IT Security Certificeringen

ralpje schreef op zaterdag 8 oktober 2022 @ 16:46:
Op zoek naar input
Als freelancer werk ik met name in de Microsoft hoek. Een deel Azure, een deel Modern Workplace. Daarnaast ben ik Microsoft trainer.
Ik wil graag wat meer 'hands on' met security gaan doen. Ik heb al de nodige MS certs op security gebied (SC-300, SC-200, MS-500, AZ-500), maar zoek dus iets buiten m'n comfortzone.
Ik lees over dingen als CEH, OSCP, etc.... Maar wat is nu de beste start?
Ik ga al een jaartje of twintig mee in de IT, heb dus redelijk wat startkennis, maar niet direct 'offensive' vlak.

Ik zoek dus wel concreet iets op technisch toegepast gebied, niet de 'papieren' kant.

Wat is een goed punt om te starten, een cert wat ook in de praktijk goed bekend staat én waar ik gewoon even lekker buiten m'n comfortzone veel shit kan leren?

Liegebeest schreef op zaterdag 8 oktober 2022 @ 18:57:
[...]

Ik wilde gaan zeggen: het is volledig afhankelijk van de kant die je op wilt, maar dat geef je best duidelijk zelf aan: technisch en offensief.

Mijn persoonlijke meningen en ervaringen:
[list]
• CEH en eigenlijk heel ECC blijf ik voortaan bij weg, die lui geef ik geen geld meer vanuit ethische overwegingen. CEH heeft een goede naamsbekendheid voor je CV, maar technisch inhoudelijk vond ik het een stuk minder.

Grim schreef op zaterdag 8 oktober 2022 @ 21:21:
[...]


Certificaten zijn leuk en wel maar als absolute beginner op vlak van offsec zou ik Starting Point van Hackthebox aanraden. Gratis en het neemt je redelijk bij het handje om de basis te leren.
Blog: https://help.hackthebox.c...duction-to-starting-point
Hackthebox platform: https://www.hackthebox.com/

[Voor 23% gewijzigd door Jaqenhghar op 10-10-2022 13:41]

Liegebeest schreef op zaterdag 8 oktober 2022 @ 18:57:
[...]

Ik wilde gaan zeggen: het is volledig afhankelijk van de kant die je op wilt, maar dat geef je best duidelijk zelf aan: technisch en offensief.

Mijn persoonlijke meningen en ervaringen:

• CEH en eigenlijk heel ECC blijf ik voortaan bij weg, die lui geef ik geen geld meer vanuit ethische overwegingen. CEH heeft een goede naamsbekendheid voor je CV, maar technisch inhoudelijk vond ik het een stuk minder.
• OSCP is een pittige start, heeft HR-technisch een kleinere bekendheid, maar is onder de werkelijke techneuten bekend als een goede, stevige instap.
• SANS is peperduur, maar is die prijs voor de kwaliteit ook zeker waard. Ze hebben een enorme keuze aan degelijke opleidingen.
• CompTIA Pentest+ en CySA+ zijn multiple choice examens met een degelijk curriculum. Kleine naamsbekendheid in de EU, goede lesstof voor een instapper. CySA+ is tevens sinds deze week voor $50 te doen, als beta-test voor de volgende versie van examen.
• Er zijn een heleboel hele goede, kleine aanbieders van trainingen waar onder INE (voorheen eLearnSec), Pentester Academy (PTA) en TCM (The Cyber Mentor). Die zijn in meer en mindere mate hands-on en aanbevolen.
• Black Hills InfoSec en hun Antisyphon organisatie bieden uitstekende trainingen voor zeer betaalbare prijzen. Ik heb zelf "Advanced webapp pentesting, with B.B. King" gedaan en die was top.

Jaqenhghar schreef op maandag 10 oktober 2022 @ 12:58:
[...]

Denk dat misschien 20% van de stof van toegevoegde waarde is. Het examen nog minder, dom stampwerk.

Orangelights23 schreef op maandag 10 oktober 2022 @ 17:02:
[...]
OSCP is de enige waar je echt zelf mee aan de slag moet...

