Er is niet één vaardigheid het belangrijkste. Daarnaast is het ook afhankelijk van welke richting je op wil. Een CISO heeft hele andere vaardigheden nodig dan bijvoorbeeld een ethische hacker.

Goed kunnen zoeken bij dit alles is essentieel.
Happy Halloween.

luntrus

ISO27001 en security consultancy, incident response, threat hunting, risicomanagement... Altijd weer die enorm nauwe blik op cybersecurity. Het is niet alleen een IT-feestje.

Ik denk programmeren, analyseren en analytisch de belangrijkste zijn.

Coding, SQLi of netwerk traces analyseren valt daar allemaal onder.

Ik denk dat polls worden gemaakt en ingevuld door de laatste 2.

Je denkt blijkbaar alleen aan het hoekje van low-level technische security.

Analytisch vermogen, lezen/schrijven/presenteren/rapporteren , business skills, people skills worden belangrijker naarmate je wat hoger in de boom komt te zitten.

Er stuk van het security werk bestaat uit het runnen van verbeter projecten. voortgang bewaken - dingen laten uitfaseren die End of Life zijn, dingen (laten) upgraden , RFP schrijven voor security tools - en dat gebudgetteerd en geaccepteerd krijgen in het bedrijf- dat heeft heel weinig te maken met pentesten en pcaps analyseren.

Het vermogen om niet alleen maar te denken in termen van wat een systeem allemaal voor nuttigs moet doen maar juist te denken aan wat het vooral niet moet doen (en bij elk securityprobleem doet een systeem iets wat niet de bedoeling is - en met "systeem" bedoel ik niet alleen de techniek, maar ook de organisatie en de mensen die daar deel van uitmaken).

Onderschat niet hoe moeilijk dat is: wat een systeem wel moet doen is eigenlijk maar een heel beperkt, afgebakend geheel. Wat het allemaal niet moet doen en de manieren waarop dat toch zou kunnen gebeuren is eindeloos veel groter en ongrijpbaarder, omdat het gaat over alles waar het systeem niet over gaat.

In mijn (al een poosje afgesloten) loopbaan als automatiseerder is me steevast opgevallen hoe sterk gebruikers, management én de meeste automatiseerders gericht zijn op wat de te bouwen informatiesystemen wél moeten doen, en hoe onnatuurlijk het kennelijk voor veel mensen is om te denken in termen van alles wat juist niet tot het doel van het systeem behoort.

Ik denk dat het vermogen om daar wel aan te denken een vaardigheid is die bij alles wat jij opsomt nodig is om die dingen vanuit securityperspectief zinvol te doen. Het is een overkoepelende vaardigheid die, als hij ontbreekt, al die andere vaardigheden weinig laat toevoegen.

Ik denk dat je met Coding het meest ver kunt brengen. Als je kunt lezen, kan je ook schrijven en dat is pluspunt voor veel bedrijven.

Ik zie een aantal in mijn ogen goede reacties. Goed dat er toch nog zoveel security minded mensen, notabene in de nacht van zaterdag op zondag, deze site bezoeken en reageren!

Uitstekende reactie, maar dit geldt niet alleen voor "gebruikers, management én de meeste automatiseerders" maar zeker ook voor ontwerpers, ontwikkelaars en testers, en eerder al voor "marketing" die aanzet tot vernieuwing zonder securityrisico's te overwegen.

Bijv. aan webbrowsers wordt steeds meer functionaliteit toegevoegd waardoor het een soort besturingssystemen zijn geworden. Dit gaat zo ver dat je zelfs een browser in een browser kunt draaien (https://github.com/c9fe/ViewFinder, ik heb er nog geen ervaring mee). De ontwikkelaars van webapps schreeuwen om toegang tot het klembord, lokale bestanden, USB, grafische kaart etc. Dit leidt tot een gigantisch aanvalsoppervlak. Ook besturingssystemen en "office" software zelf zijn veel te veel gericht op alles te ondersteunen waardoor elke gebruiker er nog maar een fractie van gebruikt. Bloatware is de norm.

Bij het maken van lijstjes zou je ook van "de vraag" uit kunnen gaan. Veel directeuren vandaag de dag willen dat jij, met zo min mogelijk impact op de organisatie, zorgt dat diefstal van gevoelige informatie (evt. gevolgd door afpersing) en/of ransomware, wordt voorkomen. Ik zie nauwelijks iets in het lijstje van TS wat daar significant aan bijdraagt.

Ik lees een heleboel goede punten in dit draadje, met name dank voor de bijdragen van Anoniem@07:07 en Erik van Straten.

