Ik ben een afstuderende student in de IT, met als een gevolgde minor IT Security. Wat ik als advies kreeg om goed naar te kijken is CISSP. Klein linkje voor meer informatie: https://www.isc2.org/cissp/default.aspx

Ik hoop dat je hier wat aan hebt.

Gr,

Charown

https://www.security.nl/posting/39685/Security-cursussen+voor+%22beginner%22

IT is een van die vakgebieden waar je constant bezig bent bij te blijven. Maar IT Security is nog 10 keer erger, je moet elke dag bijblijven, soms elk uur. Zonder een voor je uitgespelde cursus. Vind je dat een aantrekkelijk vooruitzicht?

Ook: als je lang bezig bent om dingen op te zoeken, waarom zou je het dan willen? Vermoedelijk ben je beter af als IT-er als je niet goed bent in dingen zelfstandig uitzoeken.

Mocht je het toch willen: certificaten in IT security zijn relatief weinig waard omdat het basiskennis is en de echt bruikbare kennis verzamel je elke dag door security nieuws bij te houden op Twitter, mailing lists, security sites, etc. En door zelf onderzoek te doen.

Je kunt wel makkelijk anderen onder de indruk laten zijn van een rij certicaten. In dat opzicht is het wel handig. Zoek een willekeurige security professional op in Linkedin en kijk wat die achter zijn naam heeft staan. De meeste cerfiticaten vereisen een HBO/academisch denkniveau.

Welke richting wil je in?

"Security" is een begrip waar heel veel onder valt.

Sorry hoor, maar certificaten zijn weinig waard? Ik weet niet waar jij dat op basseerd, maar als jij een CISSP certificatie hebt dan is dat behoorlijk wat.

Ik snap je punt wel dat certificaten snel verouderen qua stof, maar dat is met alles binnen de IT.

Tenzij je de rest van je leven vrijwillig in security wilt werken zou ik snel certificaten halen, al is het alleen om door de HR-checklist te komen bij sollicitaties.
Verder zijn IT-security certificaten niet perse weinig waard, ook al is de kennis statisch. Je maakt inderdaad een goed punt dat IT-security continue in beweging is en informatie slechts beperkt houdbaar is, maar dit is alleen van toepassing op technische exploits en hack-technieken. De wijze waarop risicoanalyse en beoordeling wordt uitgevoerd staat al jaren vast en verandert niet heel snel.

Je uitgangspunt is binnen één jaar een overstap maken naar security. Je hebt al relevante kennis op IT, ik zou beginnen met dit ombuigen naar security.
Doe je nu momenteel netwerkbeheer? Dan kan een Cisco certificering (specialisatie: security) een goede eerste stap zijn waarbij je de kennis die je nu al hebt kan toepassen.

Kun je wat meer vertellen over wat je nu doet?

"De IT" is een breed veld, en "IT security" is dat ook. Welke opleiding of certificaten nuttig zijn hangt mede af van welke richting je zoekt.
Onder de vlag security heb je "audits" die sterk gericht zijn op organisatie, processen (denk aan accountants) en heb je pentesting en vulnerability research wat nogal eens de ultranerds zijn die denken in bits en buffers.
Ben je nu een IT service manager is een stap naar de procesmatige security dichterbij dan naar pentesting. Ben je nu een developer/senior beheerder dan ligt pentesting meestal meer voor de hand (en dichter bij de interesse) dan processen.

Werk je nu in een organisatie waar je het team waar je naar toe wilt al kent kun je vrij gericht vragen wat daar de gezochte skillsets zijn en overstappen.

Bedenk overigens dat je in elk (IT) veld zult moeten bijblijven. Nu certificeren en 25 jaar lang rustig cashen gaat er echt niet inzitten.
De aandachtsgebieden, technieken, mode en eventuele standaarden/eisen zullen over die tijdschaal zeker veranderen.
("dos en bootsector virus expertise" - 20 jaar geleden heel wat relevanter dan nu. De virussen zijn er nog wel, de detailkennis van DOS interrupts is minder relevant geworden).
Verder moeten alle serieuze certificaties om de paar jaar verlengd worden.
Het _veld_ Security zal vast ook relevant blijven, maar ben je serieus goed zul je vermoedelijk ook over 25 jaar nog een prima boterham met COBOL kunnen beleggen.


CISSP wordt veel gevraagd en heeft op veel plekken waarde. Misschien net wat minder voor diepgaand technische richtingen.
Mocht je het nog niet hebben, een paar relatief brede server/netwerk certificaten (bv CCNA , en een van de Linux certificaties) zijn altijd een goed fundament .
Wil je een organisatorische kant op zou je m.i. zeker ook een ITIL training moeten zoeken; Prince2 (project mgmt methode) kennis is ook nuttig omdat dat in veel organisaties gebruikt wordt . Security audits gaan beter als je de organisatie en werkwijze begrijpt.