Liegebeest schreef op maandag 10 oktober 2022 @ 18:09:
[...]

Incorrect, het worden er zelfs steeds meer.

PTA (pentester academy), PDSO (practical devsecops), TCM (the cybermentor) en volgens mij zelfs INE hebben praktijkexamens.

Orangelights23 schreef op maandag 10 oktober 2022 @ 17:02:
[...]


De meeste security trainingen zijn voornamelijk stampwerk. Men die heel trots CISSP in hun LinkedIn naam hebben staan… Gefeliciteerd, je kunt onthouden! OSCP is de enige waar je echt zelf mee aan de slag moet, maar dat is ook de stof zelf. Alle soft security certificaten vind ik redelijk waardeloos qua kennis. Tegenwoordig selecteer ik sollicitanten op track record en projecten, dat is veel interessanter. Dat plus motivatie is al genoeg in veel gevallen.

Liegebeest schreef op maandag 10 oktober 2022 @ 18:09:
[...]

Incorrect, het worden er zelfs steeds meer.

PTA (pentester academy), PDSO (practical devsecops), TCM (the cybermentor) en volgens mij zelfs INE hebben praktijkexamens.

Jaqenhghar schreef op dinsdag 11 oktober 2022 @ 09:05:
[...]


Eens hoor. Ik heb een collega die die kennisquiz certs verzameld alsof het pokémon zijn.

Ben zelf ook niet zo'n fan van dat soort certificaten. Ik ontkom er zelf helaas ook niet aan. En ach he, extra kennis is nooit weg. Soms levert het zelfs extra geld op


[...]


Ja oké die zijn er inderdaad, maar die zijn dan niet proctored met enorm veel tijd (die van HTB heeft bijvoorbeeld 10 dagen) dus dat vermindert de waarde op de markt al snel, want cheaters.

Aan de andere kant: Blij dat de markt nu aan het verbreden is, het spul van offsec is lang niet heilig en vaak zelfs enorm verouderd/te kort komend ten opzichte van wat je er voor betaald.

Orangelights23 schreef op maandag 10 oktober 2022 @ 17:02:
[...]


De meeste security trainingen zijn voornamelijk stampwerk. Men die heel trots CISSP in hun LinkedIn naam hebben staan… Gefeliciteerd, je kunt onthouden! OSCP is de enige waar je echt zelf mee aan de slag moet, maar dat is ook de stof zelf. Alle soft security certificaten vind ik redelijk waardeloos qua kennis. Tegenwoordig selecteer ik sollicitanten op track record en projecten, dat is veel interessanter. Dat plus motivatie is al genoeg in veel gevallen.

[Voor 5% gewijzigd door oak3 op 11-10-2022 14:52]

oak3 schreef op dinsdag 11 oktober 2022 @ 14:48:
[...]


Ik snap je sentiment t.a.v. CISSP, maar het is niet geheel terecht. Ik heb zowel CISSP als CCSP gedaan. Beide ga lastig kunnen halen met echt alleen maar stampen, en daarnaast is er ook gewoon een eis van werkervaring om je CISSP of CCSP te mogen noemen.

En iemand die recent CEH heeft gehaald, heeft mijns inziens de boot flink gemist als het gaat om ethiek.

Orangelights23 schreef op dinsdag 11 oktober 2022 @ 15:24:
[...]

Ik hoop dat er ooit wat moeilijkere certificaten langskomen die echt uitdagen Tot die tijd selecteer ik mensen vooral op motivatie, commitment en bewezen track record.

Orangelights23 schreef op dinsdag 11 oktober 2022 @ 15:24:
[...]

En leuk natuurlijk die eis qua werkervaring, maar dat is een mooi trucje om het net wat exclusiever te laten lijken.

Liegebeest schreef op donderdag 13 oktober 2022 @ 14:11:
Even een snelle copy/paste van mijn LinkedIn:

Last year, Hoppenbrouwers Techniek B.V. fell victim to a ransomware attack. With a lot of hard work, together with Northwave. Intelligent Security Operations, they managed to fend off the biggest issues and survive the attack.

