IT Security Certificeringen

Scoro schreef op maandag 23 januari 2023 @ 22:25:
[...]

De afkorting is inderdaad

Bedankt voor je uitgebreide verhaal! Heb ik wat aan!

slashdev schreef op dinsdag 24 januari 2023 @ 17:40:
Beetje offtopic; over studeren met flashcards

The US Soldiers Leaking Nuclear Secrets

Slonzo schreef op dinsdag 24 januari 2023 @ 23:55:
[...]

The US Soldiers Leaking Nuclear Secrets

Along with Editor Maxim Edwards, they discovered that US soldiers had been leaking highly confidential locations of these nuclear weapons via flashcard apps, for years and years as well as hundreds of other secrets that were not meant to be in the public domain at all.

Oeps... Details staan hierin: https://www.bellingcat.co...crets-via-flashcard-apps/
Komt er op neer dat flitskaarten-apps gebruikt zijn door militair personeel, en deze kaartjes online zichtbaar zijn voor Jan en Alleman. Zodoende is er allerlei gevoelige informatie naar buiten gekomen. Bijvoorbeeld waar nucleaire wapens van de VS in de EU staan gestationeerd. Inderdaad off-topic, maar wel interessant.

cat_byte schreef op woensdag 25 januari 2023 @ 19:19:
Oeps... Details staan hierin: https://www.bellingcat.co...crets-via-flashcard-apps/
Komt er op neer dat flitskaarten-apps gebruikt zijn door militair personeel, en deze kaartjes online zichtbaar zijn voor Jan en Alleman. Zodoende is er allerlei gevoelige informatie naar buiten gekomen. Bijvoorbeeld waar nucleaire wapens van de VS in de EU staan gestationeerd. Inderdaad off-topic, maar wel interessant.

Zie ook: fitness en hardloop tracking apps waarbij al je trainingen op je profiel komen te staan. Prachtige manier om de looproutes van de wachtdienst te volgen, of om een ongemarkeerde legerbasis in kaart te brengen.

Heeft er iemand ervaring met training op het gebied van ISO27001?

Ik ben mij aan het orienteren op zowel zelfstudie als klassikale training voor ISO27001 Foundation en ISO27001 Lead Implementer. Vraag mij af wat aan te raden is?

justVR schreef op zondag 29 januari 2023 @ 15:29:
Heeft er iemand ervaring met training op het gebied van ISO27001?

Ik ben mij aan het orienteren op zowel zelfstudie als klassikale training voor ISO27001 Foundation en ISO27001 Lead Implementer. Vraag mij af wat aan te raden is?

Ben zelf een jaar of 7 lead auditor nu en heb veel geïmplementeerd en onderhouden. Wat zoek je precies? Foundation is heel erg basic, avondje YouTube kijken en je weet het al. Lead Implementer is ook niet heel lastig, zeker als je er al een paar gedaan hebt. Dus afhankelijk van je doel en je ervaring/kennis, zou ik zeker niet voor foundation gaan.

Orangelights23 schreef op zondag 29 januari 2023 @ 15:33:
[...]


Ben zelf een jaar of 7 lead auditor nu en heb veel geïmplementeerd en onderhouden. Wat zoek je precies? Foundation is heel erg basic, avondje YouTube kijken en je weet het al. Lead Implementer is ook niet heel lastig, zeker als je er al een paar gedaan hebt. Dus afhankelijk van je doel en je ervaring/kennis, zou ik zeker niet voor foundation gaan.

Dank voor je reactie! Wat is overigens het verschil tussen de certification body's (EXIN, PECB, APMG)? Is er een verschil in kwaliteit of reputatie?

Exin is met 2 vingers in je neus, 40 vragen 65% goed. = pass
(geen onderhoud of jaarlijkse kosten)

justVR schreef op zondag 29 januari 2023 @ 15:29:
Heeft er iemand ervaring met training op het gebied van ISO27001?

Ik ben mij aan het orienteren op zowel zelfstudie als klassikale training voor ISO27001 Foundation en ISO27001 Lead Implementer. Vraag mij af wat aan te raden is?

Ik heb afgelopen jaar PECB ISO/IEC 27001 Lead Implementer en PECB ISO/IEC 27005 Risk Manager training gevolgd bij TSTC. De reden dat ik voor klassikale training heb gekozen is vanwege de vragen en discussies met mede studenten en om mijn netwerk te verbreden. Ook is de dialoog met de trainer fijn, beide trainers die ik had waren zelfstandige consultants en ik vraag vaak hoe zij een bepaald onderwerp implementeren bij hun klanten. (Dus papieren werkelijkheid vs praktijk)

Ik heb een write-up gedaan over mijn ervaring met 27001 Lead Implementer. Ik moet je wel zeggen dat ik het training materiaal van zowel de 27001 als de 27005 er regelmatig bij pak. Gedurende de training is het inderdaad wel "death by powerpoint" maar als referentie documentatie werkt het wel fijn. De opmerking die ik maakte is "de bijsluiter bij de bijbel" en zo gebruik ik het ook.

Verschil tussen Exin, PECB en APMG kan ik moeilijk duiden omdat ik alleen PECB heb gedaan. APMG ken ik wel van ITIL, M_o_R en Prince 2 en dan is het materiaal wel goede kwaliteit.

Vraagje: ik ben zojuist begonnen met het leren voor het CISM-examen - ik ben gebruik gaan maken van de officiele tools van ISACA om te oefenen. Komen deze vragen een beetje overeen qua vraagstelling en content met de vragen op het examen zelf?

Poguemahone schreef op dinsdag 31 januari 2023 @ 08:37:
Vraagje: ik ben zojuist begonnen met het leren voor het CISM-examen - ik ben gebruik gaan maken van de officiele tools van ISACA om te oefenen. Komen deze vragen een beetje overeen qua vraagstelling en content met de vragen op het examen zelf?

Ja, de QAE database vragen komen qua toon en vorm aardig overeen met het echte examen. Ik heb ze ook gebruikt en alle 1000 doorgewerkt en had weinig moeite om het examen te halen. Zie ook mijn write-up.

Metzie schreef op dinsdag 31 januari 2023 @ 08:40:
[...]


Ja, de QAE database vragen komen qua toon en vorm aardig overeen met het echte examen. Ik heb ze ook gebruikt en alle 1000 doorgewerkt en had weinig moeite om het examen te halen. Zie ook mijn write-up.

Geweldig nieuws, bedankt voor je reactie. Ik zal eens kijken naar je Reddit post!