Naast een zekere aantoonbare kennis laat het hebben van een paar certificaten ook zien dat je bereid bent om je in te zetten en dingen te leren. Dit is een hele voorsprong op degenen die op achterover leunen en zeggen "me werkgever stuurde me niet op cursus" (of 'stelt allemaal niks voor zo'n papiertje' - niet iedereen die het zegt maakt de attitude waar in eigen kennis)

Hoi Ferry,

Het is lastig een generiek antwoord te geven op je vraag. Veel hangt af je basiskennis en de richting waar je naartoe wilt. Ik zal het verhaal zo breed mogelijk proberen te houden en met richten op technische en redelijk praktisch ingestelde certificaten, met het risico dat ik de plank mis sla. Het is niet anders.

Als eerste zou ik me richten op een basisexamen. Denk aan Security+ of SSCP. Ook met al wat ervaring op zak zijn dit zeker geen examens die je even binnentikt. De stof is breed genoeg om overal wat van op te pikken. Antivirus, de basisbeginselen van de OSI lagen, de PKI basisbeginselen, netwerken, firewalls, encryptie, wireless, authenticatie etc. Het komt allemaal terug zonder meteen de diepte in te duiken. Mocht je de basisbeginselen van netwerken niet goed genoeg beheersen, kijk dan eens naar het Network+ examen. Hoe simpel het examen ook klinkt: ik heb nu nog profijt van de kennis die ik toen heb opgedaan. Maandenlang met Wireshark aan de gang en RFC's nalezen om te begrijpen wat er precies gebeurt op datagramniveau.

Als je hiermee klaar bent is wellicht een cursus als CEH aardig (mede vanwege je technische achtergrond), danwel een cursus van de SANS (CEH vond ik qua cursus niet sterk en qua stof nog minder, maar andere collega's hadden een goede docent die het verschil maakte). Met wat geluk tref je een docent die niet als een blinde aap alleen tooltjes runt, maar je begrip bijbrengt over zwakheden, mitigerende en compenserende maatregelen, voor- en nadelen van deze maatregelen, risico-afwegingen etc. Kortom, iemand die jou dwingt na te denken. Dat zal een erg nuttige eigenschap blijken voor de toekomst.

Met deze kennis op zak kun je besluiten je te gaan specialiseren. Welke kant wil je op? Om wat ideeën te geven, inclusief wat verwijzingen naar bestaande plekken waar je terecht kunt:

- Forensische wetenschap (SANS)?
- Encryptie (Certified Encryption Specialist)?
- Netwerken (Cisco)?
- Nog meer uitbreiding van je basiskennis (CISSP, ISSAP, CISA)?
- Cloud (CCSK, danwel vendor-specifieke cursussen van Microsoft of Amazon)?
- Besturingssystemen (Red Hat, LPI:Security, Microsoft)?
- Secure programming (goede toekomst met al die onveilige rommel die wordt gebouwd)?
- Protocol analyse (zie b.v. de site van Wireshark university)?
- ...

Het aanbod is echt eindeloos. Wil je een vendor-specifieke of juist vendor-neutral insteek? Wil je je meer richting techniek bewegen of meer richting risk management? Wil je je specialiseren, of wil je juist generiek inzetbaar zijn (minder kennis van de bits en bytes, maar wel kennis van veel meer onderwerpen)? Misschien allemaal vragen waar je nu nog geen antwoord op hebt. Dat hoeft ook niet. Begin maar met Security+ of SSCP, daarna kijken we wel weer verder.

Hopelijk heb je hier wat aan. Ik ben wel benieuwd naar de ervaringen van anderen.

Overigens:


JA! Ik heb een jaar of 12 geleden de overstap gemaakt naar IT security en heb er geen moment spijt van. Het is het mooiste vakgebied dat je je kunt voorstellen. Het is soms op je tenen lopen doordat de techniek zo enorm snel gaat, dat klopt. Als je een baan van 9 tot 5 zoekt, is IT security daarom wellicht niet de plek waar je je heil moet zoeken. Ben je bereid er head-first in te duiken en je scheel te lezen, testen, installeren, discussiëren en te studeren én je hebt affiniteit met informatiebeveiliging, dan is er geen beter vakgebied denkbaar. Ik zou niets anders meer willen.

Je kunt beter een Macbook kopen, Microsoft heeft geen goede securitie.

Het is voor de buitenwereld wel wat waard (dat schreef ik ook), maar voor jezelf is het niets meer dan bassiskennis en theorie. De praktijk is waar het om gaat.

Er zijn veel "napraters" bijgekomen de laatste 10 jaar. Mensen die menen dat iets op een bepaalde manier in elkaar zit omdat ze het zo geleerd hebben, niet omdat ze het zelf hebben uitgevonden. Ik geef de voorkeur aan de laatste categorie.