Earlier this week, Marcel de Boer from Hoppenbrouwers visited a local security conference to tell us about their experience. What's even cooler: the company worked with a journalist to write a book about their experience! And even better: that book is available for free.

https://www.hoppenbrouwerstechniek.nl/boek-hack/

Grim schreef op zaterdag 8 oktober 2022 @ 21:21:
[...]


Certificaten zijn leuk en wel maar als absolute beginner op vlak van offsec zou ik Starting Point van Hackthebox aanraden. Gratis en het neemt je redelijk bij het handje om de basis te leren.
Blog: https://help.hackthebox.c...duction-to-starting-point
Hackthebox platform: https://www.hackthebox.com/

Liegebeest schreef op maandag 24 oktober 2022 @ 16:25:
Oei! En ik had die mail juist genegeerd.

Bedankt voor de tip!

Orangelights23 schreef op maandag 24 oktober 2022 @ 16:42:
Het grappige is dat ze zelf voorstellen wat je moet stemmen…

1. To approve of (ISC)² modifying the bylaws currently in effect since February 1, 2021 and replace them with the proposed Amended and Restated Bylaws. The Board of Directors have reached the conclusion that the amended and restated bylaws are desirable. It is the opinion of the Board of Directors that these bylaws should be approved by the membership.

MiTM schreef op donderdag 27 oktober 2022 @ 22:34:
Vraagje, ik heb eergisteren mijn CISSP examen gedaan en behaald. Nu wil ik het endorsement traject starten, wat is beter/sneller? Iemand zoeken die mij kan endorsen of via ISC2 zelf laten doen?

Liegebeest schreef op vrijdag 28 oktober 2022 @ 06:05:
[...]

Iemand vinden is vaak leuker Ik maak d'r altijd een koffie-moment van, waarin we je CV langslopen.

MiTM schreef op donderdag 27 oktober 2022 @ 22:34:
Vraagje, ik heb eergisteren mijn CISSP examen gedaan en behaald. Nu wil ik het endorsement traject starten, wat is beter/sneller? Iemand zoeken die mij kan endorsen of via ISC2 zelf laten doen?

• CISSP
• CISM
• CEH
• CCSP

Positron schreef op zaterdag 29 oktober 2022 @ 04:11:
In de afgelopen jaren heb ik een aantal certificeringen verzameld. Op het gebied van cybersecurity heb ik:

• CISSP
• CISM
• CEH
• CCSP

Mijn werkervaring is vooral op het gebied van product- en projectmanagement, met nadruk op cybersecurity. En mijn ambities liggen in het verlengde daarvan, maar ook in operationeel management van IT-security.

Zelf zit ik niet al te diep in de techniek, maar de mensen waarmee of waarvoor ik werk zijn dat vaak wel. De techniek rondom cybersecurity maakt het ook interessant, maar ik ben de 30 ruim gepasseerd en heb niet het talent en de passie om zelf nog hacker/pentester te worden. Ik vind het wel belangrijk en ook leuk om de gebruikte methoden te begrijpen, dus daarom heb ik CEH eens gedaan. Dat vond ik qua opzet echter geen briljante cursus. Leuk om eens met Linux en CLI in aanraking te komen, maar verder was het tientallen tools bekijken en verder weinig van geleerd.

Nu heb ik de kans om via werk aan een on-demand SANS-cursus deel te nemen. De vraag is nu: wat moet ik kiezen?

Ik wil echt wel iets nieuws leren, dus voorkomen dat ik CISSP of CEH ga herhalen, maar beiden zijn alweer even geleden en wat weggezakt. Is SEC401 (GSEC) de moeite en sluit dat aan op wat ik al heb? Of beter eentje die security management behandelt, zoals MGT512 (GSLC) of beter een van de Advanced Management courses.

Het is erg lastig kiezen, omdat ik niet goed kan bepalen of het meerwaarde heeft om reeds behandelde topics met SANS nog eens over te doen. En in hoeverre de meer technische courses voor mij te doen zijn en meerwaarde hebben. Advies is dus zeer welkom.

