IT Security Certificeringen

oak3 schreef op dinsdag 24 mei 2022 @ 09:31:
[...]

En ik ken best een aantal mensen die de code of ethics van ISC2 vrij serieus nemen.

oak3 schreef op dinsdag 24 mei 2022 @ 09:31:
[...]

En ik ken best een aantal mensen die de code of ethics van ISC2 vrij serieus nemen.

Liegebeest schreef op dinsdag 24 mei 2022 @ 16:47:
[...]

Mijn punt was eerder: zelfs al doe je het examen niet eens, of heb je het eenmalig gedaan... niemand die je tegenhoudt om te zeggen dat je CISSP/CISM bent. Maar het zal inderdaad op termijn echt niet lekker uitpakken; veel bedrijven willen een aantal diploma's toch echt zien en then cums the monkey out the sleeve.

Stufferdt schreef op woensdag 1 juni 2022 @ 10:43:
Net bij TSTC mijn CIPP/E-examen gedaan en gehaald
Had uiteindelijk 50m50s nodig van de in totaal 150 minuten. Voorbereiding was wat rommelig, doordat ik dacht 'm pas op 8 juni te hebben in plaats van 1 juni. Dus laatste 2 dagen nog wat zaken doorgenomen en er met wat oppertunisme ingegaan. Uiteindelijk bijna een jaar na m'n training het examen gedaan, wat ik niet kan aanraden...

Er zaten enkele 'wtf' vragen tussen en enkele concepten die ik nog nooit had gezien/gehoord, maar het meeste was prima te beredeneren

Nu op naar de volgende. Neig naar CISM.

TweakOverflow schreef op donderdag 5 mei 2022 @ 19:58:
[...]


Gaaf! Daar heb ik ook aan zitten denken omdat mijn werkgever behoorlijk huiverig is in het opleiden van personeel d.m.v. SANS. Uiteindelijk ga ik nu in november de SEC503 volgen, daarna ga ik -als ik de kans krijg- de FOR572 denk ik volgen.

Heb er ook aan zitten denken om als eerst de SEC504 te doen, en daarna pas de SEC503, FOR572, enz. maar gezien het geringe budget heb ik toch maar voor de 503 gekozen. Hopelijk de goede keuze.

Scoro schreef op woensdag 1 juni 2022 @ 16:58:
[...]


Gefeliciteerd!
Altijd je examen zo snel mogelijk na je training. En eigenlijk gelijk boeken en liever de kosten voor verplaatsten ervan. Ik heb zo veel mensen gezien die maar bleven uitstellen met het boeken van het examen totdat ze eigenlijk weer de training moeten doen.

CIPP/E vond ik vooral de vragen over oorsprong privacy en EU inrichting erg oninteressant.. scoorde er ook minder op. Ben meer van de praktijk.

Weet trouwens niet welke hoek je zit (IB/Priv) en waar je naar toe wil gaan qua rol. Maar als je in privacy blijft dan kan je beter de tegenhanger CIPM kiezen..

• Is het gratis? Nee.
• Is het goedkoper dan wanneer je het examen later gaat doen? Ja
• Het pilot examen kost €110 (credit card vereist!)
• Je kan na boeking niet gratis van datum wisselen, dus kies je datum+tijd goed uit!
• Er is een online self-paced training beschikbaar waar je ook voor kan betalen.
• Het examen is veel minder technisch, dan Security+
• Je kan het examen alleen bij specifieke PearsonVue centers doen

Mr-Robot schreef op donderdag 16 juni 2022 @ 15:44:
Bij deze mijn roadmap:
Comptia A+ (twijfel of dit überhaupt meerwaarde heeft) Voor jou inderdaad niet of nauwelijks
Comptia Security +. Altijd nuttig, maar je kan ook ISC2's entry-level cert bekijken, zie boven
EJPT Mooi begin
OSCP en OSDA (twijfel nog over de volgorde) Die zijn een enorme sprong

Zijn dit een beetje verstandige keuzes? En heeft iemand nog tips, dan hoor ik dit natuurlijk graag.

[Voor 6% gewijzigd door Liegebeest op 16-06-2022 20:49]

Mr-Robot schreef op donderdag 16 juni 2022 @ 15:44:

Zijn dit een beetje verstandige keuzes? En heeft iemand nog tips, dan hoor ik dit natuurlijk graag.