@Overcome
Ik ben ook zo'n gek, maar ik ken veel meer IT-ers die dat niet willen/kunnen/volhouden dan mensen die dat wel doen. Vandaar mijn waarschuwing slash doorzettingsvermogentest.

Hey goed stukje! Ik heb nog wel een vraag waar jij een antwoord op weet. Ik wil ook richting de IT Security, maar wil ook meer management kant op gaan. Uiteindelijke doel is om een CISO (of CSO) te zijn binnen een bedrijf. Heb je dan een aanrader? Ik krijg vaak gewoon te horen dat ik CISSP moet doen in dat geval, ben jij het hier mee eens of heb je ook alternatieven?

Mvg!

Maar de basiskennis behandeld in CISSP op organisatorisch gebied is nog steeds in gebruik. Op dit gebied vind ik CISSP heel erg goed, aangezien deze theorie gewoon standaarden zijn dat in bedrijven wordt toegepast (risicoanalyses bijv.).

Voor meer technische kennis kan je beter inderdaad leren in praktijk, omdat dat nooit via het boekje gaat.

Ja - CISSP moet je dan zeker doen .
Maar een Chief (xyz) Officer is _vooral_ een senior manager . Het aandachtsgebied is secundair .
Doe ITIL, Prince2, Lean Six Sigma dingen, en indien mogelijk een MBA .
Leer heel goed Excel , Powerpoint en vooral leer/oefen in presenteren.
Op alle management lagen zijn dat nuttige / noodzakelijke vaardigheden.

CISSP helpt je meer twee of drie lagen onder het C niveau. Het is een leuke extra, en het helpt je wel met geloofwaardigheid naar beneden in de organisatie, maar je uiteindelijke benoeming tot CxO zal gaan om je management vaardigheden/netwerk en niet om je punten op een techniek certificaat.

Bedankt voor ieders reacties

Er waren mensen die wat meer van mijn achtergrond wilden weten. Ik heb nu ruim 10 jaar ervaring voornamelijk bij verschillende grote bedrijven (+5000 man personeel internationaal), zowel in dienst betrekking als in detachering. ITIL, BISL, PRINCE2 en dergelijke certificaten heb ik reeds in de pocket en veel van die kennis pas ik ook dagelijks toe. Tijdens mijn opleiding (HBO) was een Cisco Certified Network Professional traject onderdeel van mijn opleiding, dus basale netwerk kennis heb ik ook (opfrissen is wellicht het overwegen waard. IP v6 was destijds bijvoorbeeld nog niet zo hot als het nu in sommige organisaties is.)

Ik blijk het beste te functioneren als ik met 1 been in de techniek kan staan en met het andere been me bezig kan houden met de functionele impact van deze techniek voor het bedrijf.

Ik houd me niet dagelijks bezig met de netwerk en OS lagen, maar heb genoeg kennis van zaken om op die niveaus de juiste vragen te kunnen stellen om collega's en leveranciers scherp te houden en aan te kunnen sturen. Mijn eigen werk begint op de applicatie laag (apache, IIS databases, monitoring tools, in house ontwikkelde systemen, of the shelve systemen) en de laag daarboven (als ik het even zo mag noemen) de compliancy laag waar IT o.a. de wet en regelgeving en risico management tegenkomt.

Tot zo ver even mijn achtergrond in highlights.


Momenteel wordt ook van me verwacht dat ik op verschillende terreinen mijn kennis up to date houd. Wellicht kan het altijd erger, maar ik vind het leuk om dingen bij te blijven leren. Dus dit risico ben ik bereid te lopen.


Het is niet zo dat ik niet goed ben in het zelf uitzoeken. Ik merk dat ik een zekere basis mis waar ik op kan bouwen. Waardoor ik ook telkens de basis moet uitzoeken voordat ik voldoende onderbouwd aan de slag kan met wat ik eigenlijk wil uitzoeken. Ik zou die basis graag met trainingen leggen.


Snap ik. De uiteindelijke richting is me nog niet helemaal duidelijk. Zal mede afhangen van de mogelijkheden die ik onderweg tegenkom en een aantal opties die ik mogelijk al kan uitsluiten zoals Secure programming. Ik ben niet in de wieg gelegd om te programmeren.

@Overcome bedankt voor je reactie. Deze is voor mij zeer bruikbaar.

SSCP was me ook door een collega aanbevolen. Security+, daar had ik nog niet serieus naar gekeken. "sscp vs security+" intikken bij Google levert echter interessant leesvoer op. Mijn persoonlijke voorkeur gaat dan uit naar SSCP


CEH is ook al op mijn radar gekomen, maar wordt ongeveer net zo vaak aan als afgeraden. Hier twijfel ik dus nog over. Zoals Overcome ook zegt lijkt veel af te hangen van de docent en met de juiste docent kan het een waardevolle training/certificering zijn.