MiTM schreef op donderdag 27 oktober 2022 @ 22:34:
Vraagje, ik heb eergisteren mijn CISSP examen gedaan en behaald. Nu wil ik het endorsement traject starten, wat is beter/sneller? Iemand zoeken die mij kan endorsen of via ISC2 zelf laten doen?

[Voor 0% gewijzigd door jeffreytigch op 30-10-2022 15:22. Reden: Te veel woorden]

Positron schreef op zaterdag 29 oktober 2022 @ 04:11:
In de afgelopen jaren heb ik een aantal certificeringen verzameld. Op het gebied van cybersecurity heb ik:

• CISSP
• CISM
• CEH
• CCSP

Mijn werkervaring is vooral op het gebied van product- en projectmanagement, met nadruk op cybersecurity. En mijn ambities liggen in het verlengde daarvan, maar ook in operationeel management van IT-security.

Zelf zit ik niet al te diep in de techniek, maar de mensen waarmee of waarvoor ik werk zijn dat vaak wel. De techniek rondom cybersecurity maakt het ook interessant, maar ik ben de 30 ruim gepasseerd en heb niet het talent en de passie om zelf nog hacker/pentester te worden. Ik vind het wel belangrijk en ook leuk om de gebruikte methoden te begrijpen, dus daarom heb ik CEH eens gedaan. Dat vond ik qua opzet echter geen briljante cursus. Leuk om eens met Linux en CLI in aanraking te komen, maar verder was het tientallen tools bekijken en verder weinig van geleerd.

Nu heb ik de kans om via werk aan een on-demand SANS-cursus deel te nemen. De vraag is nu: wat moet ik kiezen?

Ik wil echt wel iets nieuws leren, dus voorkomen dat ik CISSP of CEH ga herhalen, maar beiden zijn alweer even geleden en wat weggezakt. Is SEC401 (GSEC) de moeite en sluit dat aan op wat ik al heb? Of beter eentje die security management behandelt, zoals MGT512 (GSLC) of beter een van de Advanced Management courses.

Het is erg lastig kiezen, omdat ik niet goed kan bepalen of het meerwaarde heeft om reeds behandelde topics met SANS nog eens over te doen. En in hoeverre de meer technische courses voor mij te doen zijn en meerwaarde hebben. Advies is dus zeer welkom.

oak3 schreef op maandag 31 oktober 2022 @ 10:58:
[...]


Ik ben zelfs nog wat ouder, en heb op CEH na hetzelfde rijtje. En ben nu bezig voor een master en als dat hem niet wordt, ga ik ook de offensieve kant op. Merk toch echt dat kennis van de offensieve kant cruciaal is als je prioriteiten moet stellen, moet verdedigen, of moet uitleggen waarom je iets wel of niet doet.

daily.data.inj schreef op zaterdag 29 oktober 2022 @ 08:38:
[...]


Als ik de informatie op de SANS website lees lijkt mij de SEC401 (GSEC) weinig toevoegen. Dit vanwege de certificeringen die je al hebt. De MGT512 (GSLC) lijkt op papier wel interessant voor jouw achtergrond en doel, de MGT551 (GSOM) past ook in dit straatje volgens mij met het oog op operationeel management.

Ben zelf trouwens ook ruim de 30 gepasseerd en heb zeker het talent niet, maar heb er toch voor gekozen om te starten met offensive security vanwege mijn interesse (OSCP). Benieuwd of dat over een paar maandjes gaat lukken of dat ik van een koude kermis terugkom .

jeffreytigch schreef op zondag 30 oktober 2022 @ 15:22:
Grappig dat er wordt gepraat over de 30 passeren en ethical hacking oppakken - ik (ook een 30er) ben op het moment bezig om ethical hacking op te pakken, nadat ik heb geprobeerd een IT onderneming te starten. Echt nog in het begin - nu op mijn tweede course bij TCM, om mogelijk PNPT te halen. Ik wil mij meer gaan specialiseren, en ben uitgekomen op IT beveiliging, om die ‘vonk’ weer terug te krijgen. Zodoende uitgekomen bij ethical hacking, misschien omdat dat wat glamoureuzer is.

