anoniem
Door Anoniem
Prachtig (managers) verhaal maar het ontkracht/bevestigt
m.i. helemaal nix!

Want; dit geldt dus uitsluitend als er geen
ervaring is opgedaan binnen 'complexe'
omgeving...... en een solide kennis van de theorie maar geen
enkele ervaring levert ook een zeer lange troubleshoot tijd op.
Uit de praktijk weet ik dat een 'nerd'
gaat 'googlen' als hij iets niet begrijpt en op deze wijze
vaak veel sneller een (structurele) oplossing vind dan een
theoreticus die überhaupt eerst nog eens moet gaan googlen
hoe hij b.v. kan telnetten of hoe NMAP werkt. o.i.d.

Maar het ging hier ook eigenlijk over een andere
interpretatie van het woordje theorie dan jij er hier nu aan
de haren bijschleppt, n.l. certificering

Was het maar een managersverhaal. Ik ben zelf MCSE en CISSP met
inmiddels vele jaren ervaring op gebied van zware consultancy klussen, en
hoeveel prutsers ik al heb gezien die even een oplossing Googlen en dan
denken een structurele oplossing te hebben gevonden voor hun
omgeving... ze zijn op de vingers van 10 handen niet te tellen.

Theorie en ervaring gaan hand in hand, zoals ik heb gezegd. Theorie via
certificering, praktijk via het liefst complexe omgevingen. Zuivere theorie is
niet goed (want dan weet je de -S optie van nmap niet, en dat kan ECHT
niet), zuivere praktijkervaring ook niet (want dan kun je de AD problemen
die ik schets niet oplossen, en dan gebruik je waarschijnlijk ook nog
telnet). Dat was het hele idee achter mijn reactie.

Om even terug te komen op de oorspronkelijke stelling: opleiding en
ervaring zijn beide belangrijk. Al naar gelang de taken die worden
uitgevoerd en de complexiteit van de omgeving waar iemand werkzaam is
zal de balans de ene of de andere kant op slaan. De een kan niet zonder
de ander. Ik heb in de praktijk genoeg voorbeelden gezien van mensen die
dachten dat het anders lag. Ik ben die mensen zeer dankbaar, want zij
zorgen ervoor dat ik veel geld verdien met het oplossen van problemen in
hun bij elkaar Gegooglde infrastructuur.
13-02-2008, 17:41 door Anoniem
Door Anoniem
het is raar te noemen wanneer je jarenlange ervaring hebt en
daar geen certificaten aan overgehouden hebt.

Nee hoor, helemaal niet raar; je hebt dan alleen een (hele
normale) werkgever gehad die je loon 'gewoon' lekker laag
wou houden.
En daarmee ok wil voorkomen dat je gaat 'jobhoppen'.....

Het kost in de praktijk de techneuten vaak erg veel moeite
om de werkgever te overtuigen van het nut.
14-02-2008, 00:24 door Kerberos
Is niet echt een managers verhaal maar meer een techneuten
verhaal.

Ik denk dat meneer/mevrouw anoniem wil zeggen dat je zonder
kennis alleen maar kunt beheren zolang alles goed gaat en af
en toe een brand kunt blussen (server/service restarten e.d.)

Theorie hoeft zeker niet gelijk te staan aan certificatie.
Net zoals ervaring niet gelijk aan kennis hoeft te staan.

Beide is toch echt wel noodzakelijk in grotere netwerken en
het snel kunnen schakelen tussen meerdere grotere netwerken
/ klanten.

Het uit je hoofd leren van Testkings voor een examen wil
b.v. ook weer niet zeggen dat je "kennis hebt" na het
behalen van dat examen...

Glashard beweren dat een rijtje certificaten een goede
beheerder maakt is natuurlijk niet in alle gevallen waar.
Daar komen veel meer skills bij kijken.
14-02-2008, 10:56 door Anoniem
Allemaal mooi deze discussies, maar van alle cursussen die
ik heb gedaan is er maar 1 echt relevant geweest voor mijn
werkzaamheden. De rest was allemaal leuk voor de show en
mijn CV, maar haddeen geen enkele toegevoegde waarde voor
mijn kennis of functioneren.