Wat ik wil toevoegen is "observatievermogen". Het opmerken van afwijkingen om daar later experimenteel/analytisch verder mee te werken. Met voldoende systeem en security kennis kun je uit een kleine afwijking afleiden welke fout gemaakt is en die exploiteren. Hoef je lang niet altijd voor te kunnen programmeren.
En wat de ideale skillset is hangt ook af van de rol die je binnen security vervult; ben je "aanvaller", "verdediger", "controleur" of adviseur? Werk je praktisch als aanvaller of verdediger of ben je juist meer met onderzoek bezig?

Creativiteit is dit vak is onontbeerlijk :)

Het topic wordt wel veel breder als waar TS om vraagt, maar je snijdt hier een punt aan dat ook mij - als IT-onkundige - verontrust. Browsers moeten tegenwoordig ook maar alles (aan)kunnen waar de gebruiker om roept. Dat is een kwestie van 'u vraagt, wij leveren' tenzij browserontwikkelaars niet mee doen in deze race naar de meest universeel bruikbare browser, zowel voor de eindgebruiker als de webontwikkelaar, wat zich vertaald in enorme hoeveelheden code die allemaal een aanvalsoppervlak creëren. Enfin, dat weet jij beter dan ik.

Waarom lukte het mij meer dan 5 jaar geleden nog om in te loggen op de website van ING m.b.v. de browser Classila, http://www.floodgap.com/software/classilla/ ondersteund door Mac Os 9.1 (1998)?
Zeg nu niet meteen dat het dom is om dat te proberen of dat het een glitch was in het security protocol van de ING.
Ik denk dat het kon omdat Classilla met het 'gebrek' aan de features die jij opnoemt: "toegang tot het klembord, lokale bestanden, USB, grafische kaart etc. niet als risico werd gezien door de ING en daarom de inlog tot stand kwam.

Kan dat kloppen?

Als dat klopt zou dat ondersteuning zijn voor de idee dat een van al die tierelantijnen verschoonde browser een veiliger browser is dan de 'grote jongens' maar de contradictie is dat met zo'n kale tot op het bot ontvleesde browser, de 'internetbeleving' maar moeilijk gaat, en dat wil de eindgebruiker niet. Die wil alles kunnen met een browser: boodschappen bestellen, bankieren (bekijken van porno) etc. etc. etc.

Browsers met veilige, dus zo min mogelijk code/features, zijn er wel zoals bijvoorbeeld Epiphany Browser (Linux) maar bij de beoordelingen lees je dan meteen weer "I like it, but unfortunately I cannot play Youtube video's here"...

...Tja, en daar heb je het al.... ;-)

Waarschijnlijk schuilt in deze omgekeerde evenredigheid: hoe meer mogelijkheden; hoe meer kwetsbaarheden, ook het streven om apps voor bankieren en athenticatie bij inlog op bijv. DigiD te promoten waarbij dan maar gemakshalve de benodigde maar dan weer extra gecreërde aanvalsvector: draadloze communicatie, wordt verzwegen. Ook dat niet iedereen een Smartphone heeft, of wil hebben, doet (bijna) niet (meer) terzake.

Om terug te komen op het gebruik van zo'n kale browser rijst dan meteen de vraag, of beter gesteld: de onrust of deze wel robuust genoeg is zonder het sterk gepropageerde gebruik van ad- en scriptblockers.

Het zijn allemaal vragen die mij, nogmaals als ICT onkundige interesseren, neen moeten interesseren maar je vindt daarop - ook hier - weinig antwoorden en dat vind ik eigenlijk vreemd.

De kwalificaties die minimaal worden vereist voor de functie van cybercrime specialist bij de politie, voor een bruto maandsalaris van minimaal € 2.866,- en maximaal € 4.624,- (schaal 10 Bbp) op basis van een 36-urige werkweek; 8% vakantie- en 8,33% eindejaarsuitkering:


https://kombijde.politie.nl/vacatures/Vakgebied/ICT

Bij elk relatief nieuw vak waar niet veel voorkomende expertise nodig is is ook een grote hoeveelheid discipline en flexibiliteit nodig. Ik zou mensen met potentie en juiste houding willen zien ipv mensen die om allerlijk andere motivaties toevallig een papiertje in iets hebben.

Of verdubbel je salaris door bij een bank te gaan werken.

Zoals in de eerste reactie al is aangegeven: het hangt er volledig vanaf welke richting je op wilt. Een persoon die zich full-time met static code reviews bezighoudt dient andere dingen te beheersen dan een CISO. Waar ik de afgelopen 20 jaar vooral tegenaan liep:

- Communicatiewijze en presentatieskills. Deze zijn vaak totaal niet afgestemd op de taal van de rest van de organisatie, waaronder management (die uiteindelijk veelal toch de budgetten bepaalt). Veel afkortingen, veel eigen lingo, veel blijven hangen in "als ze nou naar ons hadden geluisterd, dan was dit allemaal niet gebeurd". Probeer je vakgebied inzichtelijk te maken voor anderen. De business wil het vaak begrijpen, en de IT'ers willen vaak begrepen worden.