Alvast bedankt!

Mr-Robot schreef op vrijdag 17 juni 2022 @ 11:31:
Hoi @Liegebeest en @Scoro
Mijn doel is dus voor nu zoals je het mooi zegt een SOC guru.

• CySA+
• BTL1 -> https://securityblue.team/why-btl1/
• CRTO -> https://training.zeropoin...o.uk/courses/red-team-ops

[Voor 1% gewijzigd door Shadeblast op 24-06-2022 13:34. Reden: Toevoeging]

[Voor 18% gewijzigd door Liegebeest op 26-06-2022 09:56]

Shadeblast schreef op donderdag 23 juni 2022 @ 18:21:
Hoi allemaal,

Ik ben momenteel bezig mijn kennis te verbreden op gebied van blue teaming.
Reeds behaald: SANS SEC511.
Te behalen in de volgende 2 maanden: SANS FOR502 (training reeds gevolgd + oefenexamen behaald).

Primair ben ik op zoek naar volgende stappen, ik werk voornamelijk binnen Azure. SC-200 als training heb ik gevolgd, dat was echt pure bagger, examen ook niet gedaan om die reden.

Ik kwam o.a. BlueTeamSecurity BTL2 tegen, zijn er hier ervaringen mee? Voornamelijk zag ik BTL1 genoemd in dit topic. Een andere SANS cursus is wellicht nog een optie.
Op termijn wil ik meer richting cloud focussen, maar voor nu ben ik voorzien met Incident Response / Blue Team trainingen lijkt mij.

Ervaringen +/- 5 jaar in een SOC rol.

Mr-Robot schreef op vrijdag 17 juni 2022 @ 11:31:
Hoi @Liegebeest en @Scoro

Bedankt voor jullie uitgebreide reactie, heb ik wat aan!

Wat betreft de programmeer talen. Tijdens mijn research kom ik vaak tegen dat het ontzettend handig is om voor bepaalde certificaten (en natuurlijk voor mezelf) iig een beetje kennis te hebben van Python en mogelijk ook GO. Voor mijn werk heb ik dit niet perse nodig. Mijn plan was ook meer om hier in te verdiepen zodat ik in ieder geval een beetje kaas heb gegeten van die programmeer talen

Zelf vindt ik Pentesten, Red teaming, CTF etc erg leuk om te doen. Maar omdat omdat we een SOC willen gaan opzetten ligt de focus daar meer op. Mogelijk willen we in de toekomst zelf ook pentesten gaan uitvoeren bij (nieuwe)klanten. Zelf vindt ik wel dat je als SOC-er ook wel enige Knowhow moet hebben van Pentesten etc. Vandaar dat ik ook zit te denken aan OSCP en OSDA. Mijn doel is dus voor nu zoals je het mooi zegt een SOC guru.

Wat betreft mijn werkgever. Omdat we zo hard aan het groeien zijn vind ik zelf juist erg tof om dit mee te maken. Dit zorgt er dan ook voor dat ik de mogelijkheid krijg om van scratch een SOC/SIEM op te zetten. Ik weet dat dit een immens grote taak is en niet zomaar 123 ingeregeld maar de mogelijkheid / kans is er wel! Verder is zo'n project natuurlijk ook erg leerzaam. Mocht ik na een paar jaar na het behalen van de certificaten een andere baan willen dan kan dat gelukkig dan ook nog.

Ik sla de Comptia A+ over en ga me nog even verder verdiepen in ISC2's.
@Liegebeest Je geeft aan dat de overstap van EJPT naar OSCP en OSDA een enorme sprong is. Wat zou je aanbevelen voor iets wat daar tussen in zit?