Duidelijk. Het schrikt me niet af en ligt in lijn met hoe ik mijn werk nu benader.

Dan toch nog even wat opvolg vragen:

-SSCP:
Zoals ik het nu inschat is deze certificering met wat achtergrondkennis en op en uitzoek werk als zelfstudie doen. Zijn er mensen die dit kunnen bevestigen en indien ik ernaast zit zijn er mensen die opleiders of trainingen kunnen aanbevelen? Klassikaal of online.

-CEH:
Als mijn beeld klopt dat deze certificering staat of valt bij de docent dan lijkt zelfstudie me voor deze certificering niet de beste aanpak. Kunnen jullie ook hier opleiders aanbevelen dan wel afraden? liefst in person, want online lijkt me minder geschikt.

-CISSP:
CISSP vereist 5 jaar ervaring. Dat zou voor mij op zijn vroegst over 2 tot 4 jaar komen afhankelijk van hoe breed ik de eisen mag interpreteren. Ik zou echter wel "associate" kunnen worden. Afhankelijk van de opdracht/werkgever zou dit gezien kunnen worden als de motivatie om verder te komen. Hebben jullie hier ervaring mee?

Dankje voor je antwoord. Ben momenteel in mijn laatste jaar IT Service Management. Zit er ook aan te denken om een vervolgstudie te doen, maar ik twijfel dus een beetje met wat ik als eerst ga doen. Bijv. eerst bedrijfskundig informatica of eerst cursussen gericht op security. Ik wil gewoon meer richting leiding geven en management gaan (geld is een leuke toevoeging natuurlijk dat zal ik zeker niet ontkennen). Ik dacht dat je voor CISO ook wel meer nodig had dan alleen echt management vaardigheden eerlijk gezegd. Ook andere CxO spreken mij wel heel erg aan.

ITIL en Prince2 heb ik gelukkig al wel gehad in mijn opleiding, dus hiermee kan ik redelijk goed uit de voeten.

Ja, dat zelfstudieverhaal kan ik bevestigen. Misschien ben ik geen goed voorbeeld, want ik doe alles op basis van zelfstudie. Dat was zo bij mijn vervolgopleiding en is nooit veranderd. Te weinig goede docenten die dagen- of wekenlang weten te boeien in het juiste tempo en de juiste diepgang. Daarbij vind ik enkele duizenden euro's voor het veelal klassikaal doorploegen van een stapel sheets teveel van het goede.
Er zijn voldoende goede SSCP studieboeken om het examen te kunnen halen. Daarnaast is er ook voldoende ander studie- en examenmateriaal te krijgen op internet om op basis van zelfstudie en -discipline dit binnen te tikken. Koop anders een boek dat op Amazon voldoende goede recensies heeft gekregen en bekijk na het thuis doorlezen van de materie of je nog vragen hebt. Daarna kun je altijd nog beslissen om een driedaagse (?) SSCP cursus te volgen.


Ik weet dat TSTC (http://www.tstc.nl/training/security/) de cursus aanbiedt. Enkele collega's hebben de cursus bijgewoond. Hun commentaar: de cursus is erg gericht op het halen van het examen en niet zozeer op het opdoen van kennis. Dat is denk ik ook meteen het nadeel van de cursus, zoals eerder aangegeven. Heb je een middelmatige docent, dan staan de tools centraal en niet het risk management achter de tools. Het materiaal van CEH vond ik trouwens slecht (ik heb het over v4; we zitten nu op v9). Een bundel uitgeprinte websites inclusief spelfouten. Toentertijd iets van 3400 pagina's. Dicatische waarde: 0. Ik heb er wel het nodige van opgestoken, maar dat kwam niet zozeer door de stof maar door de toepasbaarheid in de functie waarin ik toen werkzaam was. Ook hier geldt weer: wat denk je uit zo'n cursus te halen en sluit het aan op je informatiebehoefte en toekomstideeën? Wil je pentester worden? Dan is vlaggetje x of y bij nmap of de output van een X-mas tree scan belangrijk. Als je op conceptueel niveau wilt weten wat port scanning of OS fingerprinting is, dan is het leuk om de naam "nmap" te kennen, meer niet.


