Poll
image

Inzet studenten voor cybersecurityscan bij bedrijven:

maandag 26 oktober 2020, 12:26 door Redactie, 9 reacties
Goed idee
40.96%
Slecht idee
35.46%
Hodor
23.58%
Reacties (9)
26-10-2020, 14:59 door Anoniem
Voor de studenten die de cybersecurity wereld willen instappen is dit een mooi kans. Hierbij moet er wel rekening gehouden worden met een aantal belangrijke punten;
- Wat wordt er verwacht van de studenten, is er alleen sprake van standaard stappen volgen?
- Velen bedrijven zullen de studenten niet genoeg vertrouwen op kritieke informatie, wat dan?
- Zullen opleidingen/bedrijven misbruik hiervan maken? Is het doel om studenten zoveel mogelijk te leren i.p.v. gratis scans te aanbieden?


A.A
27-10-2020, 10:52 door Erik van Straten
In [1] (bron: [2]) heeft Sjoerd de Boer het expliciet over ICT-studenten van MBO en HBO. Dus niet willekeurige studenten, maar ook niet studenten cybersecurity.

Het is voor cybersecurityprofessionals vaak al knap lastig om de grootste risico's op te sporen en management, beheerders en gebruikers ervan te overtuigen dat er iets moet veranderen. Vooral als er de laatste tijd geen ernstige incidenten zijn geweest. Als beveiligen simpel zou zijn, en de wil om te beveiligen daadwerkelijk zou bestaan, was het niet zo'n puinhoop bij de meeste organisaties.

Zo'n stage kan zeer leerzaam zijn voor ICT studenten. Politici en bedrijven die echter denken dat stageplekken in alle gevallen wat opleveren voor een bedrijf, zijn niet goed snik of ordinaire uitmelkers (die stagiaires het vuile werk laten opknappen). Stageplekken zijn er m.i. vooral bedoeld om studenten te laten ontdekken dat de (hopelijk geleerde) theorie zelden zomaar in de praktijk kan worden toegepast. Politieke partijen worden, voor zover ik weet, ook niet door stagiaires geaudit.

Slecht idee dus dit goedkope politieke proefballonetje.

[1] https://raad.noordoostpolder.nl/documenten/politieke-vragen/2020-10-20-CU-SGP-Vragen-over-Cyberveiligheid.pdf
[2] https://www.security.nl/posting/675472/%22Zet+studenten+in+om+bedrijven+te+helpen+met+hun+cybersecurity%22
27-10-2020, 11:48 door Anoniem
Door Erik van Straten: In [1] (bron: [2]) heeft Sjoerd de Boer het expliciet over ICT-studenten van MBO en HBO. Dus niet willekeurige studenten, maar ook niet studenten cybersecurity.

Ter verduidelijking, opzich zou dit poll niks te maken moeten hebben met uitspraken de Boer, topic bestaat al een tijdje. Kan wel de aanleiding zijn. Vraag is hier of het een goed idee zou kunnen zijn, en ja, hodor.

Studenten op de MBO die een systeembeheerder opleiding volgen, worden telkens getest op minimum opleiding eisen om een diploma te behalen. Deze studenten lopen wel kansen mis indien er geen keuzedeel security aanwezig is (indien ze ook security willen instappen).

Volgens mij en vele andere studenten is dit (indien goed ingesteld) een prima idee.
(en we haten optie hodor, is een 2016 meme.. come on)

A.a.
27-10-2020, 15:06 door Anoniem
De beste cybersecurity experts hebben HBO computer- en elektrotechniek gedaan en daarna een WO informatica studie afgerond. Dan ben je toch al gauw zo'n acht jaar kwijt, als een goede beginner.
28-10-2020, 00:06 door Anoniem
Door Anoniem: De beste cybersecurity experts hebben HBO computer- en elektrotechniek gedaan en daarna een WO informatica studie afgerond. Dan ben je toch al gauw zo'n acht jaar kwijt, als een goede beginner.

Het echte serieuze niveau is PhD. De NSA heeft 1.000 daarvan in dienst.
28-10-2020, 10:42 door Anoniem
Voor de bedrijven zal het een minimale winst opleveren en het zal dus duidelijk moeten zijn dat het niet betekent dat je systemen in orde zijn na zo’n scan door een student. Het zijn immers, een uitzondering daargelaten, geen beveiligingsexperts en zullen waarschijnlijk alleen basale fouten ontdekken. Ik hoop echter dat zoiets een nieuwe generatie studenten wel meer security bewust maakt, zodat we als samenleving in zijn geheel sterker komen te staan.
28-10-2020, 16:51 door Anoniem
We vergeten met z'n allen dat de bulk van alle bedrijven in Nederland bestaat uit MKB. Het is uiterst slecht gesteld met de cybersecurity van MKB bedrijven (ik hoef niet opzoek naar bronnen, kijk het archief van security.nl maar na). Veel bedrijven gaan er pas serieus naar kijken of doen er pas iets aan als het al te laat is.