Liegebeest schreef op dinsdag 14 juni 2022 @ 20:11:
Als het goed is, is dit al lang hier voorbij gekomen: ISC2 zagen een gat in de markt voor een entry-level cybersecurity certificaat (als concurrent voor CompTIA's Security+). Later dit jaar gaat dit certificaat live, maar nu loopt er een pilot programma -> https://www.isc2.org/Cert...evel-certification-pilot#

• De objectives, als in de "te leren onderwerpen" vind ik uitstekend voor een beginneling.
• Het examen zelf was teleurstellend: veelal vragen met "herken het gevraagde concept" (pick the right word)

[Voor 13% gewijzigd door Liegebeest op 29-06-2022 14:31]

[Voor 59% gewijzigd door ShadowBumble op 29-06-2022 18:21]

Liegebeest schreef op woensdag 29 juni 2022 @ 14:21:

Persoonlijk valt het ISACA ding voor mij af. De organisatie is best goed, maar ik vind hun certs en AMFs echt geldklopperij.

hellknight schreef op donderdag 30 juni 2022 @ 14:24:
@Liegebeest is het in idee om ook SSCP van (ISC)2 is het overzicht mee te nemen? Vrijwel iedereen die een intro-level examen in de Security wil doen zal het gevraagde jaar werkervaring al hebben, en deze is qua examen, etc, een stuk volwassener dan ELCC

• De huidige lichting begon hun traject met de MS MTA's Networks + Databases + Security.
• Daarna gaan ze door naar mij met CompTIA Linux+ en naar een uitgebreide Python cursus.

Turdie schreef op zaterdag 2 juli 2022 @ 09:51:
Free Web Pentesting Class by Stanford University 🃏

https://web.stanford.edu/class/cs253/

zag dit net voorbijkomen,wellicht interessant voor sommigen hier.

xehexehex schreef op zondag 26 juni 2022 @ 14:23:
[...]


Ik vind BTL wel leuk. BTL1 is prima, dekt genoeg lading voor dat bedrag. BTL2 ga ik binnenkort eens doen. Wel vooraf aan BTL wat 'proef' meuk gedaan, omdat ik niet wist wat voor niveau het zou hebben, maar al met al prima keuze.

[Voor 17% gewijzigd door Liegebeest op 06-07-2022 13:16]

Liegebeest schreef op woensdag 6 juli 2022 @ 13:00:
Aangaande de vervanging van de Microsoft MTA's: de klant zelf geeft aan dat de MTA's zijn overgenomen door Certiport. Certiport geven er een nieuwe draai aan met wat verbeteringen.

-> https://certiport.pearson...ertification/Certify.aspx

Ik vind eerlijk gezegd wat zij doen met de Cybersecurity "ITS" (zoals het nu gaat heten) best netjes.

-> https://certiport.filecamp.com/s/JTIy1sX0ci0ZI3ss/fi

Het is nog wel een stuk minder dan wat ELCC zou bieden, plus een naam die minder bekend is (Certiport vs Microsoft vs ISC2).

Column schreef op woensdag 6 juli 2022 @ 13:04:
[...]


Naamsbekendheid is zo'n ding met recruiters. Wat zou je je studenten adviseren als een recruiter niet bekend is met een ceritifcaat? Hoe dat aan te vliegen?

Brainscrewer schreef op donderdag 5 mei 2022 @ 14:56:
Yay, na 3 jaar geleden SEC504 te hebben gedaan mag ik binnenkort beginnen aan FOR572 van Sans. Alleen nog even kijken of ik in-person ga volgen of via OnDemand.

hellknight schreef op maandag 18 juli 2022 @ 16:19:
A.s. donderdag GSEC examen (SANS SEC401). Afgelopen zaterdag proefexamen gedaan .
Ik had nog wat twijfel of de stof goed genoeg beheerste, maar dit bleek onterecht- in +- 2 uur een score van 92%, zonder eigen index te gebruiken, enkel de beperkte index die al aanwezig is in het laatste boek.

hellknight schreef op maandag 18 juli 2022 @ 16:19:
A.s. donderdag GSEC examen (SANS SEC401). Afgelopen zaterdag proefexamen gedaan .
Ik had nog wat twijfel of de stof goed genoeg beheerste, maar dit bleek onterecht- in +- 2 uur een score van 92%, zonder eigen index te gebruiken, enkel de beperkte index die al aanwezig is in het laatste boek.

hellknight schreef op maandag 18 juli 2022 @ 16:19:
A.s. donderdag GSEC examen (SANS SEC401). Afgelopen zaterdag proefexamen gedaan .
Ik had nog wat twijfel of de stof goed genoeg beheerste, maar dit bleek onterecht- in +- 2 uur een score van 92%, zonder eigen index te gebruiken, enkel de beperkte index die al aanwezig is in het laatste boek.

