Welke garantie biedt een gecertificeerde IT'er?
Wat zegt een certificaat over de persoon die hem heeft gehaald en welke garantie heb je dat deze meneer of mevrouw ook daadwerkelijk geschikt voor de “job” is? Security.NL vroeg het verschillende mensen die van certificeren hun beroep hebben gemaakt.
“Dat weet je niet. Je weet alleen dat de persoon het kennis- en vaardigheidsniveau heeft dat nodig is om het certificeringstraject (examen) te doorlopen,” zegt Joop Verdonk, CPP en werkzaam als managing director voor het Security College. Hij krijgt bijval van Ronald van Erven, MSc. CISSP CISA, een van de auteurs van het International Management Forum (IMF).
“Garanties of een persoon geschikt is en daadwerkelijk de kennis en kunde heeft krijg je niet door een papiertje te behalen. Tegenwoordig zie je dat IT-ers hun security papieren behalen, omdat iedere zichzelf respecterende IT-er iets van beveiliging af dient te weten. Maar is hij daardoor geschikt of heeft de persoon de juiste kennis, kunde of attitude? Die informatie krijg je enkel door referenties en getuigschriften na te gaan.” Iets wat gisteren ook in het verhaal over het Old Boys Network aan het licht kwam.
Kaf en het koren
Om te voorkomen dat teveel kaf zich als koren kan voordoen, zijn veel certificeringen niet voor het leven geldig, maar moet men zich elke twee á 3 jaar hercertificeren, merkt Verdonk op. Dit hercertificeren doet men door punten te verzamelen die men krijgt door met zijn vak bezig te zijn, ofwel instructie / kennisoverdracht, ofwel artikelen schrijven of actief bezig zijn met bestuurswerkzaamheden binnen relevante beroeps- of aanverwante verenigingen. De gecertificeerde zal dus ‘bij blijven’ in zijn vak, wat in ieder geval een kwaliteitsgarantie geeft.
Volgens André Brugman, Manager Systems Engineers bij Cisco, is hercertificering onderdeel van een goed certificeringssysteem, dat volgens hem minimaal de volgende eigenschappen bevat:
- Periodieke, verplichte hercertificering.
- Examens moeten worden afgenomen door een onafhankelijke instantie.
- Het examen moet bestaan uit een theorie-deel en een praktijk-deel.
De netwerkgigant kiest voor haar certificeringen uit een combinatie van theorie en praktijk, zodat mensen die goed kunnen leren, maar geen praktijkervaring hebben, toch door de mand vallen.
Voor de hoogste certificering, Cisco Certified Internetwork Expert (CCIE) Security, wordt naast het theoretisch examen zelfs een aparte lab-test afgenomen. Deze test duurt een dag en de kandidaat moet van de losse componenten een goed werkend netwerk bouwen en configureren. Halverwege het examen zal de examinator op diverse plaatsen het lab ‘saboteren’ zodat ook de throubleshooting-vaardigheden getest kunnen worden. “Deze combinatie van theoretische kennis en bewezen praktijkkennis maakt dat de kans zeer groot is dat een gecertificeerd persoon ook daadwerkelijk geschikt is.”
Transparantie
Collega Frank van Vliet, CTO van Certified Secure, ziet in certificeringen een meetlat voor de kwaliteiten van een persoon. “Door zo'n certificatie weet iemand anders zeker dat zo'n persoon die kwaliteiten bezit, en waar hij dus voor geschikt is. De garantie die je hebt komt mede uit het vertrouwen dat je hebt in het bedrijf of de persoon die de certificatie heeft uitgevoerd, en de openheid van de certificatie.”
Van Vliet vindt vooral openheid zeer belangrijk, omdat het de mogelijkheid geeft zelf een inschatting te maken van de certificatie. “Bijvoorbeeld, een certificatie dat iemand veilig kan programmeren zegt niet zo veel op zich, maar als hier bij staat dat de persoon in staat is te programmeren met meerdere lagen van beveiliging en problemen als SQL injection en Cross Site Scripting kan voorkomen geeft dit een veel beter beeld van zijn kwaliteiten.” Zodoende hoeft er dan niet alleen vertrouwd te worden op de term 'veilig programmeren'.
Naast openheid speelt ook de context een belangrijke rol of iemand alleen aan de hand van een papiertje geschikt is. “Dat hangt sterk samen met het soort certificering en de context waarbinnen een bepaalde certificering gevraagd wordt,” aldus Lodewijk Nolke, Programme Manager bij DNV Academy - Cibit. “Afhankelijk van de specifieke context zal de verhouding tussen die componenten anders zijn. Om de geschiktheid van een gecertificeerde professional te kunnen bepalen, moet je dus eerst een beeld hebben van de waarde van een bepaalde certificering binnen een bepaalde context. Anders ga je appels met peren vergelijken.”