Metzie schreef op dinsdag 31 januari 2023 @ 08:36:
[...]
Ik heb een write-up gedaan over mijn ervaring met 27001 Lead Implementer.

Goed verhaal! Dankjewel! Misschien moest ik me toch eens aan die ene wagen, helemaal omdat ik echt vertrouwen heb in TSTC.

Metzie schreef op dinsdag 31 januari 2023 @ 08:36:
[...]
Ik heb afgelopen jaar PECB ISO/IEC 27001 Lead Implementer en PECB ISO/IEC 27005 Risk Manager training gevolgd bij TSTC.

Nog een keer bedankt: ik ga'm in April doen, na jouw goede review. Roderick mag je de volgende keer wel korting of een taartje sturen!

Plus, als ik zo eens rondsnuffel doe ik er toch goed aan om na ITIL v2 en v3 nu toch ook eens naar v4 te kijken. Dat framework is redelijk op de schop gegaan om beter om te kunnen gaan met de dynamische wereld van cloud, agile en meer. Cursus hoeft niet, maar in elk geval ff tijd besteden aan het lezen.

[ Voor 29% gewijzigd door Liegebeest op 02-02-2023 07:54 ]

ITIL4 krijgt ook onderhoud en daar zijn ze zelf heel enthiousast over (€$£)

We are thrilled to advise that in 2023, we are launching PeopleCert’s new Continuing Professional Development programme, designed to help you stay ahead in today’s competitive labour market.
This effectively means that, starting this year, Global Best Practice certifications will be issued with a renew-by date. Which certifications will come with a renewal requirement?

All candidates with a PeopleCert Global Best Practice certification can choose to renew within three years of their original certification dates. Certifications with the option to renew after 3 years, are as follows:

ITIL® 4
PRINCE2® 5th and 6th
PRINCE2® Agile
MSP® 4th and 5th
M_o_R® 3rd and 4th
MoP®
P3O®
MoV®
AgileSHIFT®
RESILIA®

slashdev schreef op donderdag 2 februari 2023 @ 08:48:
ITIL4 krijgt ook onderhoud en daar zijn ze zelf heel enthiousast over (€$£)

Maar, dat geldt dan alleen voor de PeopleCert versie van ITILv4? Ik ga d'r eens induiken, om te zien of het ook voor EXIN e.a. gaat gelden.

Op zich ben ik er geen tegenstander van, een "CE" vereiste om een certificaat echt geldig te houden. Het geld is bijkomende zaak, als je maar kan bewijzen dat je actief blijft met de stof.

Ik bedoel, ik heb in '99 mijn ITILv2 Foundations behaald, die is GFL: good for life. Betekent dit, dat ik nog steeds gecertificeerd zou moeten zijn? Ik vind van niet, er is heel veel veranderd sindsdien.

EDIT:
Source: https://www.axelos.com/ce...agement/itil-4-foundation

Zou het zo zijn dat PeopleCert tegenwoordig de enige bron van officiële certs voor ITILv4 is? Ik ga d'r induiken.

EDIT:
Allemachtig, zijn ze gek geworden? ITILv4 Foundation examen, €540.

Wat. De. Vak?!

[ Voor 17% gewijzigd door Liegebeest op 02-02-2023 10:18 ]

1. Create certification
2. make it popular
3. Add validity
4. Optional add cpe
5. Profit+++

Liegebeest schreef op donderdag 2 februari 2023 @ 10:05:

Allemachtig, zijn ze gek geworden? ITILv4 Foundation examen, €540.

Wat. De. Vak?!

Je kan de e-learning en examen voor ITIL v4 foundation behalen bij iLearn Innovative Learning vanaf €419. Heb ISO 27001 foundation en M_o_R Foundation bij hen gehaald en de kwaliteit vond ik goed.

Maar ook ik zit nu in de Axelos / Peoplecert onderhoudskosten en CPE molen, ik ben ITIL 3 expert / ITIL 4 managing professional gecertificeerd en moet nu £95 per jaar betalen. Maarja, mijn vorige werkgever heeft meer dan €10000 besteed aan alle ITIL deelopleidingen om zover te komen dus ik laat mijn huidige werkgever toch maar de kosten betalen. Net als voor alle andere onderhoudskosten van (ISC)², ISACA, PECB en Comptia.

Metzie schreef op woensdag 8 februari 2023 @ 22:58:
[...]
Je kan de e-learning en examen voor ITIL v4 foundation behalen bij iLearn Innovative Learning vanaf €419. Heb ISO 27001 foundation en M_o_R Foundation bij hen gehaald en de kwaliteit vond ik goed.

Dat scheelt een slok op een borrel, dankjewel!

Heeft er hier iemand toevallig ervaring met de opleidingen van het SECO instituut?
https://www.seco-institute.org/

[ Voor 16% gewijzigd door Turdie op 15-02-2023 14:38 ]

Turdie schreef op woensdag 15 februari 2023 @ 14:38:
Heeft er hier iemand toevallig ervaring met de opleidingen van het SECO instituut?
https://www.seco-institute.org/

Nul ervaring. Ik zag ze vorig jaar ook al eens voorbij komen, maar ik had toen geen reden om aan te nemen dat ze iets waard zijn.

Ik ben benieuwd of anderen iets meer weten.

Turdie schreef op woensdag 15 februari 2023 @ 14:38:
Heeft er hier iemand toevallig ervaring met de opleidingen van het SECO instituut?
https://www.seco-institute.org/

Ik ken ze van naam, maar ze vallen in de categorie onbekend maakt onbemind. Een van de ISO met wie ik heb samengewerkt heeft een versie van Information Security Management Expert gedaan en ik begreep dat hij het een goede opleiding vond die een goede basis voor zijn carriere vormde.

Als ik het curriculum lees spreekt het me wel aan, maar dan doe je het voor de vakkennis die je opdoet, niet om voorbij een HR filter te komen, dan zijn de "standaard" certificeringen beter (CISSP, CISM, CEH)

Interessant trouwens dat SECO Nederlands is en een afsplitsing van Security Academy uit Woerden is.

SECO-Institute came to existence in 2008 when the Security Academy Netherlands started to develop certification courses in Security and Business Continuity. Security Academy started to develop an internationally recognised Cyber Security & Governance Certification Program.

In 2016, the Security Academy decided to focus on educational activities and transferred the complete courseware development process to the SECO-Institute.