1. Nen leergang ISO 27001

2. Bsigroup

HenkEisjedies schreef op dinsdag 19 juli 2022 @ 17:12:
Kan iemand mij een schop de goede richting in geven? Ik merk dat het bedrijf waar ik werk en onze klanten niet volwassen genoeg zijn qua informatiebeveiliging. Ik zou daarom een proces in gang willen zetten om dit te verbeteren. Maar voordat ik dit kan doen moet ik zelf de benodigde kennis opdoen en daar zie ik door de bomen het bos niet meer.

Nu denk ik dat ik met één van deze twee leergangen een heel eind moet komen:

1. Nen leergang ISO 27001

https://www.nen.nl/leergang-iso27001

ISO 27001: De norm verklaard € 595,00
ISO 27001: Informatiebeveiliging in de praktijk € 1.015,00
ISO 27001/NEN 7510: Auditen van informatiebeveiliging € 595,00
Totaal 2200 euro

2. Bsigroup

https://www.bsigroup.com/.../ISOIEC-27001-Trainingen/
Introductie training EUR 815.00
Implementatie training EUR 1,400.00
Intern auditor training EUR 1,400.00
Lead auditor training (lijkt me niet nodig)
Totaal 3615

Beide gerenomeerde partijen met verstand van zaken volgens mij.

Maar is een ISO27001 wel de juiste training? Ik weet dat klanten soms ISO certificering vragen, ook ISO27001. Maar als bedrijf een ISO certificering halen is niet het doel, het beter beveiligen van bedrijfsgegevens en klantdata wel. Zijn er dan niet andere trainingen die mij veel beter voorbereiden?

HenkEisjedies schreef op dinsdag 19 juli 2022 @ 17:12:
Kan iemand mij een schop de goede richting in geven? Ik merk dat het bedrijf waar ik werk en onze klanten niet volwassen genoeg zijn qua informatiebeveiliging. Ik zou daarom een proces in gang willen zetten om dit te verbeteren. Maar voordat ik dit kan doen moet ik zelf de benodigde kennis opdoen en daar zie ik door de bomen het bos niet meer.

Nu denk ik dat ik met één van deze twee leergangen een heel eind moet komen:

1. Nen leergang ISO 27001

https://www.nen.nl/leergang-iso27001

ISO 27001: De norm verklaard € 595,00
ISO 27001: Informatiebeveiliging in de praktijk € 1.015,00
ISO 27001/NEN 7510: Auditen van informatiebeveiliging € 595,00
Totaal 2200 euro

2. Bsigroup

https://www.bsigroup.com/.../ISOIEC-27001-Trainingen/
Introductie training EUR 815.00
Implementatie training EUR 1,400.00
Intern auditor training EUR 1,400.00
Lead auditor training (lijkt me niet nodig)
Totaal 3615

Beide gerenomeerde partijen met verstand van zaken volgens mij.

Maar is een ISO27001 wel de juiste training? Ik weet dat klanten soms ISO certificering vragen, ook ISO27001. Maar als bedrijf een ISO certificering halen is niet het doel, het beter beveiligen van bedrijfsgegevens en klantdata wel. Zijn er dan niet andere trainingen die mij veel beter voorbereiden?

HenkEisjedies schreef op dinsdag 19 juli 2022 @ 17:12:
Ik merk dat het bedrijf waar ik werk en onze klanten niet volwassen genoeg zijn qua informatiebeveiliging. Ik zou daarom een proces in gang willen zetten om dit te verbeteren. Maar voordat ik dit kan doen moet ik zelf de benodigde kennis opdoen en daar zie ik door de bomen het bos niet meer.

• CIS Critical Security Controls
• NCSC.gov.uk Cyber Essentials (plus)
• NCSC.nl Handreiking Cybersecuritymaatregelen

Metzie schreef op dinsdag 19 juli 2022 @ 23:51:
[...]
Wilt een bedrijf serieus met cyber security aan de slag dan is ISO 27001 of de NIST zeker een goede basis, echter moet je eerst zorgen voor voldoende management commitment omdat er forse investeringen in mensen en middelen moeten worden gedaan.