Bij het SANS Institute worden de taken van verschillende banen geanalyseerd, zodat de certificering goed op de praktijk aansluit. “Dit zorgt ervoor dat de certificeringexamens de vaardigheden meten die voor een bepaalde taak nodig zijn, zoals beschreven in de certificering,” zegt Jeff Frisk, Director of GIAC (Global Information Assurance Certification). Ook Frisk benadrukt het belang dat certificeringen zowel theorie als praktijk behandelen.
gericht ipv theorie. Voor veel theorie examens zijn er
braindumps met de exacte vragen en antwoorden. Simpelweg uit
je hoofd leren en je bent er, zonder ook maar één minuut
echt met de stof te hebben geoefend. Dat dit gebeurt is ook
een beetje de schuld van de klant en werkgever.
Veel mensen moeten diverse certificeringen halen per jaar,
omdat de klant dit wilt (men wil vaak een MCSE-er om een
SBS-server te installeren). Als je een gezin hebt, dan is
dit heel erg lastig...en dan kan je kiezen...je salaris
verhoging mislopen omdat je dat certificaat niet hebt, of op
een minder eerlijke manier het toch behalen. Daarnaast krijg
je vaak ook geen cursus en berust alles op zelfstudie. Bij
andere bedrijven krijg je weer een studieschuld.
Daarnaast moet het bedrijf waar je werkt ook naar de markt
kijken waar het in opereert. Als dit kleine zakelijke
klanten betreft met maximaal 50 werkplekken dan is een hoge
certificering gewoon onzin...alleen het verkoopt zoveel
beter naar de klant...
hebben en 10 mensen die voor zichzelf serieus met security bezig zijn (niet
alleen whitehats), en je zult duidelijk zien dat de mensen van zelf-studie
overheersen. Security is een mindsetting, dat kun je niet met een papiertje
halen. Die nachten lang ASM documentatie lezen en dagen achter elkaar die
sphagetti code uit elkaar slopen zodat je uiteindelijk toch shellcode kunt
injecten, dat maakt je een goed security persoon.
Ervaring is ook niet het hele verhaal. Als je (...) ook nog
eens iemand bent die weet wat hij niet weet, dan komt het
goed.
waar je in dat geval je kennis kunt aanvullen, openstaat
voor input van anderen en ook vragen durft te stellen.
Ik ga er vanuit niet alles te weten en ben mij er van bewust
fouten te kunnen maken, hou ik er rekening mee dat ik gewoon
een mens ben.
Real hacking experience.., die-hard ervaring in de werkelijkheid, hands-on-terminal ervaring is het enige wat telt in mijn ogen.
Er lopen al genoeg "papieren MCSE-tijgers" rond die alleen maar een stuk of wat microsoft exametjes hebben gescoord, en daarmee denken dat ze echt verstand hebben van wat er werklijk achter de point-and-click gui schermpjes gebeurt. Gewoon wat antwoorden uit he hoofd leren, wil niet zeggen dat je VERSTAND heb van wat je aan het doen bent. yeah right!
Certficiering heeft - in mijn ogen - alleen inhoudelijke waarde als het examen de geleerde THEORIE ook keihard toetst in de PRAKTIJK met hardwarer examen van echte real-life ict-ellende.. en of je in staat bent om dat op te lossen.
Dit gebeurd o.a. bij Red Hat Certified Technican traject, waar je echt moet bewijzen dat je het geleerde kunt toepassen tot een succesvolle oplossing!. Lukt je dat, ben je geslaagd, lukt je dat niet... ga dan thuis / op de zaak nog maar even oefenen aan je speelserver tot je kunt bewijzen dat het het echt WEET!
Tevens zou - in mijn ogen - ook certificatie getest moeten worden a.d.v.h. onvoorziene zaken tijdens een (hardware) examen, om te zien of een kandidaat "outside of the box" kan denken en ook 110% inhoudelijk begrijpt wat er gebeurd "under the hood" van je operating systeem, applicatie, hardware.
En ik ben het eens met de stelling "certificatie zou herhaaldelijk moeten worden afgenomen" zodat je zeker bent
dat je scherp bent en blijft! ICT veranderd zeer snel en het is haast ommogelijk om bij te blijven in een specialisme, gezien de explosie van allerhande nieuwe technieken en produkten.
En "security" is a_state_of_mind/live".. Dat is een attitude van een icter die niet te certificeren valt
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
