"Old boys netwerk belangrijker dan certificering"
Er zijn voldoende slechte IT'ers met een certificering en voldoende goede zonder eentje, maar wat zegt dit over certificeringen en de mensen die IT'ers moeten aannemen? Voor beveiligingsexpert Marcus Ranum zijn de door velen felbegeerde papiertje alleen maar handig voor domme en luie managers. "Certificeringen zijn fantastisch als je lui en dom bent en zo wilt blijven. Als je mensen huurt en te lui bent om de CV van de kandidaat te bekijken, de inhoud te begrijpen en de moeilijke taak te ondernemen om uit te zoeken of zijn kwalificaties wel aan je behoefte voldoen, huur dan gewoon de gast met de alfabetsoep achter zijn naam."
Volgens Ranum weten veel managers niet wat voor personeel ze nodig hebben. Zodoende weten ze ook niet welke vragen ze tijdens de sollicitatieprocedure moeten stellen en die zorgen neemt een certificering in één keer weg. "Het helpt je bij het kiezen van iemand die een taak moet uitvoeren die jij niet begrijpt."
Connecties
Een certificering zegt niets over ervaring en het daadwerkelijke vermogen van iemand. "Wie van jullie zou een aannemer inhuren om je huis te verbouwen alleen maar gebaseerd op de certificering die hij heeft? Of zou je net als ik vrienden om aanbevelingen en referenties vragen? en dan zijn werk controleren? Uiteindelijk komt het aan op betrouwbare referenties en het op tijd af krijgen van de klus. Er is een reden waarom mensen op het 'old boys network' vertrouwen, het werkt."
Een groot voordeel van het old boys network, is dat degene die iemand aanbeveelt, weet wat iemands kwalificaties zijn. "Moderne technologie ontwikkelt zich zo snel. Als iemand mij wil inhuren voor het beveiligen van een ULTRIX 3.1d systeem is dat geen probleem, ik ben gecertificeerd. Ik ben echter onbekend met alle verschillende Linux distributies, ik zou maanden nodig hebben voordat ik er mee kan werken. Als ik echter een certificering zou hebben, dan zou iemand me misschien per ongeluk inhuren, ervan uitgaande dat ik gekwalificeerd ben." Via het old boys network zou Ranum nooit door iemand worden aanbevolen voor Linux-werk.
Verandering
Ook beveiligingsgoeroe Bruce Schneier was lange tijd tegenstander van certificeringen, maar hij heeft zijn mening bijgeschaafd. "Certificeringen zijn niet perfect, ze zijn goed genoeg voor een security professional om de dingen te leren die hij nodig heeft, en voor een werkgever om te bepalen of een sollicitant de expertise beschikt die hij zoekt."
De nieuwe opvatting van Schneier is veroorzaakt doordat zowel de functie-eisen als certificeringsprogramma's zijn veranderd. "Iedereen kan een beveiligingssysteem verzinnen dat hij niet kan breken. Als iemand je een systeem geeft en zegt dat het veilig is, moet je je eerst afvragen wie deze persoon is. Kijk maar wat hij heeft gekraakt om te bepalen of zijn mening over de veiligheid van het systeem iets betekent."
Schneier's wet, zoals het bovenstaande voorbeeld ook wordt genoemd, is niet in een certificering te vinden. "Het is een combinatie van een gevoel voor security, kennis van academische security literatuur en uitgebreide ervaring en oefening. "Als ik mensen inhuur, kijk ik niet naar hun certificeringen. Ze zijn waardeloos, ik heb een andere verzameling vaardigheden en competenties nodig."
De meeste bedrijven hebben niet zulke beveiligers nodig, zeker niet aangezien netwerkbeveiliging behoorlijk gestandaardiseerd is. "Bedrijven hebben een uitvoerder nodig, geen onderzoeker. Certificeringsprogramma's zijn goed in het klaarstomen van uitvoerders. Volgens de beveiligingsgoeroe zijn certificeringsprogramma's veel beter geworden en bieden ze kennis die je in de praktijk gebruikt. "Certificeringen zijn prima voor de netwerk security taken binnen een grote onderneming."