Metzie schreef op dinsdag 19 juli 2022 @ 23:51:
[...]
Wil een bedrijf als eerste de basis maatregelen op orde hebben gebruik dan een methode die dat faciliteert. zoals:

• CIS Critical Security Controls
• NCSC.gov.uk Cyber Essentials (plus)
• NCSC.nl Handreiking Cybersecuritymaatregelen

Wilt een bedrijf serieus met cyber security aan de slag dan is ISO 27001 of de NIST zeker een goede basis, echter moet je eerst zorgen voor voldoende management commitment omdat er forse investeringen in mensen en middelen moeten worden gedaan.

Je start eerst met het bepalen welke informatiesystemen, processen, afdelingen of bedrijfsonderdelen binnen de scope vallen. Daarna voer je een risico analyse uit op deze scope. Op basis van die risico analyse kies je uit de 27001 Annex A de mitigerende maatregelen die het risico beheersen. Deze maatregelen moeten dan verder ingevuld worden met (sub) maatregelen, processen, controles en dergelijken. En daarna begint het implementeren, controleren, bijsturen en verbeteringen opnieuw implementeren. Je snapt al een flinke klus en bedrijven die ISO gecertificeerd willen worden redden dit meestal niet binnen 12 maanden.

Even als fictief voorbeeld.
De scope is het boekhoudpakket van een bedrijf.
Een van de risico's is Fraude, waarbij een medewerker bestellingen kan doen maar ook de facturen daarvan kan goedkeuren dus potentieel geld kan overboeken op zijn eigen rekening.
Een van de mitigerende maatregelen is A.6.1.2 Segregation of Duties, waarbij het doel is dat een enkele medewerker niet de hele purchase to pay proces kan uitvoeren maar dat deze is opgedeeld over meerdere medewerkers. Of bijvoorbeeld dat betalingen altijd goedgekeurd moeten worden door de eigenaar van bet bedrijf.

Veel maatregelen voor informatie beveiliging hebben niet zoveel met techniek te maken, maar vooral met het inrichten van processen en controles.

Qua opleidingen voor 27001 hebben wij als informatie beveiliging team gekozen voor
PECB 27001 Lead Implementer
PECB 27005 Risk Manager

Een auditor opleiding vind ik niet zo relevant als je aan de implementerende kant zit. Als je een nadere uitwerking zoekt waar een maatregelen aan moet voldoende (of inspiratie voor maatregelen) gebruik dan het boek van ISO 27001 controls – A guide to implementing and auditing van Bridget Kenyon of het aankomende Handboek ISO 27001 Controls van Cees van der Wens

Liegebeest schreef op woensdag 20 juli 2022 @ 06:20:
[...]

"Security maturity" is niet iets dat je er even doorheen ramt en het is al helemaal geen technisch probleem. Er zijn voldoende technische middelen, maar die zijn geen oplossingen voor een organisatorisch probleem. Als de gewenste wijzigingen niet 100% door de hoogste hand worden (uit)gedragen, kan je het vergeten.

NLKornolio schreef op dinsdag 19 juli 2022 @ 22:12:
[...]

Kijk is naar de CIS benchmarks van center of internet security. De CIS controls zijn een goede stap naar een hoger niveau als je begint bij lvl1. Makkelijke kant en klare security instellingen in vorm van gpo's. Is ook een doc te vinden met mappings naar iso. Wat meer handvaten ipv van processen naar mij idee.

[Voor 5% gewijzigd door HenkEisjedies op 20-07-2022 10:53]

HenkEisjedies schreef op woensdag 20 juli 2022 @ 10:48:

CIS lijkt Interessant! Dit lijkt meer de technische kant op te gaan en zou ik dan moeten zien als handvatten om problemen opgemerkt in ISO27001 op te lossen?

[Voor 120% gewijzigd door F_J_K op 29-07-2022 15:10]

HenkEisjedies schreef op woensdag 20 juli 2022 @ 10:48:
Even voor de duidelijkheid: onze informatiebeveiliging is niet belabberd. We denken actief na over hoe we processen, systemen en instellingen kunnen verbeteren en ik durf te wedden dat wij een stuk volwassener zijn dan het gros van de bedrijven. Maar dat laatste zegt natuurlijk helemaal niets. Wat mij een tijd terug triggerde was dat een klant doodleuk een excelbestand met klantgegevens naar mij mailde en dat dit excel bestand niet versleuteld was en gegevens had die totaal niet relevant voor haar rol (waarom heeft ze daar toegang tot?) en hetgeen we mee bezig waren (waarom ben je niet selectiever?).