Dan heb ik het nog niet eens over het feit dat de helft van
de cursussen zo'n slechte inhoud, of zo'n slechte docent had
dat het volledige verspild geld was.

Ik vind certificeringen op een CV leuk, maar in praktijk
matchen ze bijna nooit het carrierepad van de medewerker.
14-02-2008, 23:33 door Anoniem
Stelling :

Opleiding is belangrijker wanneer je compliant wil zijn. ervaring is
belangrijker wanneer je veilig wilt zijn.
15-02-2008, 11:21 door Anoniem
Opleiding is bepalend als managers geen mensenkennis en geen
telefoon bezitten.
Deze managers zijn hoogstwaarschijnlijk contactgestoord,
aangezien ALLE zaken, mensen zaken zijn en ALTIJD een
kwestie van vertrouwen zijn.

Er zijn dan dus mensen die (als zwakte bod) meer vertrouwen
hebben in papiertjes dan in hun eigen
beoordelingsvermogen.... plus, hij/zij kan zich indekken....
ja maar hij had toch alle papiertje..... dat diezelfde
persoon absoluut geen team-player was, uitsluitend
theoretische kennis bezat en (achteraf gezien) het halve
bedrijf heeft leeg gestolen.... tsja..... nemen we
toch gewoon iemand met nog meer papiertjes...... ;)

Ervaring geeft op zijn minst een 'track-record' met BEWEZEN
resultaten (ja, ja echt waar).... als managers te lui/dom
zijn daarna te kijken / te verifiëren, krijg je de huidige
situatie met bijbehorend onvermogen en wanbeleid.
15-02-2008, 11:40 door PolaMan
Opleiding is absoluut veel belangrijker dan ervaring. Gebrek
aan een gedegen kennis van de theorie, en onwetendheid
m.b.t. belangrijke publicaties, is waardoor de security
momenteel in zo'n belabberde staat verkeert.
Nu kun je jezelf dus opleiden door te beginnen met veel
boeken, en daarna je via recente publicaties en referenties
terug te werken door de geschiedenis van het vakgebied. Ook
als je een hoog basis opleidingsniveau hebt is dit zinnig.
Certificerings trajectjes zijn overigens meestal beslist
geen gedegen opleidingen ! Met vuistregeltjes en best
practices en platform specifieke detailtjes doe je meer
kwaad dan goed op moment dat de onderliggende theorie er
niet is.
15-02-2008, 11:47 door Anoniem
Door PolaMan
Opleiding is absoluut veel belangrijker dan ervaring. Gebrek
aan een gedegen kennis van de theorie, en onwetendheid
m.b.t. belangrijke publicaties, is waardoor de security
momenteel in zo'n belabberde staat verkeert.
Nu kun je jezelf dus opleiden door te beginnen met veel
boeken, en daarna je via recente publicaties en referenties
terug te werken door de geschiedenis van het vakgebied. Ook
als je een hoog basis opleidingsniveau hebt is dit zinnig.
Certificerings trajectjes zijn overigens meestal beslist
geen gedegen opleidingen ! Met vuistregeltjes en best
practices en platform specifieke detailtjes doe je meer
kwaad dan goed op moment dat de onderliggende theorie er
niet is.

M.a.w. motivatie is uiteindelijk de doorslag gevende
factor....
18-02-2008, 11:40 door Anoniem
20 jaar ervaring zegt niets. Je kan het ook al die tijd verkeerd hebben
gedaan...
18-02-2008, 14:13 door Anoniem
Door Anoniem
20 jaar ervaring zegt niets. Je kan het ook al die tijd
verkeerd hebben
gedaan...


Certificering zegt ook niks, je kan ook de verkeerde
cursussen hebben gedaan. ???
18-02-2008, 15:29 door Anoniem
quote:Door Anoniem
20 jaar ervaring zegt niets. Je kan het ook al die tijd
verkeerd hebben
gedaan...


Certificering zegt ook niks, je kan ook de verkeerde
cursussen hebben gedaan. ???


Oké, in dit geval dan wel.....
"Imagination is more important than knowledge" Albert
Einstein ;-)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.