"Veel van wat we als security bestempelen heeft betrekking op de
database kant, zoals het beveiligen van vertrouwelijke gegevens" zo laat
Jeff Markham weten.

Contradictus in terminus ?

Waarom heb je een ids nodig en voer je audits uit?

Om je gegevens toch te beveiliging cq de beveiliging hiervan naar een
hoger platform te brengen cq continuïteit van de beveiliging te garanderen
cq inzicht te krijgen in nivo van beveiliging cq inzicht en effectiviteit van
geplaatste beveiligingsmaatregelen te kunnen monitoren ?

Infosec is tegenwoordig niets anders dan met een GUI rules in nokia's
schieten. logs bekijken (liefs grafisch)......... en that's it.

De eerste nono's zonder enige TCP/IP kennis die "security beheren" zijn al
gesignaleerd.

Het is een kwestie van tijd of eenieder langdurige werkloze krijgt een
opleiding van arbeidsburo voor beveiliger.....

Hmm, dat gebeurd al reeds, echter wordt door sommigen beheren van
infosecurity omgevingen moeilijker/ingewikkelder gezien als de
werkzaamheden van een doorsnee monitor bekijkende object beveiliger,
die 's nachts op een mechanische typmachine aan zijn boek werkt, terwijl
hij achter een balie bij de voordeur van de organisatie de wacht houd.

Indien je het hier niet mee eens bent, bedenk dan eens wat een beheerder
meer kan/weet als een object beveiliger......

Wat engineering betreft lijkt Nederland wel een derde wereld land,
Engelstalige "engineers" van bovenstaande kaliber worden ingevlogen om
tegen een veel te hoge uurloon, start>cmd>d:setup.exe > Ok te doen......

Maar ja, wie zijn de mensen die dit soort dingen waarnemen ?

Vaak de ondergewaarde security engineers die niet bij besluiten van
management worden betrokken en maar moeten aanzien hoe de ene na
de andere domme besluit wordt genomen.

Dus biedt een baan in de security werkgarantie ?
Ja, indien je de mentaliteit van een geduldige object beveiliger hebt en je
het niet erg vind om met je HBO + opleiding het werk te doen op LBO nivo
en je toekomstige collega's voor het zelfde salaris (wat niet veel zal
ontlopen van een object beveiliger) met LBO opleiding maar simplistisch
security beheer diploma (CCSA? ) rechtstreeks via Arbeidsburo bij je
opkantoor komt te zitten.

Maar wat gebeurd er dan met welwillende, weldenkende, security
engineers ?

Heel simpel zolang organisaties niet de meerwaarde van security
engineers weten te waarderen, zullen die vroeg of laat geheel verdwijnen.

Waarom zou een organisatie immers iemand in dienst houden die 2 tot 3
keer zoveel kost als een objectbeveiliger, terwijl verscheidene
marktpartijen voor een eenmalige grote investering je de meest vage
security oplossingen proberen aan te smeren ?

Waarom zou je engineering uberhaupt zelf doen ? Laat staan beheer?
In vrijwel elk land kan je dat outsourcen of netter "managed security
service" afnemen, hiermee kan je als organisatie keihard in een SLA
afdwingen wat je verwachtingen zijn, iets wat je met eigen medewerkers
(vaak?) niet kan doen.

Dus wees wijs, verwacht niet dat over 10 jaar de infosec business er net
zo uit zal zien als nu, maar dat het een mainstream onderdeel is van elk
proces, waarvan de toegevoegde waarde (en kosten) te verantwoorden is.
Iets wat je nooit lukt met dure security engineers (die zelf het wiel
uitvinden) of met eigen beheerders die pretenderen iets meer te
kunnen/weten als een doorsnee object beveiliger.

Gaarne uw mening. (liefst gefundementeerd)

Gelet op de snelheid van de technologische ontwikkeling van
de laatste jaren, waarbij de materie zo complex is geworden,
verwacht ik dat het nog niet zo'n vaart zal lopen.

Uiteraard zullen bedrijven overstag gaan die kostprijs als
belangrijkste criteria hanteren, maar dat zegt meer over dat
bedrijf dan over beveiling. Waarschijnlijk verkeren zij in
een branch waarin kostprijs ALTIJD als belangrijkste
criteria wordt gehanteerd. De bouwbranche overigens is hier
een goed voorbeeld van; veel willen voor weinig geld.

Met betrekking tot het niveau kan er op dit moment een goed
worden ingeschat welke kennis en ervaring nodig is voor de
klus.

Je moet ook niet willen overbeveiligen, het heeft
bijvoorbeeld geen enkele zin om iets aan een FTP server te
doen die toch al public anonymous is. Het laatste is
overigens een indicatief voorbeeld.

Security standaards zijn er, of komen in opkomst waar het
gaat om opleiden. Veelal hebben de meeste opleidingen
grondige voorkennis of ervaring nodig. Hiermee zijn dure
security engineers net zo gerechtvaardig als goedkope, maar
alles staat en valt bij de keuze die de bedrijven zelf maken.

Koop je een lelijk eend ? verwacht dan niet dat ie rijdt als
een Ferrari !

Bij ons zijn de object beveiligers volledig in het infosec
gebeuren geintegreerd, bijv. toegangbeheer van kluizen met
passwords. De beveiligng van het gebouw en toegang van
personen is natuurlijk ook een onderdeel van infosec binnen
op de systemen. Ze hebben ook allerlei andere 'utility'taken
zoals: EHBO, post aanname e.d. en ik weet dat zij ook veel
moeten leren; diploma's, certificeringen e.d.; het zijn geen
dombo's.
Het salais is inderdaad niet om over naar huis te schrijven,
denk inderdaad niet dat het voor het opscheppen ligt.

Je reactie was wel wat 'ranterig' maar je argumenten kloppen
m.i. wel voor het technische beheer-deel. Maar er is
meer: van onder tot boven in de hierarchie van een bedrijf
zijn er security posities. Hoe hoger je komt des te meer
specifieke eigenschapppen je moet hebben. Dingen die je
nauwelijks in een cursus kunt leren: overtuigen, plannen
maken, onderhandelen, motiveren, netwerken, rug recht hoden,
inkopen, research, beleid, audit, trainingen... In al die
gebieden zijn (of komen) er security-plaatsen. Je kunt dus
alle kanten op maar het blijft gewoon werk; het
geheimzinnige/bijzondere is er wel van af.

Werkgarantie is een communistisch denkbeeld, dat bestaat
hier helemaal niet meer ;-)
S.F.

Het enige wat je hoeft te doen is zorgen dat er handmatig
werk over blijft (of het automatiseren geheim houden /
licenseren) en mensen bang blijven houden. Het zou mij
werkelijk verbazen als deze tak van de IT sector uit sterft.
't Zal een van de laatste takken zijn denk ik dan...
helpdesk eerst (volledig automatisch met text to speech en
speech to text AI's :).