Maar mijn behoefte naar training is niet alleen ingegeven door de wens om de informatiebeveiliging in onze organisatie te verbeteren, maar ook door mijn wens om in de toekomst klanten beter over het onderwerp te kunnen adviseren. Ik vind het onderwerp gewoon erg interessant en ga mijn persoonlijke leerbudget van dit jaar er aan besteden.


[...]


Wat..een..toppost! Thanks voor je uitgebreide input! Je bevestigd mijn gevoel dat ISO27001 een goede basis is.

Als ik zo de verschillen lees tussen ISO27001 en NIST dan denk ik dat ISO27001 waardevoller voor mij is, maar voor mijn organisatie zou NIST op de korte termijn waardevoller zijn. Aangezien NIST gratis is kan het geen kwaad daar eerst eens in te duiken.
https://tugboatlogic.com/...ST%20CSF%20is%20voluntary.


[...]


Hier ben ik me van bewust, maar goed punt. Ik heb voldoende support van de directie en zal wanneer nodig ook mandaat krijgen om bepaalde wijzigingen door te voeren. De technische middelen vind ik wel erg interessant, maar dat lijkt me iets dat later komt als oplossing voor een probleem. Niet andersom.


[...]


Interessant! Dit lijkt meer de technische kant op te gaan en zou ik dan moeten zien als handvatten om problemen opgemerkt in ISO27001 op te lossen?

[Voor 11% gewijzigd door oak3 op 01-08-2022 17:06]

Orangelights23 schreef op maandag 1 augustus 2022 @ 17:47:
@oak3 en @HenkEisjedies Ik zou beginnen met een risico assessment: waar zien jullie risico’s en hoe willen jullie deze mitigeren? Vervolgens kun je één van de frameworks gebruiken om daar invulling aan te geven, de context van jullie organisatie meenemend hierin. ‘Zomaar’ beginnen met een framework om het naar een hoger volwassenheidsniveau te tillen is geen doel op zichzelf.

oak3 schreef op maandag 1 augustus 2022 @ 18:51:
[...]


In de basis erg mee eens, maar juist dat gestructureerd doen op een volwassen manier is lastig. ISO27001 biedt dan handvaten om het te organiseren en NIST handvaten voor de volledigheid.

PS, als je een opleiding wil doen om Risk management beter te doen, dan CISM en CRISC van Isaca weer een aanrader.

With thanks to Women In Cybersecurity Community Association for telling me about this opportunity!

Thursday 22/09, in Utrecht, Cisco will have their free security conference SecCon. It's a great opportunity to learn from cool guest speakers and to network with people in your industry.

Go check out their program! It looks to be an awesome day and I'll try to get a lot of fun folks from my network to come as well.

https://lnkd.in/e7S3937i

[Voor 34% gewijzigd door Jaqenhghar op 04-09-2022 13:16]

Stufferdt schreef op maandag 1 augustus 2022 @ 14:44:

TL;DR: ik kan niet kiezen en heb nog geen concrete richting om naar door te groeien. Twijfel tussen CISM/CISA.

Jaqenhghar schreef op zondag 4 september 2022 @ 13:15:
Na 18 uur strijden is het me gelukt, ik heb m'n OSCP binnen

Nu nog verzinnen wat ik nu ga oppakken... Waarschijnlijk een flinke hoeveelheid HTB boxes en een pro lab voordat ik me weer op een certificaat ga storten.

Jaqenhghar schreef op zondag 4 september 2022 @ 13:15:
Na 18 uur strijden is het me gelukt, ik heb m'n OSCP binnen

Nu nog verzinnen wat ik nu ga oppakken... Waarschijnlijk een flinke hoeveelheid HTB boxes en een pro lab voordat ik me weer op een certificaat ga storten.

Scoro schreef op zondag 4 september 2022 @ 14:19:
[...]


Beetje laat maar kies CISM.
Kan redenatie wel delen maar misschien heb je je keuze al gemaakt.

Liegebeest schreef op maandag 5 september 2022 @ 12:34:
WTF?

Ik heb m'n GCCC cert van SANS/GIAC dan toch maar verlengd. Smak geld, maar het ding is toch wat waard. Ik doorloop netjes het proces en verwacht m'n nieuwe diploma in de post te ontvangen.

Krijg ik net een pakket via DHL, van SANS, met alle vijf de nieuwe boeken van SEC-566. WTF?