Hierover nadenkend vind ik het best knap dat een Nederland bedrijf probeert om de monopolie van Amerikaanse instituten te doorbreken. Het zou fijn zijn als ze geadopteerd worden door de EU en de de-facto standaard van de EU worden inplaats van de bekende Amerikaanse certificeringen, ook omdat ik CISSP en CISM heel Amerikaans vind met hun NIST, HIPAA, FEDRAMP, etc,

[ Voor 12% gewijzigd door Metzie op 18-02-2023 00:09 ]

TL;DR ik ben onlangs aangenomen bij een overheidsinstantie in de rol van ISO, welke certificaten moet ik aanvullend op mijn CISSP, Security+ en Netwerk+ hebben om solide basis voor werk binnen de overheid te bouwen.

Hi allen, ik ga binnenkort als ISO werken bij de overheid, en ik wil efficent integreren in het werk, en tegelijkertijd verder bouwen aan mijn kennis en ontwikkeling. Het doel is om eerst een basis te creeeren en van daaruit te specialiseren. Ik vroeg me af of jullie suggesties voor certs/workshops hebben om die basis te versterken. Misschien certs waarvan je in hindshight dacht; 'was ik daar maar mee begonnen'.

Ik heb cism nog op de agenda staan, maar daar houdt het een beetje op. Alle suggesties zijn welkom.

Edit: herformulering

[ Voor 22% gewijzigd door Column op 25-02-2023 09:44 ]

Column schreef op vrijdag 24 februari 2023 @ 19:57:
TL;DR ik ben onlangs aangenomen bij een overheidsinstantie in de rol van ISO, welke aanvullende certificaten moest aanvullend op mijn CISSP, Security+ en Netwerk+ om solide basis voor werk binnen de overheid te bouwen.

Hi allen, ik ga binnenkort als ISO werken bij de overheid, en ik wil efficent integreren in het werk, en tegelijkertijd verder bouwen aan mijn kennis en ontwikkeling. Het doel is om eerst een basis te creeeren en van daaruit te specialiseren. Ik vroeg me af of jullie suggesties voor certs/workshops hebben om die basis te versterken. Misschien certs waarvan je in hindshight dacht; 'was ik daar maar mee begonnen'.

Ik heb cism nog op de agenda staan, maar daar houdt het een beetje op. Alle suggesties zijn welkom.

Edit: herformulering

Proficiat!

Geen ervaring met overheid, maarrr wellicht een cursus ISO27001/bio als je dit nog niet eigen bent.

Een voorbeeld bij TSTC: bio in de praktijk

@Column Ik zou inderdaad voor 27001 gaan, aangezien BIO hier gebaseerd op is. Gezien dit framework meer een managementframework is, zouden CISM en CRISC een goede zijn. CISSP is meer van alles een beetje.

Column schreef op vrijdag 24 februari 2023 @ 19:57:
TL;DR ik ben onlangs aangenomen bij een overheidsinstantie in de rol van ISO, welke aanvullende certificaten moest aanvullend op mijn CISSP, Security+ en Netwerk+ om solide basis voor werk binnen de overheid te bouwen.

Gefeliciteerd ook, bij deze!

We zitten een beetje in het zelfde schuitje: security en GRC bij de overheid. Ergens op de vorige pagina vroeg ik ook al wat over de BIO en "het erkende CBP certificaat". Die tweede ben ik of afgeknapt want ik heb nog niet kunnen ontdekken door wie't dan zou zijn erkend en bovendien zag het er vooral uit als een eigen bakwerk van een training-vendor.

In navolging van een paar suggesties op de vorige pagina heb ik besloten me na al die jaren toch eens op ISO27k LI (lead implementor) te storten en daar een papiertje voor te halen om te formaliseren. Zijdelings ben ik ook bezig om wat meer over NIST CSF te leren.

Dat moet voorlopig maar even voldoende zijn.

Column schreef op vrijdag 24 februari 2023 @ 19:57:
TL;DR ik ben onlangs aangenomen bij een overheidsinstantie in de rol van ISO, welke aanvullende certificaten moest aanvullend op mijn CISSP, Security+ en Netwerk+ om solide basis voor werk binnen de overheid te bouwen.

Hi allen, ik ga binnenkort als ISO werken bij de overheid, en ik wil efficent integreren in het werk, en tegelijkertijd verder bouwen aan mijn kennis en ontwikkeling. Het doel is om eerst een basis te creeeren en van daaruit te specialiseren. Ik vroeg me af of jullie suggesties voor certs/workshops hebben om die basis te versterken. Misschien certs waarvan je in hindshight dacht; 'was ik daar maar mee begonnen'.

Ik heb cism nog op de agenda staan, maar daar houdt het een beetje op. Alle suggesties zijn welkom.

Edit: herformulering

Congrats !
Mijn ervaring (binnen overheid) is dat governance sterk onderontwikkeld is. Ja ..je hebt dashboards, maandrapportages en kpi maar geven geen echte inzicht hoe goed of slecht de “doelstellingen” gehaald worden. Kijk eens naar cobit zou ik zeggen

Dank voor de felicitaties en tips. Ik ga eerst focussen op de ISO27001 en CISM, daarna ziet CRISC er interessant uit. Zit er in die laatste genoeg Agile om daar ook meer wegwijs in te worden?

Column schreef op zaterdag 25 februari 2023 @ 15:03:
Dank voor de felicitaties en tips. Ik ga eerst focussen op de ISO27001 en CISM, daarna ziet CRISC er interessant uit. Zit er in die laatste genoeg Agile om daar ook meer wegwijs in te worden?

Als je met agile bedoelt dat het gebaseerd is op grootste hiërarische Amerikaanse bedrijven, dan ja

De kennis is goed om invulling te geven aan je werkzaamheden. Het examen zelf gaat uit van een conservatief groot Amerikaans bedrijf waar alles volgens de schoolboeken verloopt.

Moet de focus nu niet NIS2 zijn? Zal wel nog geen cert van zijn maar denk dat dit de focus zal zijn aangezien q2 2024 iedereen er klaar voor moet zijn.

Column schreef op zaterdag 25 februari 2023 @ 15:03:
Dank voor de felicitaties en tips. Zit er in die laatste genoeg Agile om daar ook meer wegwijs in te worden?

Gefeliciteerd met je nieuwe baan en goed dat je zelf aan je ontwikkeling werkt. Zoals reeds eerder aangegeven denk ik dat een 27001 training het beste is om met de BIO te starten. Ook de boeken Handboek ISO 27001 en Handboek ISO 27001 Controls van Cees van der Wens mogen niet aan je bibliotheek ontbreken.

Wat betreft Scrum Agile kan je het beste een PSM-1 training volgen (ik raad Scrum Certification 2023 +Scrum Master van Paul Ashun aan) en het examen doen. Dit is een mooie PSM-1 studyguide.