"Uiteindelijk zijn certificeringen net als profielen. Ze werken, maar ze zijn slordig. Omdat iemand een bepaalde certificering heeft, wil dat nog niet zeggen dat hij de expertise heeft die je zoekt, in andere woorden een false positive. En als iemand geen certificering heeft, wil dat nog niet zeggen dat hij niet over de vereist expertise beschikt, oftewel een false negative. We gebruiken certificeringen voor dezelfde redenen waarom we profileren: We hebben niet de tijd, het geduld en de mogelijkheid om uitgebreid te testen wat we eigenlijk zoeken."
Certificeringsprogramma's zijn goed in het klaarstomen van uitvoerders".
Nu ja, voor het aanklikken van een vinkje in de webmanagement console is
dat zeker zo. Voor taken als in een CSIRT ligt dat anders, schrijf maar eens
een post mortem.... En dat zou ook iedere org moeten doen. Hetgeen maar
weer bewijst dat Bruce z'n denkraam ook z'n beperkingen kent.
belangrijker dan certificering, maar ook zonder
certificering, zelfs in geval van compleet onvermogen is het
'Old boys' netwerk belangrijker.
M.a.w. het 'Old boys' netwerk Rules !
Kijk maar naar de bezetting in onze politiek/binnenlands
bestuur.
Vraag:
- Laat jij je opereren door een leuk dokter, mooie lach, goede praatjes,
jaaaren ervaring, maar geen opleiding.
- Ga jij vliegen met een piloot met een leuke pet, mooie bril, jaren sportvlieger
(hobby), maar geen certificaat voor een jumbojet.
Hobby is dus leuk voor thuis. En natuurlijk zijn er hele goeie DIY. En nog erger
er zijn vaker hele slechte gecertificeerde vakmensen.
Mijn stelling: een strengere certificering en toezicht is nodig om de blunders in
de ICT (slechte software, project falen) aan te pakken.
Verder dient een old-boys network dient een persoonlijk belang en biedt geen
kwaliteitsgarantie.
SOFAR RFV
"Mijn stelling: een strengere certificering en toezicht is nodig om de blunders
in de ICT (slechte software, project falen) aan te pakken."
Microsoft Windows patchje hier, service-packje daar???????
sja... ehh.. gecertificeerde ontwikkelaars maken dus ook 'slechte'
software???
Je vrouw heeft zeker ook een certificaatje.. anders kwam ze d'r bij jou niet in..
Shit, heb ik net een pattatje op bij de snackbar.. ben vergeten naar z'n
certificaat te vragen.. Nou ja, morgen waarschijnlijk ziek..
Vraag:
- Laat jij je opereren door een leuk dokter, mooie lach,
goede praatjes, jaaaren ervaring, maar geen opleiding.
- Ga jij vliegen met een piloot met een leuke pet, mooie
bril, jaren sportvlieger (hobby), maar geen certificaat voor
een jumbojet.
studierichtingen te behalen certificaten met certificering.
Certificering wil veelal zeggen dat je een lijst met open
deuren met goed gevolg hebt afgelegd.
quote:
--------------------------------------------------------------------------------
Ahum... SOFAR RFV....
"Mijn stelling: een strengere certificering en toezicht is nodig om de blunders
in de ICT (slechte software, project falen) aan te pakken."
Microsoft Windows patchje hier, service-packje daar???????
sja... ehh.. gecertificeerde ontwikkelaars maken dus ook 'slechte'
software???
Je vrouw heeft zeker ook een certificaatje.. anders kwam ze d'r bij jou niet in..
Shit, heb ik net een pattatje op bij de snackbar.. ben vergeten naar z'n
certificaat te vragen.. Nou ja, morgen waarschijnlijk ziek..
--------------------------------------------------------------------------------
Jij laat je dus door een ongediplomeerde dokter behandelen ?
De waarde van een ict certificaat is 0 zolang er geen praktijkervaring tegenover
staat. Een arts of piloot krijgt zijn papieren niet zonder die praktijkervaring.
En er zijn maar weinig IT certificaten die dat vereisen.
Om dan toch maar wat extra olie op jou vuurtje te gooien, Sofar, certificaten zijn
er omdat de gemiddelde it-er sociaal te zwak is om contacten te onderhouden.