Euh, dankje voor het gratis kado. Dankje voor de dode bomen. Maar, waar is mijn certificaat?

Your 4-month access period to the latest online courseware affiliated with your GIAC certifications has started! Simply log into your SANS account and select the ‘Course Material Downloads’ link under My Online Training. If you chose to receive printed courseware, you should receive it in about a week.

Stufferdt schreef op maandag 5 september 2022 @ 10:10:
[...]


Keuze is nog niet gemaakt! Neig wel naar CISM en had al een boek in m'n mandje liggen (maar nog niet helemaal uit welk boek ik wil). Wou het boek eerst eens doornemen en dan zien of ik een cursus wil. Heb wisselende ervaringen met de toegevoegde waarde van een klassikale cursus, dus met zelfstudie en wat logisch inzicht (ben wel vrij goed in het juiste antwoord kiezen bij de manier van vragen geloof ik) verwacht ik een heel eind te komen.

Twijfel tussen deze boeken:
Cism all-in-one van Gregory
Cism prep guide van Doshi
Cism review manual van ISACA zelf (135 $$$$$$....)

Iemand ervaring en een advies welk boek aan te schaffen?

Liegebeest schreef op maandag 5 september 2022 @ 12:38:

ik ga er toch niets mee doen

HenkEisjedies schreef op maandag 5 september 2022 @ 20:20:
[...]


Ruilen tegen een kratje pils?

Liegebeest schreef op woensdag 21 september 2022 @ 15:17:
En, ga ik morgen één van jullie nog tegenkomen bij Cisco's SecCon in Utrecht?

https://www.cisco.com/c/e...ecurity/seccon/index.html

Brainscrewer schreef op vrijdag 23 september 2022 @ 16:43:
[...]


Hoe was het?

xehexehex schreef op zaterdag 24 september 2022 @ 13:57:
Hier wel geweest, was wel ok event. Altijd grappige Zerocoper, talks o.a. Northwave, Belastingdienst, Politie etc.

Orangelights23 schreef op zaterdag 1 oktober 2022 @ 20:51:

Goede tip als je toch een WO papiertje wilt: als EU burger mag je gebruik maken van het gratis onderwijs in bijvoorbeeld Zweden. Ik heb al aardig wat cursussen volledig gratis gedaan, maar wel erkend.

Orangelights23 schreef op zaterdag 1 oktober 2022 @ 20:51:
Waarom wil je voor een bedrijf werken wat dat soort eisen stelt waar je je niet in kunt vinden? Groot gelijk om het niet te doen - of juist wel solliciteren. Feit blijft dat het belachelijk is dat je afgerekend wordt op een studie, zeker als dat in jouw geval 20 jaar geleden is.

[Voor 100% gewijzigd door Liegebeest op 01-10-2022 21:23]

Liegebeest schreef op zaterdag 1 oktober 2022 @ 19:08:
Ik stoor me best wel aan vacatures die persé een WO-opleiding eisen. Klussen waar ik per-fect op zou passen gaan aan m'n neus voorbij omdat ik "maar" een HBO diploma en twintig jaar ervaring heb.

Nou was ik niet van plan om hier in NL een volle Masters te gaan doen, niet qua tijd, niet qua geld. Maar ik heb wel mooie dingen gehoord van kennissen (Discord en Reddit) over de programma's van WGU (Western Governors University).

https://www.wgu.edu/onlin...ance-masters-program.html

Het is volledig logisch dat we/men/iedereen sceptisch is over volledig-online programma's, maar deze lui hebben zowaar een goede naam. En gezien mijn huidige CV kan ik een enorm aantal klassen alvast afstrepen, op basis van mijn certificaten.

Zenix schreef op zaterdag 1 oktober 2022 @ 21:23:
[...]

Alleen is het alleen maar voor USA, helaas. Ik heb er ook naar gekeken.

paella schreef op zaterdag 1 oktober 2022 @ 21:01:
[...]


Interessant! Kan je daar wat meer over vertellen?

Orangelights23 schreef op zaterdag 1 oktober 2022 @ 21:53:
[...]

Overigens moet je er wel af en toe heen, maar als het vaker dan twee keer per jaar is, is dat al veel.