Niet direct, doordat ik gelukkig genoeg ervaring had om de titel meteen te kunnen voeren. Zo te zien kun je een jaar of 6 doen over het behalen van de CISSP titel, met daarbij misschien nog een waiver van één jaar (zie https://www.isc2.org/credential_waiver/default.aspx) via een door (ISC)2 ondersteunde certificering. Vanuit een manager-optiek (wat ik trouwens niet ben) kan ik me voorstellen dat je een streepje voor hebt als je aantoonbaar bewijs hebt dat je dit examen hebt gehaald en er tijd en moeite in hebt gestoken om het te halen. Aan de andere kant is de vraag: heb je CISSP nodig voor het werk dat je nastreeft? Voor mij was het meer een verkoopcertificaat dat goed staat op mijn CV. Teveel dingen bij dat examen bleken voor mij (maar nu spreek ik op persoonlijke titel) niet nuttig te zijn. Voor netwerken heb ik meer gehad aan Network+ en Cisco. Aan de theoretische modellen zoals Bell-LaPadula heb ik nog nooit wat gehad. De hardware aspecten en OS beschrijving was aardig, maar voor mij niet bijster nuttig. Operationele beveiligingskennis vanuit de praktijk vóór CISSP bleek nuttiger en completer te zijn dan de CISSP theorie. Het certificaat opent echter wel deuren en je pikt zeker nieuwe dingen op, ook dingen die er wel toe doen zoals encryptie en user access protocollen.

Dus om deuren te openen en om dieper in de basiskennis te duiken: zeker nuttig. De praktische toepasbaarheid van CISSP is volledig afhankelijk van het pad dat je na CISSP gaat bewandelen.

Oh jee, een manager :). Ik zou zeggen: stap zo ver mogelijk af van de inhoud, weet overtuigend onzin uit te kramen, leer mensen manipuleren, richt je op plaatjes in plaats van de inhoud, leer vergaderen, leer overtuigend presenteren en doe je elleboogbeschermers alvast aan om iedereen die meent eerder aan de top te moeten komen dan jij een welgemikte knal a la Fedor Emelianenko te verkopen.

Sorry, ik liet me even gaan. Ik denk dat de persoon die initieel reageerde op je bericht het antwoord al gegeven heeft. Je stapt bij een managementfunctie noodgedwongen af van de echt diepe inhoud, en richt je veel meer op het afstemmen van business doelen met de security governance en security strategie van een bedrijf. Het verlaten van de hardcore techniek moet ook wel. Voor technici op de werkvloer is het tempo al amper bij te benen, maar dat is 10x zo erg als je een managementfunctie gaat bekleden en je alleen in de avonduren wat technische kennis op kunt doen. De grote lijnen zijn dan belangrijk. Een strategische of tactische richting uitstippelen is totaal wat anders dan het veilig inrichten van een RedHat machine of het afstemmen van een IDS om het aantal false positives naar beneden te krijgen. De eisen die bij grote organisaties aan een CISO gesteld worden liggen ook niet zozeer op het vlak van informatiebeveiliging an sich. Tuurlijk, een solide kennis van informatiebeveiliging helpt om mogelijke beveiligingsproblemen sneller te doorzien, beveiligingservaring mee te nemen in je besluitvorming, de weg te kennen in het bedrijf op gebied van beveiliging etc.

Voor een management functie komen echter ook andere aspecten naar voren, zoals inspireren (jazeker beste managers, inspireren!), verkopen, vergaderen, overtuigend presenteren, budgetteren, verbinden, juridische en compliance kennis etc. Dat zijn zaken die je niet leert met een CISM of CISSP.

Even wat zoeken... hebbes. Ik heb hieronder wat aantekeningen geciteerd die ik heb gemaakt tijdens mijn CISM examenvoorbereidingen. Lees het maar eens door en vraag je jezelf dan af of dit de kant is die je op wilt gaan. Mij was vlug duidelijk dat dit niet is wat ik wil. Wel leuk om het een keer gezien te hebben.