In andere vakgebieden gaat ervaring dan sterk tellen, maar de gemiddelde it-
er mist ook nog eens deze ervaring omdat er om de 2 jaar van baan
gewisseld moet worden. En er moet natuurlijk altijd met de nieuwste techniek
gespeeld worden, want daarvoor ben je tenslotte in de it gaan werken.
Dat deze technieken niet altijd even goed zijn doet er niet toe, het leven is een
grote ontdekkingsreis. Toch?
> Ahum... SOFAR RFV....
Een toelichting is wel nodig blijkbaar:
Zoals je kan lezen is kwaliteit geen garantie door certificering / opleiding.
- Maar prutsers zonder opleiding (noem het certificering / certificaten) zijn een
gevaar voor elk bedrijf. (Ze maken meer kapot dan ...)
- Prutsers met opleiding zijn ook een gevaar.
Het microsoft syndroom zit er bij jou ook goed in. Noem het de 2e catogorie
prutsers. Dat een bedrijf / individu economische belangen heeft jouw als
consument op te zadelen met problemen is een gegeven. Net zo dat open
source je problemen kan geven mbt kwaliteit. (andere orde maar het
ongemak blijft het zelfde).
Mischien nog even te vermelden: De wetgeving is dusdanig aan het
veranderen dat je als bedrijf aan dient te tonen dat je gekwalificeerde
(Gecertificeerde) medewerkers inzet voor belangrijke taken (risico gevoelige
omgevingen).
Je patat en de verwerking is helaas wel gecertificeerd, ik hoop de olie ook
(zonder PCB) en de patatboer dient een SHV certificaat te hebben.
SOFAR RFV
SOFAR RFV
Zo ja, die is alleen van toepassing als de patatboer alcoholische dranken
verkoopt.
Binnen de voedingsmiddelenindustrie is HACCP een vereiste, maar voor
zover ik weet is certificering niet noodzakelijk.
Wetgeving is wat anders als certificering, misschien kan je aangeven welke
certificaten/diploma's de lokale patatboer precies moet hebben?
Prutsers kom je in elke bedrijfstak tegen.
En een prutser die je CV-ketel aanlegt en een gaslek veroorzaakt is potentieel
een stuk gevaarlijker als een prutser die je riool verkeerd ontstopt.
En hoe weet je zeker dat die persoon die je CV komt aanleggen zijn vak goed
verstaat? Daar zal je toch ook maar op moeten vertrouwen, toch?
vb:
* gecertificeerd - 0 jaar praktijk ervaring
* gecertificeerd - 1-3 jaar (uiteraard met referenties)
* gecertificeerd - 3 jaar en meer (ook uiteraard met referenties)
Uiteraard certificering laten aanpassen na een bepaalde periode zodat hij up-
to-date blijft en gecontroleerd is.
Als bedrijven zoals Microsoft dit zo gaan hanteren dan hebben de "luie"
managers het nog makkelijker. De werknemer kan dan niet "jokken" over zijn
praktijk "ervaring" aangezien dat niet op zijn certificaat staat.
Aan de andere kant is het best een onzinnige situatie. Je kunt beter de "luie"
managers een schop geven. Persoonlijk zou ik na een goed gesprek pas
iemand aannemen. En een goed gesprek versta ik onder dat ik weet wat ik
moet vragen en anders wel door een onafhankelijk iemand die er verstand
van heeft. En zoals al eerder is gezegd, gewoon even zijn/haar cv en
referenties nagaan. Verder heb je nog een proefperiode om dit te testen of
hij/zij het waard is. Tenslotte is iemand aannemen niet hetzelfde als even een
frietje kopen om de hoek.
UMOI
want verzekeringsmaatschappijen kijken wel degelijk naar een gecertificeerd
persoon
En hoe weet je zeker dat die persoon die je CV komt
aanleggen zijn vak goed verstaat? Daar zal je toch ook maar
op moeten vertrouwen, toch?
Ongeveer een decennium geleden solliciteerde ik bij een
groot Amerikaans bedrijf in Rotterdam. Men wist daar niet zo
goed raad met m'n ervaring en Curriculum Vitae waardoor het
gesprek werd verplaatst naar de afdeling waar ik dan zou
komen te werken, indien aangenomen.
Gesprekken met de toen potentiële collegae gaven de
doorslag, het contract werd direct opgesteld.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