- Ken de business waarvoor je werkt.Het is een gift als je zowel de techniek begrijpt alsmede de business, zodat je de rol van vertaler indien nodig op je kunt nemen. Je adviserende rol (als je die hebt) wordt ook beter. Als je weet hoe b.v. hypotheken- of autofabricageprocessen werken, dan kun je ook beter kijken waar de risico's zitten en hoe jij daar op in kunt spelen met beveiligingsmaatregelen, originele beveiligingsideeën en plannen waar iedereen op zit te wachten.

- Overtuigingskracht en flexibiliteit. Ik heb voornamelijk in een securityrol gezeten waarbij de mensen die ik mee moest krijgen niet de mensen waren die in mijn hierarchische lijn zaten. Ik moest mensen dus overtuigen van zaken waar ze niet op zaten te wachten, zonder dat ik ook maar iets over hun werk te vertellen had. Niet zelden moest ik mensen vertellen over meer mitigerende maatregelen, tragere processen, meer kosten, langere doorlooptijden. Als je dan je hakken in het zand zet en een "het moet, dus niet zo zeiken" houding aanneemt, dan kotst iedereen je in no-time uit, bereik je niets meer en gaan ze links en rechts langs je heen. Hoe denk je mensen te overtuigen met een goed, niet-technisch verhaal dat relevant is voor het product dat een manager moet leveren of waar hij/zij voor verantwoordelijk is?

- Technische kennis en doorzettingsvermogen, op wat voor vlak dan ook. Doordat de IT wereld enorm snel gaat, en de materie steeds complexer is, wordt het lastig om alles bij te benen. Ik merk dat veel mensen het niet meer redden en zich een weg proberen te kletsen door de materie, zonder écht goed op de hoogte te zijn. Dodelijk, zeker als er iemand tegenover je zit die net wat meer weet dan jij, en helemaal dodelijk als je besluit niet meer verder te studeren en te leren. Ben dus niet tevreden met een zesje, maar blijf je permanent verbeteren.

Hetligt eraan hoe je 'cyber security' dan definieert (het werkveld is erg breed namelijk en loopt van organisatiegerelateerd tot techniekgerelateerd, zie de hoofdstukken van ISO27001), maar hier staat een goede complete lijst:
https://www.itcareerfinder.com/brain-food/blog/entry/required-skills-for-cyber-security-professionals.html

Belangrijkste security skill: uitlijning

Het geheel van beveiliging wordt sterker als de puzzelstukjes naadloos aansluiten.

Mijn buurvrouw was hypotheek acceptant bij een grote Nederlandse bank. Dat ging over heel grote bedragen. Op den duur vond ze het werk voor die bank (en de graaiende klanten) steeds saaier worden, hoewel het werk erg goed betaalde. Ze realiseerde zich ook dat haar werk op den duur door artificiële intelligentie zal gaan verdwijnen.

Ze keek goed om zich heen, en dacht: "Hoe kan ik mij nuttiger maken voor de samenleving?" Na een omscholing tot ICTer op HBO niveau, plus twee jaar ervaring op de werkvloer, mag ze nu voor de belastingdienst en de recherche misdadigers op internet het leven zuur maken. Ik heb haar niet horen klagen over de beloning, integendeel.

Is dit geen eigenschap van de oplossing die je verzint/ implementeert in plaats van een eigenschap van de persoon zelf? Of bedoel je "de kunst om oplossingen te verzinnen die goed uitlijnen"?

Het laatste inderdaad!

Ik zie op de politiewebsite ook een senior functie; bruto maandsalaris van minimaal € 3.502,- en maximaal € 5.228,- (schaal 11 Bbp) op basis van een 36-urige werkweek.
Iedereen moet de keus voor zichzelf maken, ik heb meerdere malen gekozen voor "voldoening in mijn werk" boven een maximaal salaris. Als je opleiding, capaciteiten en ervaring in een gewilde branche hebt dan heb je de ruimte om te kiezen.

Ken je bronnen om oplossingen te vinden, zoals o.a.: technet microsoft, docs., cisco.com.getcomposer dot org, apachefriends dot org, php.net (met cheatsheets ernaast), stackoverflow en stackexchange dot com, codeproject, github, asp.net, kennisnet, codepen.io, jsfiddle.net, developer mozilla org, getbooitsrap dot com, translate.google.com. om maar een paar bronnen te noemen.

luntrus

Hm, ik werk voor een bank, verdien uitstekend maar zit met een gouden ketting vast. Gek gezegd, luxe went armoede nooit. Dan maar rustig doen wat het baasje zegt en in je vrije tijd leuke dingen doen.

Nadenken, je verdiepen in de andere partij. Het is niet een ding, je moet alle stappen kunnen doorlopen.