Liegebeest schreef op zaterdag 25 februari 2023 @ 19:58:
[...]

Ik heb d'r werkelijk nog niemand over gehoord, behalve dat 't bij de huidige CISO "in het vizier is".

Ik werk bij een MSSP, hier wel veel klanten die zich in enige vorm natuurlijk zorgen maken dat ze wel/niet op tijd klaar zijn. Zowel bij overheden, zorg etc. En daarnaast zijn zaken als de NEN7510 ook weer meer 'specifiek' geworden, dus werk aan de winkel .

Voor hen die met ISO27001 enz bezig zijn geweest, ik zie net dat er vanuit de EU een specifieke FOSS ISMS wordt gepromoot -> https://joinup.ec.europa..../verinice-isms-tool/about

Ik had nog niet gehoord van Verinice. Één van jullie hier al eens naar gekeken?

EDIT:
Het Github project. https://github.com/SerNet/verinice

Ja het is FOSS, maar je moet Java-ervaring hebben om de boel te bouwen en te runnen. Fair enough.

[ Voor 54% gewijzigd door Liegebeest op 26-02-2023 12:34 ]

Liegebeest schreef op zaterdag 25 februari 2023 @ 19:58:
[...]

Ik heb d'r werkelijk nog niemand over gehoord, behalve dat 't bij de huidige CISO "in het vizier is".

Begreep dat er al wat bedrijven de 1e brief hadden gehad dat ze onder NIS2 gingen vallen. Hierna nog bezoek wat het voor ze gaat betekenen.
Het zal mij alleen niets verbazen dat het nog wel een keer uitgesteld gaat worden maar 2024 zou het bij de essentiele bedrijven klaar moeten zijn.

NLKornolio schreef op zondag 26 februari 2023 @ 12:45:
[...]

Begreep dat er al wat bedrijven de 1e brief hadden gehad dat ze onder NIS2 gingen vallen. Hierna nog bezoek wat het voor ze gaat betekenen.
Het zal mij alleen niets verbazen dat het nog wel een keer uitgesteld gaat worden maar 2024 zou het bij de essentiele bedrijven klaar moeten zijn.

Wij worden hoogst waarschijnlijk essentieel. Ik ben nu cert. voor ISO 27001 2022 aan het opstarten voor onze afdeling in NL. Ik heb nog wel wat meer info maar dit gaat grote gevolgen hebben voor deze bedrijven.

Liegebeest schreef op zondag 26 februari 2023 @ 12:27:
Voor hen die met ISO27001 enz bezig zijn geweest, ik zie net dat er vanuit de EU een specifieke FOSS ISMS wordt gepromoot -> https://joinup.ec.europa..../verinice-isms-tool/about

Ik had nog niet gehoord van Verinice. Één van jullie hier al eens naar gekeken?

EDIT:
Het Github project. https://github.com/SerNet/verinice

Ja het is FOSS, maar je moet Java-ervaring hebben om de boel te bouwen en te runnen. Fair enough.

Hmmbob schreef op maandag 27 februari 2023 @ 09:27:
[...]

[Afbeelding]

Maar Verinice geeft juist invulling aan reeds bestaande standaarden Ik zie het als de tooling om (oa 27001/2) te realiseren.

Mmore schreef op maandag 27 februari 2023 @ 11:32:
[...]

Maar Verinice geeft juist invulling aan reeds bestaande standaarden Ik zie het als de tooling om (oa 27001/2) te realiseren.

Correct. Ze claimen een FOSS ISMS te zijn dat je kan gebruiken om oa ISO27001 netjes te bewijzen.

Skywalker27 schreef op maandag 27 februari 2023 @ 08:42:
[...]


Wij worden hoogst waarschijnlijk essentieel. Ik ben nu cert. voor ISO 27001 2022 aan het opstarten voor onze afdeling in NL. Ik heb nog wel wat meer info maar dit gaat grote gevolgen hebben voor deze bedrijven.

Het zal in de praktijk heel erg meevallen. De voornaamste focus van NIS2 zijn risico management, incident management en BCP. De richtlijnen zijn zo breed en generiek opgeschreven, dat het niet heel lastig zal zijn om te voldoen aan de nieuwe wetgeving.

Ik heb met een paar CISO's NIS2 al bestudeerd en samen GAP analyses uitgevoerd binnen onze organisaties. Grootste leerpunt is dat ISO27001 gecertificeerd zijn al betekent dat er weinig extra benodigd is om te voldoen. Voor de freelancers hier, ga snel ISO27001 Lead Implementer volgen

Orangelights23 schreef op maandag 27 februari 2023 @ 13:12:
[...]


Het zal in de praktijk heel erg meevallen. De voornaamste focus van NIS2 zijn risico management, incident management en BCP. De richtlijnen zijn zo breed en generiek opgeschreven, dat het niet heel lastig zal zijn om te voldoen aan de nieuwe wetgeving.

Ik heb met een paar CISO's NIS2 al bestudeerd en samen GAP analyses uitgevoerd binnen onze organisaties. Grootste leerpunt is dat ISO27001 gecertificeerd zijn al betekent dat er weinig extra benodigd is om te voldoen. Voor de freelancers hier, ga snel ISO27001 Lead Implementer volgen

Hmm ..heb nog geen certificering met ISO, wilde eerste nist foundation doen.. verleidelijk..twijfel.

shaowoo schreef op maandag 27 februari 2023 @ 17:51:
[...]


Hmm ..heb nog geen certificering met ISO, wilde eerste nist foundation doen.. verleidelijk..twijfel.

NIST is voornamelijk een Amerikaans iets, kom je niet heel veel tegen in Nederland/Europa, behalve de multinationals en grote developers (vanwege het grote aantal technische controls). ISO27001 is echt de standaard in Europa, ondanks dat de controls van NIST vaak veel relevanter zijn. Idealiter zou het een combinatie zijn van een ISMS (27001) en aanvullende NIST controls, maar NIST als standalone komt weinig voor.

Orangelights23 schreef op maandag 27 februari 2023 @ 13:12:
[...]


Het zal in de praktijk heel erg meevallen. De voornaamste focus van NIS2 zijn risico management, incident management en BCP. De richtlijnen zijn zo breed en generiek opgeschreven, dat het niet heel lastig zal zijn om te voldoen aan de nieuwe wetgeving.