Information security manager roles and responsibilities:
- Manage the risk to information assets.
- Develop a comprehensive understanding of threats the organization faces, its vulnerabilities and its risk profile. Linking realistic threats to key business objectives will direct executive attention to them.
- Direct efforts towards achievement of a standard set of security practices and establishment of security baselines proportionate to risk.
- Be aware of and understand the all organizational assurance functions.
- Make sure that the roles, responsibilities, scope and activities of the information security steering committee are clearly defined.
- Define/ develop the information security program and its subsequent management.
- Develop the security strategy with input from the key business units/ business process owners.
- Develop, collaborate and manage the information security risk management program to meet the defined objectives.
- Understanding the constraints that set the boundaries for developing a security strategy.
- Provide education and guidance to the executive management team (no decision making, but presentation of options and key decision support information - advisor)
- Educate the executive management team on visible executive involvement.
- Coordinate involvement of executive management in activities such as quarterly information risk reviews, new IS go/no-go meetings etc.
- Manage (financial) constraints, prioritizing and maximizing the effects of available resources in addition to working with management to develop additional resources. A skills inventory would help identify the available resources, any gaps and the training requirements for developing resources.
- Understanding the uses, benefits and constraints of the security technologies.
- Assess the impacts of any of the reasonably possible security failures of any third party that may become involved with the organization.
- Work with the personnel director to define security roles and responsibilities. Without well-defined roles and responsibilities in job descriptions, there cannot be accountability.
- Stay current with rules and regulations that impose mandatory requirements (e.g. retention requirements) and ensure compliance. Adherence to local regulations must always be the priority. Not following local regulations can prove detrimental to the group organization. Following local regulations only is incorrect since there needs to be some recognition of organization requirements.
- Ownership of standards. The last review date mentions in the standard is important information and confirms the currency of the standard, affirming that management has reviewed the standard to assure that nothing in the environment has changed that would necessitate an update to the standard.
- Take responsibility for maintaining liaisons with other risk management teams.
- Develop approaches to achieve a level of integration with the risk management activities of other parts of the organization, such as HR, audit, legal, facilities, compliance, privacy and physical security activities.
- Evaluate the available approaches to assess, analyze and mitigate risk in case these practices have not been established or are inadequate and seek to implement those that are the best for the organization.
- Introduce an appropriate structured methodology to help identify, evaluate, and minimize risk to the IT systems that support the organization's missions.
- Set up a regular, formal process in which risk assessments are performed at the organizational, system and application levels.
- Assure that there are measures (metrics) in place to assess the risk and the effectiveness of security measures.
- Explore and recommend to asset owners continuous manual and automated techniques to monitor the organization's risk.
- Develop a structure and process for the development of risk management initiatives and controls.
- Critically review and assess the current formal risk assessment process, existing management practices and processes to determine whether they meet current objectives and requirements.
- Consider the use of subscription services to leverage expertise of external service providers without assigning them responsibility for executing the security program (e.g. vulnerability alerting services).
- Interact with sources of new information about security products, services, threats, vulnerabilities, regulations, laws and management techniques.
- Knowledge of the existence of various risk management methodologies to determine the most suitable approach or combination of approaches for the organisation.
- Define resource requirements and establish a budget and timetable for applying risk analysis and identification methods. Although senior management should support and sponsor a risk analysis, the know-how and the management of the project will be with the security department/ information security manager. Therefore, the security manager should drive the risk analysis for an organization.
- Understand the business risk profile of the organization.
- Interface with other organizational assurance providers such as the insurance department.
- Determine if the organization's security plans and test plans require modification (based on events that ar emonitored and assessed).
- Detect ongoing organization changes to alter the use of valuation methodologies to best meet the needs as a result of these changes.
- Be aware of the location and access permissions for all information resources.
- Regarding outsourcing:
+ Ensure that the organization has appropriate controls and processes in place to facilitate outsourcing.
+ Ensure that there are appropriate information risk management clauses in the outsourcing contract.
+ Ensure that a risk assessment is performed for the process to be outsourced.
+ Ensure that an appropriate level of due diligence is performed prior to contract signing.
+ Manage the information risk for outsourced services on a day-to-day basis.
+ Ensure that material changes to the relationship are flagged and new risk assessments are performed as required.
+ Ensure that proper processes are followed when relationships are ended.
- Ensure that risk identification, analysis and mitigation activities are integrated into life cycle processes.
- Be up to date with proposed modifications that introduce new vulnerabilities and change the overall risk equation.
- Participate as a member of the change management committee.
- Ensure that all significant changes are subject to review and approval by security and meet policy and standards requirements.
- Manage the security reporting process to ensure that it takes place that the results are analyzed adequately and acted on appropriately in a timely manner. The link to business objectives is the most important element in a report that would be considered by management.
- Ensure users are educated in procedures and understand risk management processes.
- Develop defined objectives for the information security program and gain management and stakeholder consensus. - Develop a full security architecture to ensure the goals and desired outcomes of the security program are realized (in case the development is a major initiative or series of initiatives.)
- Understand organizational information risk.
- Select appropriate control objectives and standards.
- Agree on acceptable risk and risk tolerance.
- Define financial, operational and other constraints.
- Develop formal relationships with assurance providers and endeavour to integrate those activities with information security activities. For example: audit, QA, privacy, physical security risk management, change management, insurance, HR, business continuity, disaster recovery and possibly others.
- Develop monitoring processes and associated metrics to provide continuous reporting on the effectiveness of information security processes and controls.
- Understand and have a working knowledge of a number of management and process concepts, including: SDLC, requirements development, QA, project management, business process reengineering, budgeting, costing and financial issues, training needs assessments and approaches, personnel issues etc.
- Understand where a given technology fits into the basic prevention, detection, containment, reaction and recovery framework, and how it will serve to implement strategic elements.
- Invest considerable effort in gaining an understanding from those to report to regarding expectations, responsibilities, scope, authority, budget, reporting requirements etc.
- Work with IT, business units and other organizational units to ensure that operational needs are covered.
- Update the roles and responsibilities documentation as new tasks arise in operational component development.
- Make sure that all relevant processes are developed and implemented, such as issue escalation, management oversight and periodic quality assurance reviews.
- Establish a working rapport with the finance department to ensure a strong working relationship, support and compliance with financial policies and procedures.
- Work closely with HR leadership and adhere to established procedures to prevent legal liabilities and other types of risk.