Ik ben echter nog wel benieuwd hoe iedereen hier aan het werk is - in (algemene) IT dienstverlening is het makkelijker om aan klussen te komen, maar ik heb het gevoel dat bij IT beveiliging het veel meer leunt op certificering en vertrouwen/authoriteit. In wat voor dienstverband werken jullie, en hoe zijn jullie daar terecht gekomen?

Liegebeest schreef op zondag 30 oktober 2022 @ 18:38:
Ik was 37 toen ik m'n OSCP deed. Joh, ik werd op m'n 30e ouder van onze eerste en begon tegelijk aan een overstap van systeembeheer naar "meer security". Leeftijd is maar een nummertje.

Ik werk als ZZP-er tegenwoordig, maar de afgelopen dertien jaar was ik consultant voor een heel klein bedrijfje. Ik werd/word ingehuurd voor projecten waar men een set specifieke kennis en ervaring nodig hebben. De vereiste skills verschillen nog al eens, dus vooral blijven leren en bij-leren is het devies.

OSCP heb ik lang geleden gedaan. Ben ik ooit gaan pentesten? Nee, dat is niet een titel die je op mijn CV zal zien staan. Maar wat ik heb geleerd, is wel enorm nuttig geweest.

Positron schreef op donderdag 3 november 2022 @ 00:59:
[...]

Het lijkt me mooie uitdaging om ooit nog OSCP te behalen, maar ik verwacht dat alleen een cursus daarvoor onvoldoende is. Dat betekent voor mij een zeer lange aanlooptijd. En met een jong gezin is de tijd voor hobbyen beperkt, zeker als je ook wilt sporten.

[Voor 7% gewijzigd door DiffieHM op 18-11-2022 18:18]

GDAHAGA schreef op woensdag 30 november 2022 @ 16:34:
Ik ben op zoek naar mensen die ervaring hebben met CBP/Certified BIO Professional / Baseline Informatiebeveiliging Overheid.

GDAHAGA schreef op woensdag 30 november 2022 @ 16:34:
Ik ben op zoek naar mensen die ervaring hebben met CBP/Certified BIO Professional / Baseline Informatiebeveiliging Overheid.
heb op google gezocht, vond paar links naar bv's die trainingen geven en ook certificeren. enigste open lijkende , die niet achter allerlei offertes schuilde, leek van haren publications bv, ze hebben paar websites, waar ze het boek voor 100 euro aanbieden, en examens voor 250 dacht ik.

Ik heb gezocht naar ervaringen met dit bedrijf, kon geen vinden, heb contact opgenomen met ze, middels emails naar verschillende mail adressen om meer informatie, nu 3 dagen geen reply.

Dus dacht ik stel de vraag hier. Zitten er mensen hier met een BIO certificaat ? zo ja, graag jullie ervaring mbt verkrijgen ervan, welke bedrijven, welke mogelijkheden tot oficiele examenatie / erkenning zijn er ?

Ik heb de studies nagekeken, lijken niet te moeilijk, ik ben all CISSP, en Security+ en Itil en nog paar andere erbij. Maar dacht, Is toch goed om een officiele NL certificatie te hebben die voor werken bij de Overheid makkelijker maakt.

alvast dank voor input.

Stufferdt schreef op woensdag 30 november 2022 @ 21:02:
[...]


BIO is qua opzet gelijk aan de ISO 27001. Ik zou dus eventueel kijken om je hier verder in te verdiepen. Mooie basis hiervoor is dit boek van Cees van der Wens eens doornemen: Handboek ISO27001.

Qua trainingen zou je dus kunnen kijken naar een goede inhoudelijke training ISO 27001.

GDAHAGA schreef op woensdag 30 november 2022 @ 16:34:
Ik heb de studies nagekeken, lijken niet te moeilijk, ik ben all CISSP, en Security+ en Itil en nog paar andere erbij. Maar dacht, Is toch goed om een officiele NL certificatie te hebben die voor werken bij de Overheid makkelijker maakt.