Ik heb met een paar CISO's NIS2 al bestudeerd en samen GAP analyses uitgevoerd binnen onze organisaties. Grootste leerpunt is dat ISO27001 gecertificeerd zijn al betekent dat er weinig extra benodigd is om te voldoen. Voor de freelancers hier, ga snel ISO27001 Lead Implementer volgen

Alleen krijgen wij de UNECE R155 en R156, DORA, NIS2 tegelijk en we hadden al niet zo veel te doen.

Skywalker27 schreef op maandag 27 februari 2023 @ 21:22:
[...]


Alleen krijgen wij de UNECE R155 en R156, DORA, NIS2 tegelijk en we hadden al niet zo veel te doen.

Oh.. ik had alleen nis2 in het vizier. Bedankt voor de andere. Is er een informatiebron hoe je op de hoogte blijft.

Skywalker27 schreef op maandag 27 februari 2023 @ 21:22:
[...]


Alleen krijgen wij de UNECE R155 en R156, DORA, NIS2 tegelijk en we hadden al niet zo veel te doen.

Als jij een essentiële fintech dat auto’s maakt, dan zijn ze allemaal van toepassing ja

Orangelights23 schreef op dinsdag 28 februari 2023 @ 05:00:
[...]


Als jij een essentiële fintech dat auto’s maakt, dan zijn ze allemaal van toepassing ja

Onze lease en verzekeringsmaatschappij zien ze als een bank

shaowoo schreef op maandag 27 februari 2023 @ 23:20:
[...]

Oh.. ik had alleen nis2 in het vizier. Bedankt voor de andere. Is er een informatiebron hoe je op de hoogte blijft.

Ja de website van de EU maar ik maak altijd gebruik van mijn juridische collega's want het is zoeken naar een speld in een hooiberg.

[ Voor 39% gewijzigd door Skywalker27 op 28-02-2023 08:48 ]

Ik heb de afgelopen week twee examens van CertNexus gedaan. Niet omdat ik ze nodig heb, maar omdat ik authorized trainer wilde worden. Dat is gelukt.

Langere review hier -> https://www.kilala.nl/index.php?id=2575

Kort gezegd: CSC vond ik de moeite waard, van CFR vind ik het examen nog steeds niet goed (van CFR moet ik het boek nog doornemen).

Heeft hier toevallig ervaring met deze cert:

Certified Az Red Team Professional

Of met andere trainingen van de pentester academy

Turdie schreef op zondag 26 maart 2023 @ 14:40:
Heeft hier toevallig ervaring met deze cert:

Certified Az Red Team Professional

Of met andere trainingen van de pentester academy

Ik heb CRTP gedaan, hun niet-Azure AD-hacking cursus. Die beviel me goed.

-> https://www.kilala.nl/index.php?id=2460

Turdie schreef op zondag 26 maart 2023 @ 14:40:
Heeft hier toevallig ervaring met deze cert:

Certified Az Red Team Professional

Of met andere trainingen van de pentester academy

Als je een Azure AD Security training zoekt, zou ik deze van harte aanbevelen:
https://outsidersecurity.nl/training/

Niet omdat ik hem heb gedaan, maar omdat de docent een guru is op dit gebied. Er is er binnenkort eentje in Den Haag.

BytePhantomX schreef op maandag 27 maart 2023 @ 09:10:
[...]


Als je een Azure AD Security training zoekt, zou ik deze van harte aanbevelen:
https://outsidersecurity.nl/training/

Niet omdat ik hem heb gedaan, maar omdat de docent een guru is op dit gebied. Er is er binnenkort eentje in Den Haag.

Die DJM is sowieso een guru. Tof, wist niet dat hij ook trainingen geeft in NL.

Ik ben ondertussen aan het studeren voor Security+ want ik wil een carrière switch doen naar IT (ben momenteel boekhouder).

Ik zou heel graag willen starten als een junior cybersecurity analyst, is hiervoor enkel Security+ voldoende of zijn er nog certificaten die nodig zijn?

Gemmeke schreef op dinsdag 28 maart 2023 @ 14:16:
Ik ben ondertussen aan het studeren voor Security+ want ik wil een carrière switch doen naar IT (ben momenteel boekhouder).

Ik zou heel graag willen starten als een junior cybersecurity analyst, is hiervoor enkel Security+ voldoende of zijn er nog certificaten die nodig zijn?

Ik zou dat zeker aanvullen met minimaal CompTIA A+ en/of Network+, en een homelab project waarbij je de geleerde kennis demonstreert. Op die manier heb je een goed basis qua theorie, en is je verhaal aan tafel bij een werkgever een stuk overtuigender.

De echte deuropener is de CISSP certificering, niet omdat dit het beste certificaat is, maar wel één van de bekendste. Dit zorgt dat je bij de recruiters makkelijk door het cv filter komt. Dat is bij CompTIA certificering minder, simpelweg omdat deze in NL minder bekend is. Daarnaast helpt CISSP om de zakelijke belangen van informatiebeveiliging bij te brengen: waarom is al die beveiliging eigenlijk nodig en wat is het gevolg als we het niet doen.

Dat gezegd hebbende, ik ken mensen die prima met Security+ in NL aan de bak gekomen zijn. Het zoeken duurde alleen wat langer en ze hadden vrijwel altijd aanvullende certificering.

Edit: voor een uitgebreid certificering overzicht, zie dit.

[ Voor 8% gewijzigd door Column op 28-03-2023 17:56 ]

Gemmeke schreef op dinsdag 28 maart 2023 @ 14:16:
Ik ben ondertussen aan het studeren voor Security+ want ik wil een carrière switch doen naar IT (ben momenteel boekhouder).

Ik zou heel graag willen starten als een junior cybersecurity analyst, is hiervoor enkel Security+ voldoende of zijn er nog certificaten die nodig zijn?

Laat ik je dan maar meteen uitnodigen voor de CompTIA study group Discord -> https://discord.gg/rbr5RvkN

Voor werk als een SOC analist heb je, zoals gesuggereerd, meer IT kennis nodig. Security+ is een uitstekend curriculum, heel breed en het biedt security-kennis voor een groot aantal rollen.

Het nadeel is dat het daardoor, zeker in NL, niet bepaald een deur-opener is voor een specifieke rol.

Voordat we andere certs of topics aan gaan bevelen is de vraag hoeveel ervaring je al hebt met andere onderwerpen. Als je he-le-maal niets qua voorkennis hebt kan ITF+ van CompTIA eerder een mooi begin zijn. Maar, ik gok er niet op dat dit zo is, anders was je Sec+ niet ingedoken.

Zelf zou ik A+ en Net+ vermijden en er al helemaal geen examen in doen. Je kan dergelijke kennis ook opdoen via andere bronnen, of in elk geval zonder examen te doen. Het nadeel van CompTIA is dat't hier in NL geen bekende vendor is.

