Deed, en ja. Saai hoor. Je zit vooral veel rapportjes te schrijven.

Ik ben werkzaam als programmeur en dat ik een voorliefde voor security heb wordt doorgaans enorm
gewaardeerd.

SirDice, to bad. Na een paar jaar wordt je daar toch wel handiger in en kun je de leuke klussen vinden :)
Ik zit nu +/- 9 jaar in deze business na 5 jaar ontwikkelaar te zijn geweest.

Erg leuke hoek met enerzijds standaard klussen maar zeker ook veel bijzondere omgevingen.

Je moet wel met meer dan alleen een Nessus/Qualis rapportage aankomen om iets te bereiken. Dus ja, goed rapporteren is minstens zo belangrijk :) Technisch juiste bevindingen op kunnen stellen met, waar mogelijk, duidelijk omschreven risico's en managementsamenvatting.

Had laatst een klant die verbaasd was, na 4 jaar pentesting door een BIG 4 accountants kantoor, dat ik binnen 1,5 domain admin was :) Dat houdt het toch leuk.
Oorzaak, 1 vergeten server (W2k) en een paar slecht gepatchte servers (W2K3) en meer van dat soort zut.

Als je echter liever zelf de code in duikt om 0-day's te vinden dan moet je 't niet in de pentest business zoeken maar moet je overwegen of exploit building / sales bij je past. Minder rapportage, meer techniek en onderzoek maar dan moet je wel van goede huize komen.

Na de emigratie ben ik neergestreken op Kreta en verleen daar lokaal service op het gebied van PC onderhoud en voornamelijk het verwijderen van malware. Naast het onderhouden van de PC, besteed ik veel tijd aan het informeren van de klant over veiligheid. Het is dan niet security in de brede zin van het bedrijfsleven, maar in het klein bij de klant thuis.

Vanuit een passie en hobby is het nu uiteindelijk een serviceverlening geworden. Veel lezen en bijblijven, waaronder ook de informatie op deze website. En de waardering van de klant gaat vaak niet verder dan de meest recent geklaarde job. Ik heb het hier als eens op het forum neergezet, maar het begrijpbaar communiceren met de klant is het belangrijkste maar daarnaast tevens het moeilijkste aspect van de business.

Op de website van Menno Schoone kan je goede informatie vinden over het starten van een bedrijf voor het verlenen van computerhulp aan huis. http://www.schoonepc.nl/computerhulp_verlenen_als_pc-dokter.html

"We" doen het inderdaad fulltime. En het vakgebied IT security kent vele functies. Het varieert tussen klant en gebruiker van security producten tot reseller/integrator/security consulting tot de vendor (fabrikant) van security producten.

Penetratie testen is maar een facet van het vakgebied en dit ligt in de consultatieve kant.

Er zijn genoeg studies voor de verschillende jobs te vinden, maar wat toch vooral belangrijk is , is dat je affiniteit met IT Security hebt. Een vooral ook, security is een proces. Varierend met onderdelen zoals producten om het niveau op pijl te brengen , tot procedures, papierwerk , training en veel awareness.

Dus ja.... it is really out there.

Wat betreft de waardering...... tsjah, als security je core business is, dan spreekt het voor zich toch?

Ik maak ontwerprichtlijnen voor koppelingen tussen beveiligingsdomeinen. Veel papierwerk, soms een proof of concept. Daarnaast doe ik de reguliere penetrationtests incl. social engineering / phishing / etc. en daarnaast ook controle van se securitypolicies en hoe deze zijn ingeregeld. Vaak schrijven securitybobos wel een policy maar verdwijnt deze papieren tijger in een lade, of wordt een geheel ongeloofwaardig systeem neergezet (hallo TSA). Erg leuk om daar gaten in te schieten.
Ga de security niet in om vrienden te maken, als je handig bent en gaten vindt stamp je al snel op lange tenen.

Doen jullie het fulltime?

Ja.


Is het een echte functie?

Ja. Security officer bij een financiele instelling.


Waar houden jullie je mee bezig.