[Voor 5% gewijzigd door Grim op 10-12-2022 21:52]

Hmmbob schreef op zondag 11 december 2022 @ 17:35:
Ok, de jongste (10) heeft plotseling volle bak interesse in Ethical Hacking. In het kader van "ijzer smeden als het heet is": welke resources kunnen jullie aanbevelen om hem verder te helpen die aansluiten bij de leeftijd? De spullen op mijn plank doen dat niet echt ...

Hmmbob schreef op zondag 11 december 2022 @ 17:35:
Ok, de jongste (10) heeft plotseling volle bak interesse in Ethical Hacking. In het kader van "ijzer smeden als het heet is": welke resources kunnen jullie aanbevelen om hem verder te helpen die aansluiten bij de leeftijd? De spullen op mijn plank doen dat niet echt ...

Liegebeest schreef op zondag 11 december 2022 @ 18:50:
[...]

"Bandit" van "OverTheWire" en de online academy van Port Swigger. Leuke en gratis spullen om mee te beginnen.

Jaqenhghar schreef op maandag 12 december 2022 @ 08:42:
[...]


Die zijn voor een 10 jarige aardig heftig. De uitleg van Port Swigger is vaak niet toereikend. OverTheWire is denk ik wel echt een toffe om je Linux skills te vergroten (iig de eerste ronde).

@Hmmbob Al eens naar TryHackMe gekeken? Dat is grotendeels op pure beginners gericht.

Liegebeest schreef op maandag 12 december 2022 @ 11:53:
[...]

Oh wacht! 10 jaar... Duh!

In dat geval Hack Shield.

Metzie schreef op maandag 24 oktober 2022 @ 16:17:
Even een offtopic post, maar ik ga er vanuit dat hier veel ISC2 gecertificeerde leden zijn. Het ISC2 bestuur heeft een stemming uitgevaardigd over nieuwe vereniging regelementen die potentieel schadelijk zijn voor de leden en het imago van de vereniging. Lees in deze Linkedin-post meer over de voorgestelde wijzigingen en waarom elk lid NEE zou moeten stemmen.

Bylaw vote results
The (ISC)² Board of Directors submitted bylaw amendments to the membership. The amendments were put to a vote from October 19-November 19, 2022. Results of the vote were as follows:
6,545 members voted “AGAINST APPROVAL”
2,628 members voted “FOR APPROVAL”
292 members voted to “ABSTAIN”
The proposed amendments have not passed.

Liegebeest schreef op maandag 12 december 2022 @ 11:53:
[...]

Oh wacht! 10 jaar... Duh!

In dat geval Hack Shield.

daily.data.inj schreef op donderdag 15 december 2022 @ 11:50:
[...]


Goed idee geweest om dit hier ook te posten. Zal ongetwijfeld hebben bijgedragen aan het uiteindelijke resultaat. Zag vanochtend onderstaande op de mail voorbijkomen:


[...]

Hmmbob schreef op donderdag 15 december 2022 @ 12:47:
[...]

Kleine is helemaal enthousiast. Top!

TRON schreef op zondag 13 maart 2022 @ 11:11:
[...]

Inmiddels is het GIAC GSTRT-certificaat behaald.

Orangelights23 schreef op woensdag 28 december 2022 @ 19:34:
@SunnieNL Gefeliciteerd! Een vraagje, als je beter wilt communiceren met het management, waarom heb je niet voor CISM gekozen? CISSP is juist wat technischer van aard en gaat over van alles en nog wat, terwijl CISM heel duidelijk gaat over bedrijfsdoelstellingen, strategie, wanneer we erbij betrekken, enzovoorts.

SunnieNL schreef op woensdag 28 december 2022 @ 21:45:
[...]


Ik vond zelf dat CISSP beter aansloot bij mijn werk (sales engineer). Mijn werkwereld ligt tussen technisch en management en CISSP hinkt daar ook tussen, met een meer denkrichting naar management. Had het idee dat ik daar meer aan had gezien ik met alle partijen praat (alleen dan met een andere focus tijdens het gesprek).
Daarnaast denk ik niet dat ik de 5 jaar ervaring in de domeinen van Cism heb, terwijl ik die al wel had in cissp (gezien ik in het verleden veel meer op technisch vlak zat).