- Work with the steering committee and executive management to determine priorities and to establish consensus on what project items may be delayed because of resource constraints.
- Maintain relationships with vendors most likely to be called upon when spikes in personnel demand occur.
- Make sure that executive management understands the risk implications of moving an initiative ahead without full security diligence.
- Collaborate with HR and business units to identify information security education needs.
- Be familiar with existing frameworks and major international standards for IT and security management (COBIT, ISO 27000) and be able to extract relevant elements to utilize for the management approach best suited to the organisation.
- Gain senior management support and organizational acceptance and compliance for the information security program's policies, standards and procedures.
- Ensure that the organization's life cycle processes incorporate information security.
- Ensure that the personnel within the security organization as well as other responsible organizations maintain the appropriate skill set needed to carry out the program functions.
- Plan communications, participate in committees and projects, and provide individual attention to the end users' or managers' needs.
- Take a methodical approach to developing and implementing the education and awareness program.
- Ensure that processes and infrastructure are available that address creation, approval, change, controlled distribution and retirement of documentation.
- Implement procedures for adding, modifying and in some cases retiring information security policies, standards, procedures and other documentation.
- Track proposed changes to policies for review in the appropriate forums.
- Prioritize the portfolio of projects in such a way that those that overlap are not delayed by each other, resources are appropriately allocated, and the results are smoothly integrated into or transitioned from existing operations.
- Ensure familiarity with the budgeting process and methods used by the organization. Cost-benefit analysis is the legitimate way to justify the ongoing security budget of the information security department. A brief explanation of the benefit of expenditures in the (annual information security) budget (to be submitted for management approval) helps to convey the context of how the purchases that are being requested meet goals and objectives, which in turn helps build credibility for the information security function or program. Explanations of benefits also help engage senior management in the supply of the information security program.
- Collaborate with PMO (project management office) and appropriate subject matter experts to help estimate costs for projects that start within the fiscal year.
- Execute oversight and monitoring of external providers of hardware and software, general supplies, and various services.
- Periodically reevaluate the effectiveness of the security program relative to the changes in organizational demands, environment and constraints.
- Evaluate the documented security objectives established for the information security program.
- Evaluate the management program itself (framework and components) against compulsory and/or voluntary compliance standards.
- Assess the level of financial, human and technical resources allocated to the program.
- Work with the security steering committee, senior management and other security stakeholders to establish the scope and approach of technical skills delivery in which the information security manager and security organization are expected to engage.
- Have a thorough understanding of security architecture, control implementation principles, and commonly implemented security processes and mechanisms.
- Understand and plan for the potential "domino effect" of cascading risk.
- Implement the principle of due diligence (= ensure that the basic components of a reasonable security program are in place).
- Be aware of the various standards for managing and controlling access to information resources, including standards by relevant regulatory bodies.
- Ensure there are no system or systems without policy-compliance owners.
- Provide oversight and ensure that policy compliance processes are properly designed.
- Make choices about the impact that achieving control objectives will have on the CIA of information resources.
- Analyze and communicate the impact of new threats and vulnerabilities on the organization's risk exposure.
- Be the process owner for outsourced security services.
- Develop approaches to integrate SDLC activities with information security activities.
- Validate technology choices in support of physical security processes, as well as ensure that policies and standards are developed to ensure adequate physical security.
- Ensure that the components of the technical security architecture are aligned with the organization's risk and threat postures as well as business requirements.
- Have a thorough understanding how to monitor security programs and controls on an ongoing basis.
- Implement procedures to measure the ongoing cost-effectiveness of security components.
- Consider the development of a central monitoring environment that provides analysts with visibility into all enterprise information resources.
- Conduct analysis of trends in security-related events such as attempted attack types or most frequently targeted resources.
- Pay close attention to funding issues and work on them on an ongoing basis.
- Be aware of the possibility of non-technical incidents that must be planned for and addressed.
- Plan for the range of incidents likely to disrupt the organization's business operations to an unacceptable extent.
- Understand the various activities involved in a response and recovery program.
- Identify what incident response capability is already in place as a basis for understanding the current state.
- Implement an escalation process to establish the events to be managed.
- Develop a communication plan (e.g. for crisis or event information) and escalation process in consultation with public relations, legal counsel and appropriate senior management to ensure the appropriateness of any information disclosures.
- Have processes defined for help desk personnel to distinguish a typical help desk request from a possible security incident.
- Develop event scenarios and test the response and recovery plans to ensure that team participants are familiar with their tasks and responsibilities.
- Ensure that information security is incorporated into all response and recovery plans.
- Information security will be properly aligned with the goals of the business only with the ability to understand and map organizational needs to enable security technologies.
- Defining and ratifying the classification structure of information assets is the primary role of the information security manager in the process of information classification within the organization. The final responsibility for deciding the classification levels rests with the data owners. The job of securing information assets is the responsibility of the data custodians.
- Review all disaster recovery and business continuity plans to ensure that any risk to information security resulting from execution of the plans are highlighted and treated appropriately.
- Coordinate the collected information from the damage assessment phase of the incident response process to provide needed information to senior management so they will be able to make an informed decision regarding whether to declare a disaster.
- Develop clear requirements and processes to provide notification and escalation criteria for events, risk or other circumstances to various parts of the organization. The development of severity criteria and educating personnel in their use is a key component. The escalation process in critical situations should involve the information security manager as the first contact so that appropriate escalation steps are invoked as necessary.
- Ensure that processes exist for security policy review, modification, management approval and dissemination to all stakeholders.
- Review contracts that have implications for information security.
- Assess the risk of outsourcing any activity or service and ensure that appropriate provisions exist in the contract.
- Understand the organization's structure and culture, as well as the types of communication that are most effective, in order to develop awareness and training programs that will be effective in the environment.
- Ensure that change management policies and processes exist and are documented, that they are followed and that security is considered an integral part of the process.
- Translating an information security strategy into a control architecture is an essential competence for the information security manager.
- Develop processes to rank and prioritize risk based on several factors such as corporate exposure to the threats and potential impact if a threat materializes.
- Define and ratify the classification structure of information assets.
- Drive the risk analysis for an organization (senior management should support and sponsor the risk assessment/ analysis)