Zoals SirDice al aangeeft: veel schrijfwerk. Vanuit wet- en regelgeving zijn er eisen waar we aan moeten voldoen en dan heb je al vlug te maken met auditors. Auditors zijn dol op bewijs. Door management afgestempelde risicoanalyses, door management afgestempelde risicoacceptaties, door management afgestempelde requirements, door management afgestempelde accreditaties, door management afgestempelde security assessments, door management etcetcetc. Niet altijd even leuk werk, maar dat krijg je als je werkzaam bent in een industrie waar wet- en regelgeving, alsmede imagoschade een grote drijfveer is.


Wat is de waardering voor jullie van jullie werkgevers en klanten?

Geen :-). Hoe je het ook wendt of keert: security kost geld. Het is een tak van sport waarmee je hopelijk grotere problemen met nog grotere kosten voorkomt. Een normale Return on Investment (ROI) berekening is echter nauwelijks te maken. De enige ROI die we in de security wereld hebben is de Risk of Imprisonment, doordat het management hoofdelijk aansprakelijk kan worden gesteld voor bepaalde problemen.

Binnen het bedrijf weet iedereen dat we er zijn en dat we 9 van de 10 keer in de meewerkmodus zitten (anders worden we simpelweg gepasseerd, met escalaties tot gevolg, hetgeen niemand wil), maar in de ogen van bepaalde mensen zullen we het nooit goed kunnen doen en is security "ballast", "lastig", "niet bevordelijk voor het behalen van deadlines", "moeilijkdoenerij", "doemdenken voor zaken die toch nooit plaatsvinden" etc. Projectmanagers zijn op dat punt notoire dwarsliggers die een bepaald doel voor ogen hebben waar security niet in past, te weten het binnen de juiste deadline, het gestelde budget, de afgesproken scope en met de juiste kwaliteit een project afronden. Als zo iemand iets wil introduceren dat grote security consequenties heeft zoals koppelingen met externe systemen, en hij komt daar te laat mee, dan is het niet de eerste keer dat ik duidelijk moet maken dat dat in de requirements sessie meegenomen had moeten worden en dat wij daarvoor uitgenodigd hadden moeten worden.


Vinden ze jullie vervelend of begrijpen ze het?

Voorbereiding is vaak het halve werk, en dat beseft gelukkig bijna iedereen. Ze begrijpen het, maar dan moet je er wel tijdig bij zijn. Als je vlak voor het verstrijken van deadlines dwars gaat liggen, dan passeren ze je, doordat een manager hoog in de boom de security afdeling gaat overrulen. Het is dus ook in ons eigenbelang dat we er vroeg bij zijn en hulp verlenen waar mogelijk. De business heeft binnen bepaalde wettelijke kaders wat dat betreft altijd gelijk. Dat maakt het vooral veel politiek, tactvol beoordelen van waar belangen liggen etc. Als dat je niets lijkt, richt je dan meer op de technische zaken. Vanuit mijn verleden heb ik gemerkt dat daar aanzienlijk minder politiek komt kijken. Simpelweg pentesten of een forensisch onderzoek uitvoeren, eventueel nog een hot wash meeting en op naar de volgende klant. Het papierwerk komt pas weer nadat alle in het pentest rapport aangegeven risico's geaccepteerd moeten worden door geldgebrek :).

Haha, helemaal waar.

Security is een papieren probleem, een horde voor het implementeren van de laatste hype waarmee je lekker kunt scoren. Gaat het mis, dan is dat niet verwijtbaar want: ziehier rapport.

Weet je als securityspecialist meer dan anderen, dan moet die kop eraf, want je moet wel vervangbaar blijven. De zesjes cultuur in actie.

Bedankt voor de reacties,

Ik zie in de reacties eigenlijk twee hoofdgebieden. Een situatie waarbij men volgens protocollen en veel raportages op een soort van management niveau bezig is met security, zoals OverCome vertelt.

Een ander gebied is het werkelijk proberen te hacken van systemen, waarbij dehackresultaten vooral van belang zijn.

Klopt dit een beetje?

Het is net wat je wilt. het kan allebei. Ik ben een technisch security consultant en heb zowel niet technische als technische projecten.

Ga bij bedrijven informeren en vertel hun wat je ambities zijn. de hackbaantjes zijn er wel degelijk.
Je zal wel bij ieder project papierwerk moeten doen. De resultaten moeten uiteraard altijd gerapporteerd worden. Hoort bij het vak.

Het heeft beide zijn charmes. De hacker kan misschien wel goed hacken, maar overziet misschien wat minder de bedrijfsprocessen. en omgekeerd. Ik heb zelf nog geen voorkeur voor een bepaalde richting.