Liegebeest schreef op dinsdag 28 maart 2023 @ 20:55:
[...]
Zelf zou ik A+ en Net+ vermijden en er al helemaal geen examen in doen. Je kan dergelijke kennis ook opdoen via andere bronnen, of in elk geval zonder examen te doen. Het nadeel van CompTIA is dat't hier in NL geen bekende vendor is.

Gewoon nieuwsgierig, los van dat er alternatieve manieren zijn om kennis op te doen, zijn er inhoudelijke redenen dat je ze afkeurt? Ik vond dat de net+ & sec+ elkaar fijn aanvulden, en een prettige basis vormden voor verdere verdieping.

Column schreef op dinsdag 28 maart 2023 @ 21:34:
[...]
Gewoon nieuwsgierig, los van dat er alternatieve manieren zijn om kennis op te doen, zijn er inhoudelijke redenen dat je ze afkeurt? Ik vond dat de net+ & sec+ elkaar fijn aanvulden, en een prettige basis vormden voor verdere verdieping.

Je hebt helemaal gelijk: als je volledig nieuw start geven ze een mooie berg informatie, true. Maar het kan ook zijn dat't teveel afleidt. Zeker een examen is niet altijd nodig.

Ben benieuwd of hier mensen ervaring hebben met het EC-Counsil CEH Practical examen?
Heb recent het CEH theorie examen gehaald (wat ik eerlijk gezegd een belabberd examen vond), ik weet dat EC-Counsil op het moment in aanzien wat aan het afglijden is (en na het doen van het examen begrijp ik ook wel waarom...) maar het leek mee een leuk instap niveau om wat te snuffelen aan penetration testing / ethical hacking.

in het package zit ook een voucher voor het praktijk examen, ik ben benieuwd hoe anderen zich hier op voorbereid hebben. Ik werk mezelf momenteel door wat tryhackme en hackthebox rooms heen, maar merk dat ik daar vaak nog vast loop. De Labs van EC-Counsil zelf zijn teveel van het niveau klik hier, klik daar.

Verder merk ik wel dat het domein en hands-on bezig zijn me enorm aanspreek, ik kijk dus ook al een beetje vooruit, OSCP lijkt daarin wel dé certificering om voor te gaan, maar voelt nog wat te hoog gegrepen, wat zou hierbij een mooie aanvliegroute zijn richting OSCP?
Ik ben naast CEH momenteel als CISSP en CCSP gecertificeerd dus zit momenteel (ook qua ervaring) vooral op het theoretische gebied.

Beste allen, Ik ben eigenlijk opzoek naar een leuke cert. voor een collega die mij gaat ondersteunen op het gebied van risk management. Hij is helemaal nieuw in InfoSec niveau 4 MBO, erg gedreven en volgens mij deze collega echt een topper en kan deze ook nog wel een hoger niveau aan.

Hebben jullie suggesties?

Skywalker27 schreef op donderdag 30 maart 2023 @ 11:43:
Beste allen, Ik ben eigenlijk opzoek naar een leuke cert. voor een collega die mij gaat ondersteunen op het gebied van risk management. Hij is helemaal nieuw in InfoSec niveau 4 MBO, erg gedreven en volgens mij deze collega echt een topper en kan deze ook nog wel een hoger niveau aan.

Hebben jullie suggesties?

Risk Management is mijn eerste gedachte CRISC. Dit is echter geen instap.

Gaat er om denk ik wat het doel is:introduceren/bekend maken met risk concepten, introduceren binnen Security (CC/SSCP?) of meer enthousiast maken dmv een leuke certificering? Dan is iets als security foundations by securityacademy wellicht interessant.

Mocht het algeheel kennis op doen zijn: pluralsight account aanschaffen en hem tijd en ondersteuning bieden?

Yaay schreef op donderdag 30 maart 2023 @ 11:15:
Ben benieuwd of hier mensen ervaring hebben met het EC-Counsil CEH Practical examen?
Heb recent het CEH theorie examen gehaald (wat ik eerlijk gezegd een belabberd examen vond), ik weet dat EC-Counsil op het moment in aanzien wat aan het afglijden is (en na het doen van het examen begrijp ik ook wel waarom...) maar het leek mee een leuk instap niveau om wat te snuffelen aan penetration testing / ethical hacking.

in het package zit ook een voucher voor het praktijk examen, ik ben benieuwd hoe anderen zich hier op voorbereid hebben. Ik werk mezelf momenteel door wat tryhackme en hackthebox rooms heen, maar merk dat ik daar vaak nog vast loop. De Labs van EC-Counsil zelf zijn teveel van het niveau klik hier, klik daar.

Verder merk ik wel dat het domein en hands-on bezig zijn me enorm aanspreek, ik kijk dus ook al een beetje vooruit, OSCP lijkt daarin wel dé certificering om voor te gaan, maar voelt nog wat te hoog gegrepen, wat zou hierbij een mooie aanvliegroute zijn richting OSCP?
Ik ben naast CEH momenteel als CISSP en CCSP gecertificeerd dus zit momenteel (ook qua ervaring) vooral op het theoretische gebied.

Persoonlijk zou ik als ik een CV zie van iemand met daarop een recent examen CEH, al minpunten geven. Die club heeft zo'n slechte naam opgebouwd in de security community dat het echt een afrader is om die te halen. Dat is niet vanwege het niveau van examens, maar vanwege ethische kwesties. Zoals bijvoorbeeld deze: https://www.infosecurity-...-of-the-eccouncil-gender/ en een aantal plagiaat gevallen zoals deze: https://alyssasec.com/202...-council-an-open-response. Vooral de reactie op die issues waren stuitend.

OSCP staat wel goed aangeschreven, maar ook daar is wel wat kritiek te vinden op de manier van examineren. Voor OSCP is het volgens mij vooral heel veel oefenen, maar ook oefenen met het rapporteren over je stappen.

Stufferdt schreef op donderdag 30 maart 2023 @ 12:55:
[...]


Gaat er om denk ik wat het doel is:introduceren/bekend maken met risk concepten, introduceren binnen Security (CC/SSCP?) of meer enthousiast maken dmv een leuke certificering? Dan is iets als security foundations by securityacademy wellicht interessant.

Mocht het algeheel kennis op doen zijn: pluralsight account aanschaffen en hem tijd en ondersteuning bieden?