Denken dat cybersecurity en hacken vergelijkbaar is... Niet doen, het raam uit met dat idee.
Je hoeft geen kennis te hebben van "hacken" of "cracken" om actief te zijn in cybersecurity, je moet snappen wat het doel is en snappen hoe ze daar willen komen.
Je hoeft geen slotenmaker te zijn om je voordeur te beveiligen.

Anders denken dan anderen, buiten de kaders denken. Goed zijn in het bedenken van problemen, zodat je oplossingen kan bedenken voor (beveiligings)problemen die anderen helemaal niet zien.

Ga eens langs bijj die ijzerwarenwinkel op de hoek. Daar kun je een betonschaar kopen, om die ketting door te knippen.


Liever een kleine baas, dan een grote knecht.

____ Tessel Pollmann, schrijver over kleine ondernemers

De skills die ik nu gevraagd zie worden zijn mobile native security gerelateerd.

Makkelijk gezegd. Ik herken wel wat wordt gezegd. Als je €3500 netto verdient, in het weekend kunt eten waar je wilt, uitjes met je vriendin kunt plannen waar en wanneer je wilt, en ook nog met security bezig kunt zijn, dan is het inderdaad een gouden ketting.
Mensen vergeten dat in ieder bedrijf waar je werkt gezeik en gezeur is. Het gras is echt niet groener bij de buren hoor. En één managementwissel en de ooit zo gezellige sfeer kan veranderen in een hel.
Dan maar genoegen nemen met een bedrijf waar je niet helemaal gek wordt, leuke collega's hebt, lekker krijgt betaald, de reistijd niet al te ver is en in je vrije tijd kunt doen en laten wat je wilt.

Wil je competitie in een industrieel complex? Dan socializen en meedoen. Ook als je (wissel)geld wilt.

Wil je echte beveiliging? Eigenwijs zijn en weten dat je niks weet, trek alles in twijfel en leer alle IT skills om mee te beginnen.

Tip voor degenen die in de richting van de TS denken: https://www.zdnet.com/article/fireeye-releases-threatpursuit-a-windows-vm-for-threat-intel-analysts/.

Ik begin oud te worden :-( want er staan onverwacht veel tools tussen waar ik nog nooit van gehoord heb. Ik moet maar eens tijd vrij proberen te maken hiervoor. Als anderen hier ervaring mee hebben is dat leuk om te lezen (wellicht in een nieuwe thread om hier on topic te blijven).

Het gras is echt niet groener bij de buren hoor <<< Ojawel, er zijn zat bedrijven waar het beter loopt dan bij andere.

Bij een aantal sollicitaties kreeg ik al snel het idee dat het gras bij de bestaande baas groener was...
Ja, ik heb managementwissels en bedrijfsovernames meegemaakt. Dat kan zowel positieve als negatieve effecten hebben op de kleur van het gras. (In veel gevallen is het effect van overname kleiner dan de seizoensschommelingen.)

Ja dat kan, ik bedoel alleen te zeggen dat "realistisch gezien" het bij sommige bedrijven beter loopt of klikt met jou dan bij anderen.

De belangrijkste skill in de industrie is Luisteren naar wat je gezegd wordt.

beetje meer liefde

Nee hoor, luisteren naar wat NIET wordt gezegd is veel belangrijker want dat is waar de problemen zitten (want die worden niet benoemd en zijn misschien onbekend).

Dat laat me denken aan een leuke quote "Wie niet luistert zal getrained worden als een hond." - Meneer Wolf

ITers zijn mensen die niet veel moeten nadenken maar helpen met het managen van de databases die over 7 miljard zielen toezien. Daarbij moet security IT personeel vooral pretenderen met privacy bezig te zijn terwijl ze ook voor inlichtingendiensten werken want "dat voelt stiekem goed".

Nu is aan u de vraag, wie bepaalt hoe jij je voelt? En nu komt een echt geheim: Ben jij de baas over je eigen gevoelens en gedachten of denk je dat slechts?

Creativiteit en weten wat alle demonen uit de Ars Goetia voor eigenschappen hebben. Het kan namelijk zomaar je werkgever of klant zijn. In het kader van "ken uw vijand".


Leuke ASCII tekening.

https://nl.wikipedia.org/wiki/Cognitie . Verder is het "situatie gebonden" wat op dat moment de beste persoonlijke Skill is. Als bijvoorbeeld iemand een "buzzword" oplossing zoekt in een vraag waarin hij zelf al aangeeft dat hij dronken is en 5 belangrijke skills voor zich ziet en iedereen toch maar blijft reageren. Maar wat weet ik er nou van.

Logica verslaat alle vijanden. Studeer Gödel (Incompleteness Theorem).

Dan kun je meerdere lagen diep "kijken", als in "I see plans in plans".