Een leuke cursus is Pentesting with Backtrack van Offensive Security.
Daarbij leer je verschillende aspecten van security waarbij het maken van rapportages ook erg belangrijk is.
Erg veel hands on training en best pittig.

Ik lees het al, heel veel professioneel personeel hier.

> Op welke manier zijn de pro's hier bezig met security

Tegenlicht wie ben jij? ,Waar kom je vandaan? , Vanwaar deze interesse? , Voor welke staat werk je?
Denk je nu werkelijk dat professioneel beveiligingspersoneel hier open en bloot alles aan je verteld?

Wordt eens wakker.

Ja, Als security officer bij een grote gemeente.
Ja, inclusief de organisatie er omheen.
IT, personeel en fysiek: Adviezen, opstellen organisatie specifieke richtlijnen, audits en aansturen medewerkers op security vlak.Mijn huidige werkgever is er blij mee, die heeft graag inzicht in de risico's en neemt er dan beslissingen over.

Mijn vorige werkgever (andere overheidsinstantie) vond het vervelend, wilde liever niets weten en alles onder de pet houden.
Als ik daar soms een advies gaf over een aangetroffen kwetsbaarheid kreeg ik zelfs op senior management niveau letterlijk te horen: "je houdt je bek" (daarom is dat nu een ex-werkgever)

Als je meer dan puur technisch bezig wilt zijn heb je goede communicatieve vaardigheden en organisatie sensitiviteit nodig.
Als je leuk werk wilt hebben is het essentieel dat je begrip en steun op management niveau hebt. In een open en transparante organisatie is men meestal blij met inzicht over waar het wel en niet goed gaat. Je hebt hier voor een deel zelf de hand in. Als je je opstelt als politieagent en alleen maar "nee dat mag niet" roept dan is het begrijpelijk dat men je alleen maar lastig vindt, als je oplossingen aandraagt zal men je waarderen. (het brengen van "slecht nieuws" is echter niet altijd te voorkomen, dan moet je wel tegen de negatieve reacties kunnen) Het leukste deel van mijn werk vindt ik het bezig zijn met oplossingen verzinnen om dienstverlening op een veilige manier mogelijk te maken.

Leuke banen in dit vakgebied zijn relatief schaars, succes met je keuze

Ja

Ja, ik voer al ruim 8 jaar fulltime penetratie testen uit voor klanten.

Klanten huren je in om iets te testen, dus die zijn blij met de resultaten als je kwetsbaarheden aantoont. Derde partijen en IT afdelingen kunnen soms wat minder blij zijn met de resultaten, omdat ze vaak onderwerp van de test zijn en bang zijn dat ze de zwarte piet krijgen toegespeeld voor de aangetroffen kwetsbaarheden. Aan de andere kant kan een pentest rapport ook gebruikt worden om meer budget te vragen om de aangetroffen kwetsbaarheden op te lossen.

Dit is een security forum. En dan wil het wel eens gebeuren dat er een securityvraag langs komt. Niemand moet open en bloot iets vertellen. Er zijn genoeg manier om op een abstracte manier iets te vertellen over je vakgebied.

Die vragen die ik stelde waren inderdaad vragen naar topsecret. Ik heb ook even de reacties doorgelezen, hier kunnen China en Rusland idd heel wat raketten mee bouwen.

Het lijkt er op dat jij wakker bent geschrokken. Rustig maar jongen, er is niets aan de hand.

Neen. Security is echter wel een belangrijk onderdeel van mijn takenpakket.


Jawel, maar niet de mijne


Vraag ik me ook wel eens af... Ik adviseer voornamelijk.


De meeste gebruikers/collegae hebben een hekel aan het beleid (wachtwoorden en zo... moeilijk hoor!) maar vinden het wel fijn wanneer onze onderdelen moeiteloos door de tests komen. Privé kan en mag ik veeeeel meer dus is het ook meteen een stuk leuker voor iedereen.


Beiden. Ik kan me gelukkig verschuilen achter het grote, anonieme beleid. ;) Als tussenpersoon/adviseur moet je beiden partijen vertegenwoordigen en dat betekent dat je soms een kant moet kiezen. Soms vraag ik functionaliteit en soms vraag ik medewerking van de eindgebruiker.