Ja enthousiast maken Wij hebben vanuit Scania allemaal plural daar is ie zich al lekker aan het uitleven maar er is zoveel op dit moment dat ik eigenlijk mijzelf alleen bezig houd met CISM, ISO27001 implementor enz. maar dan haakt ie direct af denk ik

[ Voor 8% gewijzigd door Skywalker27 op 30-03-2023 14:50 ]

Skywalker27 schreef op donderdag 30 maart 2023 @ 11:43:
Beste allen, Ik ben eigenlijk opzoek naar een leuke cert. voor een collega die mij gaat ondersteunen op het gebied van risk management. Hij is helemaal nieuw in InfoSec niveau 4 MBO, erg gedreven en volgens mij deze collega echt een topper en kan deze ook nog wel een hoger niveau aan.

Hebben jullie suggesties?

Ik zou zeggen juist zoveel mogelijk meenemen in de praktijk. Hem/haar eerst leren hoe het binnen Scania werkt. Want zo te zien ligt er al een bedrijfsbasis - https://www.scania.com/risk-management.html

Een basis en ervaring laten opbouwen in risico behandeling door te snappen wat een risico is in techniek/proces/mens binnen een werkend bedrijf.

Als die eigen is gemaakt dan pas verder naar eventueel een risk management cert kijken. Want daarmee leer je eigenlijk meer de verschillende modellen en dat het management/business de verantwoordelijke is en blijft. En van KPI's naar KRI's te gaan. Dat zijn allemaal dingen die je niet zo snel als starter gaat gebruiken of uit de voeten mee kan.

Pas als je een basis ervaring hebt kan je het beste jezelf op pad sturen, want pas dan kan je de eventuele hiaten in de praktijkgeleerde ervaringen duiden en omzetten naar verbeteringen.

Ikzelf ging van CISSP naar CISM naar CRISC. Oftewel Techniek, Management naar Risico Management.
Ongetwijfeld bestaan er soortgelijke routes met andere certificeringen.

Skywalker27 schreef op donderdag 30 maart 2023 @ 11:43:
Beste allen, Ik ben eigenlijk opzoek naar een leuke cert. voor een collega die mij gaat ondersteunen op het gebied van risk management.

Oh ja, het is natuurlijk een cliché, maar kijk ook eens rond bij deze -> https://pauljerimy.com/security-certification-roadmap/

Iets wat je collega waarschijnlijk heel rap er uit kan knallen, en nog gratis ook, is de CC van ISC2. Die vond ik niet slecht en die geeft een mooie intro op terminologie en concepten rondom BC/DR en meer.

Scoro schreef op donderdag 30 maart 2023 @ 19:27:
[...]


Want zo te zien ligt er al een bedrijfsbasis - https://www.scania.com/risk-management.html

En dat is nog een understatement echter is dit nog veel breder dan alleen infosec.

Hoi,

Ik werk momenteel als Product Owner in een IAM team. Ik heb 8 jaar ervaring met verschillende IAM producten en ook de standaard PO cert. Welke cert zouden jullie aanraden om mijn security ervaring uit te breiden op een management niveau?

ps. Ik ben van plan om mijn CISM te gaan halen.

Alvast bedankt!

CISM is inderdaad sowieso een goede voor je. De vraag gaat zijn: welke kant wil je je op ontwikkelen? Aan welke vraag (op de markt, of in het bedrijf) wil je voldoen?

Zojuist de uitslag van mijn Comptia CySA+ beta binnen en gehaald ook nog! Leuke toevoeging op mijn CV.

ramon42 schreef op woensdag 10 mei 2023 @ 14:19:
Zojuist de uitslag van mijn Comptia CySA+ beta binnen en gehaald ook nog! Leuke toevoeging op mijn CV.

Gefeliciteerd.
Moest wel even opzoeken waar het uit bestaat, dus voor de rest:

What Skills Will You Learn?
Security Operations
Improve processes in security operations and differentiate between threat intelligence and threat hunting concepts; identify and analyze malicious activity using the appropriate tools and techniques

Vulnerability Management
Implement and analyze vulnerability assessments, prioritize vulnerabilities and make recommendations on mitigating attacks and vulnerability response

Incident Response and Management
Apply updated concepts of attack methodology frameworks, perform incident response activities and understand the incident management lifecycle

Reporting and Communication
Apply communication best practices in vulnerability management and incident response as it relates to stakeholders, action plans, escalation and metrics

Beste Tweakers, ik ben mede door jullie suggesties bezig met het zoeken naar een goed ISO2700x cert als aanvulling op m'n CISSP. Ik werk als BIO-analist en het doel is om die ISO goed te kunnen doorgronden (ken nu de basis) en het te formaliseren met een papiertje.

• Nu ben ik een aantal keer dit topic doorlopen en zie ik een aantal smaken steeds terugkomen: PECB, APMG en IRCA. Wat zijn de verschillen tussen deze smaken?
• Ik zie de optie 'implementer' en 'auditor', waarbij auditorr in dit topic niet voorbij komt. Is er een reden om deze niet te doen?
• Ik zie veel bootcamps, maar wellicht zijn er ook kwalitatieve e-learning opties. Suggesties?

Bij voorbaat dank!

@Column BIO-analist als in Baseline Informatiebeveiliging Overheid? Dat kan je zien als 27001 plus wat extra eisen, dus als je de BIO kennis al hebt, heb je ook al de 27k1 kennis.

Ik zou voor implementer gaan. Ik heb het auditor certificaat van PECB en dat gaat meer over het auditen van een ISMS, meer het vervolg op de implementer. Het is allemaal niet zo moeilijk, als je het twee keer geïmplementeerd/beheerd hebt, haal je implementer eenvoudig.

In de security gaat het vooral om track record en de welbekende CISSP en CISM certificaten, de rest is meestal bijzaak. Afhankelijk van je ambities zou ik voor implementer gaan. Of er e-learnings zijn, weet ik niet trouwens. Ik heb drie bootcamps gevolgd bij gebrek aan alternatieven, ook al ben je mij echt kwijt als ik langer dan 2 uur in een klaslokaaltje zit.

Column schreef op woensdag 17 mei 2023 @ 15:01:

• Nu ben ik een aantal keer dit topic doorlopen en zie ik een aantal smaken steeds terugkomen: PECB, APMG en IRCA. Wat zijn de verschillen tussen deze smaken?
• Ik zie de optie 'implementer' en 'auditor', waarbij auditorr in dit topic niet voorbij komt. Is er een reden om deze niet te doen?
• Ik zie veel bootcamps, maar wellicht zijn er ook kwalitatieve e-learning opties. Suggesties?