Orangelights23 schreef op zaterdag 1 oktober 2022 @ 21:53:
[...]
Overigens moet je er wel af en toe heen, maar als het vaker dan twee keer per jaar is, is dat al veel.

Liegebeest schreef op dinsdag 4 oktober 2022 @ 20:02:
Cross-post tussen deze thread en de freelancers thread, omdat ik in beide threads ervaringsdeskundigen verwacht.

Heeft iemand hier recente ervaringen met FireBrand, de opleidings-toko? Ik overweeg om met hen in zee te gaan als freelance trainer en ben erg benieuwd of het wel een beetje een reputabele club is.

Bij Springest komen ze nogal ruk uit de test, maar vooral omdat er maar twee reviews staan.

Liegebeest schreef op dinsdag 4 oktober 2022 @ 20:02:
Cross-post tussen deze thread en de freelancers thread, omdat ik in beide threads ervaringsdeskundigen verwacht.

Heeft iemand hier recente ervaringen met FireBrand, de opleidings-toko? Ik overweeg om met hen in zee te gaan als freelance trainer en ben erg benieuwd of het wel een beetje een reputabele club is.

Bij Springest komen ze nogal ruk uit de test, maar vooral omdat er maar twee reviews staan.

[Voor 8% gewijzigd door ChUcKiE op 05-10-2022 08:46]

Liegebeest schreef op dinsdag 4 oktober 2022 @ 20:02:
Cross-post tussen deze thread en de freelancers thread, omdat ik in beide threads ervaringsdeskundigen verwacht.

Heeft iemand hier recente ervaringen met FireBrand, de opleidings-toko? Ik overweeg om met hen in zee te gaan als freelance trainer en ben erg benieuwd of het wel een beetje een reputabele club is.

Bij Springest komen ze nogal ruk uit de test, maar vooral omdat er maar twee reviews staan.

ramon42 schreef op donderdag 6 oktober 2022 @ 13:28:
Voor de liefhebbers, Comptia CySA+ gaat in Beta waarop ingeschreven kan worden voor een gunstig prijsje, namelijk 45 euro.

ramon42 schreef op donderdag 6 oktober 2022 @ 13:28:
Voor de liefhebbers, Comptia CySA+ gaat in Beta waarop ingeschreven kan worden voor een gunstig prijsje, namelijk 45 euro.

[Voor 5% gewijzigd door Liegebeest op 06-10-2022 16:17]

ralpje schreef op zaterdag 8 oktober 2022 @ 16:46:

Ik wil graag wat meer 'hands on' met security gaan doen. Ik heb al de nodige MS certs op security gebied (SC-300, SC-200, MS-500, AZ-500), maar zoek dus iets buiten m'n comfortzone.
Ik lees over dingen als CEH, OSCP, etc.... Maar wat is nu de beste start?
Ik ga al een jaartje of twintig mee in de IT, heb dus redelijk wat startkennis, maar niet direct 'offensive' vlak.

Ik zoek dus wel concreet iets op technisch toegepast gebied, niet de 'papieren' kant.

• CEH en eigenlijk heel ECC blijf ik voortaan bij weg, die lui geef ik geen geld meer vanuit ethische overwegingen. CEH heeft een goede naamsbekendheid voor je CV, maar technisch inhoudelijk vond ik het een stuk minder.
• OSCP is een pittige start, heeft HR-technisch een kleinere bekendheid, maar is onder de werkelijke techneuten bekend als een goede, stevige instap.
• SANS is peperduur, maar is die prijs voor de kwaliteit ook zeker waard. Ze hebben een enorme keuze aan degelijke opleidingen.
• CompTIA Pentest+ en CySA+ zijn multiple choice examens met een degelijk curriculum. Kleine naamsbekendheid in de EU, goede lesstof voor een instapper. CySA+ is tevens sinds deze week voor $50 te doen, als beta-test voor de volgende versie van examen.
• Er zijn een heleboel hele goede, kleine aanbieders van trainingen waar onder INE (voorheen eLearnSec), Pentester Academy (PTA) en TCM (The Cyber Mentor). Die zijn in meer en mindere mate hands-on en aanbevolen.
• Black Hills InfoSec en hun Antisyphon organisatie bieden uitstekende trainingen voor zeer betaalbare prijzen. Ik heb zelf "Advanced webapp pentesting, with B.B. King" gedaan en die was top.