Orangelights23 schreef op woensdag 28 december 2022 @ 19:34:

Aan alle anderen, nu NIS2 gepubliceerd is en indien werkzaam bij een organisatie dat binnen de reikwijdte valt, hoe gaan jullie hiermee om? De richtlijnen zijn duidelijk, maar overstijgen bijvoorbeeld zeker niet het niveau van ISO27K1. Meningen/visie?

[Voor 7% gewijzigd door Metzie op 29-12-2022 09:49]

oak3 schreef op donderdag 29 december 2022 @ 20:22:
[...]


Ik zie het een beetje zo. Een business persoon / manager die CISO wil worden, heeft veel aan CISSP omdat het op een goed niveau alle cyber security aspecten raakt, waaronder de technische.

Voor een techneut met cyber security ervaring die CISO wil worden, is CISM veel beter. Uit de techniek en meer hoe je Cyber Security moet aansturen.

*knip* dit lijkt geen vraag maar puur referral-spam. Nu al gezakt voor het examen

[Voor 97% gewijzigd door F_J_K op 03-01-2023 08:39]

oak3 schreef op donderdag 29 december 2022 @ 20:17:
[...]

En als bestuurders ergens allergisch voor zijn is het persoonlijke aansprakelijkheid.

[Voor 48% gewijzigd door Jaqenhghar op 03-01-2023 09:55]

Liegebeest schreef op vrijdag 6 januari 2023 @ 20:46:
Ik ben al tijden fan van AntiSyphon's security trainingen. Ze hebben binnenkort een online summit, gevolgd door twee dagen van hun goede + goedkope trainingen.

https://www.antisyphontra...23-most-offensive-summit/

Ik doe dit jaar mee met de 1-daagse API hacking training.

[Voor 12% gewijzigd door Jaqenhghar op 06-01-2023 22:32]

Jaqenhghar schreef op vrijdag 6 januari 2023 @ 22:27:
[...]
API hacking staat hier nog op het lijstje.
Kan wel het boek van Corey J. Ball aanbevelen: Hacking API’s.

Liegebeest schreef op vrijdag 6 januari 2023 @ 20:46:
Ik ben al tijden fan van AntiSyphon's security trainingen. Ze hebben binnenkort een online summit, gevolgd door twee dagen van hun goede + goedkope trainingen.

https://www.antisyphontra...23-most-offensive-summit/

Ik doe dit jaar mee met de 1-daagse API hacking training.

[Voor 3% gewijzigd door Liegebeest op 10-01-2023 20:05]

Liegebeest schreef op dinsdag 10 januari 2023 @ 20:04:
Harde lessen, van Lesley Carhart (@HacksForPancakes).

https://tisiphone.net/202...-cybersecurity-mentoring/

Nu ik de 44 aantik, met bijna 25 jaar carrière achter de rug, is't toch een goed idee om nog eens goed na te denken of ik nog wel goed bezig ben. Want toegegeven, ik heb de afgelopen jaren redelijk heen-en-weer gezwabberd wat betreft studies.

Ja, mijn rol als generalist, of als T/M-shaped engineer heeft me bij mijn klanten tot nu toe erg goed geholpen en ze hebben veel aan me gehad. Maar, is dit iets dat een lang leven is beschoren? Moet ik, naarmate ik ouder wordt, toch iets meer gaan specialiseren? Ik ben namelijk nergens echt specialist in. Lastig! Ik ga d'r eens goed over nadenken.

[Voor 3% gewijzigd door Jaqenhghar op 12-01-2023 08:44]

[Voor 34% gewijzigd door Liegebeest op 18-01-2023 14:51]

Liegebeest schreef op woensdag 18 januari 2023 @ 14:02:
Ik ben de laatste tijd weer meer met zaken bezig die echt de Nederlandse overheid en security eisen raken.