Dat is redelijk wat tekst ja. Ik zal dit vanavond wat nauwkeuriger doorlezen. Het grootste probleem waarmee ik zit is dat ik nog niet precies weet welke kant ik echt op wilt. Hardcore een bepaalde techniek gaan leren wil ik echter niet, want ik wil graag diversiteit houden. Ik ben erg snel afgeleid en klaar met bepaalde dingen. Ik ben meer de type die van alles globaal wel wat vanaf weet en die met iedereen kan meepraten.

Dat zegt mijn opleiding ook wel heel erg; IT Service Management. Ik moet de IT diensten binnen een bedrijf managen en beheren. Je wordt dus opgeleid als tussenpersoon tussen management en de ICT-ers en zorgen dat deze met elkaar kunnen communiceren. Dus voordeel dat ik heb, ik kan beide kanten op als ik wil zonder teveel om te gooien OF ik blijf op deze plek.

Ik wil echter wel een goede boterham gaan verdienen, dus vandaar mijn twijfel om wat meer toch naar management te gaan. Moet alleen heel eerlijk bekennen, het is echt lastig om zo een keuze te maken, zonder dat je echt heb kunnen proeven van praktijk.

Mvg

Charown

Wat dat betreft doe je er in elk geval goed aan om een zo hoog mogelijke 'normale' opleiding te doen.
Dat gaat veel langer mee dan een setje certificaten of cursussen, en een te lage opleiding geeft je in veel (grote) organisaties gewoon een lager carriereplafond.


Ik moet wel kwalificeren dat ik geantwoord heb voor het soort organisaties waar de C ook echt betekenis heeft.
Je kunt jezelf als ZZP'er best CEO noemen, maar dat is natuurlijk een nep-C . De Chief Security Officer van een MKB bedrijfje moet liever wel persoonlijk patches kunnen installeren.

De CFO heeft beslist een financiele achtergrond maar zit niet op die stoel omdat hij/zij een superboekhouder is.
En de CISO is verantwoordelijk voor IT security beleid/de IT (security) organisatie. Dan moet je het _beleid_ wel snappen, en goede keuzes maken welke projecten je de organisatie laat doen, maar hoef je de details niet hoogstpersoonlijk te begrijpen.
Je zit op dat niveau als hoogste manager, niet als beste vakspecialist .
En richt je eerst op je carriere direct na je opleiding : veertigers zijn jonge CxO s.

@Anoniem 13:06

Het klinkt alsof je er nog niet veel praktijk ervaring mee hebt.

@Anoniem 14:50

Ik had het niet kernachtiger kunnen zeggen.

@Overcome
Wederom dank voor je uitvoerige reacties, mooie lijst trouwens van wat je als manager allemaal over je heen krijgt en wat je beneden de manager allemaal gedelegeerd krijgt :) (Ik heb een aantal van die items nu op mijn bordje liggen)

Klopt, geen praktijkervaring, ben nu pas in afsluitende fase van mijn huidige opleiding. Ik gebruik het nu wel in mijn afstudeeronderzoek, maar dat is het.

Beste F3rry,

Ik weet niet hoe ver je al bent met je zoektocht. Je kunt altijd met ons in gesprek. Wellicht komen we wel tot een mooie baan voor je. Bezoek onze site: www.sene.nl

Wellicht tot snel.