Het is voor het gros van het MKB niet te betalen om een cybersecurity specialist in dienst te nemen of in te huren. Laat staan een FTE systeembeheerder (is naar mijn mening ook niet nodig voor een MKB van 15man). Daarbij is er een extreem tekort aan opgeleid personeel voor IT Security. MBO en HBO studenten kunnen klaarblijkelijk moeilijk aan een stageplek komen en Corona helpt hier ook niet in mee.

Een gemiddelde IT MBO / HBO student (ben zelf ook beiden geweest) heeft echt wel kennis en kunde van de basis principes in IT Security. Beter dan lekker doorgaan zonder iets te doen. Daarmee leid je direct de IT MBO / HBO studenten op als security specialist die in hun studententijd of na hun diploma zich kunnen laten specialiseren.

Ik zeg win-win. Of zijn er andere met serieuze oplossingen?
30-10-2020, 06:42 door Anoniem
Ja, lieve vrienden. Maar als de noodzaak niet wordt gevoeld om de digitale infrastructuur echt wat veiliger te krijgen, bijvoorbeeld door echt een termijn te stellen totdat o.a. globaal http echt helemaal uitgefaseerd wordt ten behoeve van https only, zodat op achterliggende servers geen downgrade aanvallen meer kunnen worden gepleegd of dat dit niet meer loont voor cybercrime en onbenul,schieten we nog niet veel op.

Zoals gezegd. Degenen, die de beslissingen zouden moeten nemen hebben er noch verstand van noch zien er de noodzaak van in (security immer als sluitstuk op de begroting, maar de eindkosten zitten altijd `onder in de zak`).

Degenen, die er verstand van hebben, doen er heel vaak niet toe. Die er geen verstand van hebben zijn de decisionmakers.
Hoe kan een ingehuurd stagiar bijvoorbeeld een CEO of leidinggevend manager communicatie `omturnen´ tot het nemen van beveiligingsmaatregelenen uitgaven daartoe i.p.v. zijn steeds maar streven naar winsoptimalisatie ten behoeve van de aandeelhouders.

Er komt nooit verandering vanaf `de vloer´. Wel steeds aangestuurd vanaf boven, zoals het bij alle "revoluties" het steeds is gegaan. Zonder aansturende "bovenbazen" verandert er niets in de maatschappij, dus ook niet op best policy beveiligde connectie tussen bijvoorbeeld website en achterliggende webserver/cloudserver etc. 250 uit te voeren recommendaties vaak.

Zou het wel gebeuren zou menige veiligheidsbeheerder aan het eind van de dag na controle met een gerust hart zijn muis op de muismat kunnen omkeren. Toch een fijne werkweek allemaal hier.

luntrus
31-10-2020, 00:30 door Anoniem
Door Anoniem: Ja, lieve vrienden. Maar als de noodzaak niet wordt gevoeld om de digitale infrastructuur echt wat veiliger te krijgen, bijvoorbeeld door echt een termijn te stellen totdat o.a. globaal http echt helemaal uitgefaseerd wordt ten behoeve van https only, zodat op achterliggende servers geen downgrade aanvallen meer kunnen worden gepleegd of dat dit niet meer loont voor cybercrime en onbenul,schieten we nog niet veel op.

Zoals gezegd. Degenen, die de beslissingen zouden moeten nemen hebben er noch verstand van noch zien er de noodzaak van in (security immer als sluitstuk op de begroting, maar de eindkosten zitten altijd `onder in de zak`).

Degenen, die er verstand van hebben, doen er heel vaak niet toe. Die er geen verstand van hebben zijn de decisionmakers.
Hoe kan een ingehuurd stagiar bijvoorbeeld een CEO of leidinggevend manager communicatie `omturnen´ tot het nemen van beveiligingsmaatregelenen uitgaven daartoe i.p.v. zijn steeds maar streven naar winsoptimalisatie ten behoeve van de aandeelhouders.

Er komt nooit verandering vanaf `de vloer´. Wel steeds aangestuurd vanaf boven, zoals het bij alle "revoluties" het steeds is gegaan. Zonder aansturende "bovenbazen" verandert er niets in de maatschappij, dus ook niet op best policy beveiligde connectie tussen bijvoorbeeld website en achterliggende webserver/cloudserver etc. 250 uit te voeren recommendaties vaak.

Zou het wel gebeuren zou menige veiligheidsbeheerder aan het eind van de dag na controle met een gerust hart zijn muis op de muismat kunnen omkeren. Toch een fijne werkweek allemaal hier.

luntrus

Waarom denk je dat een CISO of CSO een capabele beleidsmanager moet zijn en security risico's moet kunnen inschatten en onder woorden kunnen brengen?

De typische board of direcotors (of audit committees) discussiëren over risico's van honderden miljoenen en daar hoef je niet met je technisch project plan aan te komen over een virusscannertje. Security op management niveau gaat is een drie dubbele functie; security kennis, risico analyse, maar zeker ook management.om je keuzes te verdedigen en budget los te krijgen.

Als er een typisch geek bij een board denkt gehoor te krijgen zijn ze binnen 5 minuten klaar en krijgt diegene niets voor elkaar. Een van grootste fouten die je kan maken: nerd / geek praten bij je directie.

Eminus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.