Heeft iemand hier ervaring met deze training?

https://ib-p.nl/cursus-applicatiebeheer-en-de-bio/

Of... als je een andere cursus kan aanbevelen over de BIO (opvolger BIG/BIR/etc) dan hoor ik het graag. Ik vond 1200€ voor twee dagen wat gortig, maar hoor het graag als deze het echt waard is.

Ik zie dat er via Global Knowledge (voor mij meer vertrouwd) voor het zelfde geld een vergelijkbare cursus is, waar blijkbaar ook een examen aan hangt: CBP - Certified BIO Professional. Dat klinkt al interessanter.

Toegegeven, als ik de blog van die IB-P lui verder uitpluis, heb ik wel het idee dat ze weten waar ze het over hebben. Het snijdt hout en ik kan me in hun boodschappen vinden.

Maar toch: ervaringen?

Mmore schreef op woensdag 18 januari 2023 @ 19:57:
@Liegebeest; werk zelf veel met de BIO. Als je al aardig in 27001/2 zit dan ben je er al 90%. Je kan de BIO verder gewoon downloaden en een keer goed doornemen. Ik zou er persoonlijk niet voor op training gaan, dat geld kan je beter in een ISO lead auditor/implementer cursus steken imho - zo goed als dezelfde inhoud maar veel breder geaccepteerd in de markt. Mocht je overheidsspecifieke opdrachten gaan doen en je CV oid moeten verkopen dan kan je altijd voor de recruiters achter een line item met je 2700x cert ("BIO bij de overheid") zetten

Liegebeest schreef op woensdag 18 januari 2023 @ 20:38:
Ik heb nog nul ervaring met ISO 27k en eigenlijk verdomd weinig interesse er in. Ik ben vooral op zoek naar "ff snel" uitdokteren wat de basics zijn van de invloed op Nederlandse overheden.

slashdev schreef op woensdag 18 januari 2023 @ 20:52:
[...]
Ik kan je dit boek aanraden

Liegebeest schreef op donderdag 19 januari 2023 @ 22:31:
[...]

Is dat wat, zelfs als 27k me eigenlijk echt niet interesseert?

Metzie schreef op vrijdag 20 januari 2023 @ 00:01:
[...]
Het ligt er uiteindelijk aan welke kant jij jezelf wilt ontwikkelen, als je breder wilt gaan dan de techniek en meer op governance, risk en compliance dan is dit een van de handvaten (naast bijvoorbeeld de NIST cyber security framework en CIS Controls)

In de Certified BIO Professional courseware is opgenomen:
• Trainer presentatie handout
• Proefexamen vragen
• Praktijkopdrachten
• Examen voorbereidingsgids

[Voor 67% gewijzigd door Liegebeest op 22-01-2023 18:15]

Scoro schreef op woensdag 18 januari 2023 @ 20:35:
[...]
Vorige week het examen gedaan voor ISACA's Certified in the Governance of Enterprise IT (CGEIT) en ook gehaald.

[Voor 18% gewijzigd door Liegebeest op 22-01-2023 18:36]

Liegebeest schreef op zondag 22 januari 2023 @ 18:18:
Helemaal gemist trouwens, maar:


[...]

Van harte gefeli! Goed werk!
En de afkorting is hier in NL natuurlijk ook gewoon tof.

Ik hoor d'r graag meer over! Welke boeken/materialen/oefenvragen je hebt gebruikt en vooral of je vindt dat de stof en het cert iets bijdragen aan jouw ontwikkeling.

• Techniek
• Wat een continue proces is van updates/patchen/mitigatie/response. Indien de cyclus goed staat is dit weinig nieuws. Wat nu veilig is is morgen onveilig. Wat nu high-tech is binnenkort verouderd.
• Awareness
• Wat eigenlijk de risk cultuur is van de organisatie. Is veel breder dan de hedendaagse klik-niet-hier-op training. En kost jaren om dit goed op te pakken.

• Governance
• Welke overblijft en antwoord geeft over hoe security is ingericht in de organisatie. Is het IT security of Business Security. Werk je aan compliance of risk-based