Qua aanbieders weet ik niet wat de verschillen zijn tussen PECB, APMG en IRCA. Ik heb daar eerlijk gezegd ook helemaal niet naar gekeken en geen interesse in, mijn insteek was: "Ik kies een vertrouwde trainings-partij en doe daar cursus + examen." In mijn geval was dat, als vanouds, TSTC in Veenendaal en zij werken met de producten van PECB.

Wat al was gezegd: de inhoud van implementer en auditor verschilt niet super-veel, maar de uiteindelijke uitkomst is gericht op wat je wilt gaan doen. De namen zeggen het al: wil jij als dure KPMG consultant komen controleren of bedrijven het goed doen, dan wordt je auditor. Wil je als interne medewerker, CISO of consultant helpen een bedrijf op de goede rit te krijgen, dan wordt je implementer.

E-Learnings heb ik expres niet naar gekeken voor dit onderwerp. Voor de technische topics doe ik heel veel self-paced, maar voor ISO27001 wist ik zeker dat ik me dood zou vervelen! Een klassikale cursus was dan stok achter de deur om er bij te blijven.

Orangelights23 schreef op woensdag 17 mei 2023 @ 21:13:
@Column BIO-analist als in Baseline Informatiebeveiliging Overheid? Dat kan je zien als 27001 plus wat extra eisen, dus als je de BIO kennis al hebt, heb je ook al de 27k1 kennis.

Ik zou voor implementer gaan. Ik heb het auditor certificaat van PECB en dat gaat meer over het auditen van een ISMS, meer het vervolg op de implementer. Het is allemaal niet zo moeilijk, als je het twee keer geïmplementeerd/beheerd hebt, haal je implementer eenvoudig.

In de security gaat het vooral om track record en de welbekende CISSP en CISM certificaten, de rest is meestal bijzaak. Afhankelijk van je ambities zou ik voor implementer gaan. Of er e-learnings zijn, weet ik niet trouwens. Ik heb drie bootcamps gevolgd bij gebrek aan alternatieven, ook al ben je mij echt kwijt als ik langer dan 2 uur in een klaslokaaltje zit.

Mag ik vragen welke bootcamps je gevolgd hebt en waar?

Column schreef op dinsdag 23 mei 2023 @ 08:51:
[...]


Mag ik vragen welke bootcamps je gevolgd hebt en waar?

In Nederland via PECB voor 27k1 auditor, ook een paar in Kopenhagen en Hamburg voor andere certificeringen.

Sinds vanochtend mag ik mij ook GIAC Network Forensic Analyst noemen. Toets gehaald met 84%. Vond het Cyberlive component nog best pittig.

Brainscrewer schreef op vrijdag 2 juni 2023 @ 14:51:
Sinds vanochtend mag ik mij ook GIAC Network Forensic Analyst noemen. Toets gehaald met 84%. Vond het Cyberlive component nog best pittig.

Nice, goed werk joh! Ga een klein feestje vieren!

Brainscrewer schreef op vrijdag 2 juni 2023 @ 14:51:
Sinds vanochtend mag ik mij ook GIAC Network Forensic Analyst noemen. Toets gehaald met 84%. Vond het Cyberlive component nog best pittig.

Gratz!

Areas Covered

Network architecture, network protocols, and network protocol reverse engineering
Encryption and encoding, NetFlow analysis and attack visualization, security event & incident logging
Network analysis tools and usage, wireless network analysis, & open source network security proxies

Who is GNFA for?

Anyone interested in computer network intrusions and investigations who has a solid background in computer forensics, information systems, and information security
Incident response team members
Forensicators
Threat hunters
Law enforcement officers, federal agents, and detectives
SOC personnel
information security practitioners and managers
Network defenders and engineers
Information technology professionals

Uit pure interesse; in welke rol ga je hier van gebruik maken?

Scoro schreef op maandag 5 juni 2023 @ 20:05:
[...]

Gratz!


[...]


Uit pure interesse; in welke rol ga je hier van gebruik maken?

Dank! Deze cursus stond al een tijdje op m’n verlanglijst vanwege mijn interesse in netwerkinfrastructuren en het digitaal forensisch werkveld. Ik werk zelf in de opsporing.

Ik heb enorm veel geleerd, maar naar mijn oordeel is deze cursus primair bedoeld voor mensen die aan incident response doen. Denk aan CSIRT teams, Fox-IT etc.

Algemeen vraagje, voor @Liegebeest , jij doet wel lekker veel trainingen en certs. Wil je delen hoe je dat doet? Ben je ZZP-er of krijg het vergoed van je werkgever?

Turdie schreef op woensdag 7 juni 2023 @ 00:46:
Algemeen vraagje, voor @Liegebeest , jij doet wel lekker veel trainingen en certs. Wil je delen hoe je dat doet? Ben je ZZP-er of krijg het vergoed van je werkgever?

Het antwoord is te vinden in het freelance topic.

Nou ik hier toch is post. Ben technisch security engineer wat vooral uit ervaring uit verleden is. Ben nu de enige sec man binnen een bedrijf dus doe eigenlijk alles op het gebied van security. Ingehuurd om de pentest gaten te dichten. Alles onderhand gehardend, onprem/cloud via CIS. Bedrijf heeft nu CIS framework in gebruik zodat ze handvaten hebben om verder te kunnen na mijn tijd. Nou maken ze nogal wat slechte keuzes door tijd/geld met bv netwerk of data protection. Moet zeggen dat ik goed weet hoe ik zaken dichtzet maar soms moeite heb de kalnt de risicos te kunnen laten zien van bepaalde maatregelen.
To the point welke cursussen zou ik het best kunnen volgen om sterkere te staan om de klant de risico te laten inzien.
Zat zelf richting pentesten te denken om ze te laten zien dat je binnen 5m binnen bent. Daarnaast sec certs die een must zijn op je cv kunnen geen kwaad. Ben van plan aan de technisch kant te blijven, ciso lijkt mij echt niks.

[ Voor 5% gewijzigd door NLKornolio op 07-06-2023 09:18 ]

Kornolio, ik heb ook niet intern altijd de nodige leverage om zaken in beweging te zetten of aan te passen. Pleiten voor een externe audit en pentest. Krijg je een mooi rapportje , pentest en audit idealiter, en dan rapporteer je de vooruitgang aan de directie.
Bij ons is dat opgenomen in het informatieveiligheidsbeleid.

Wat Yarisken zegt klopt maar is ergens ook wel een lapmiddel. En als de tarief/kosten van pentest niet gedragen worden heb je het probleem nog steeds.

Eigenlijk wil je van onbewust onbekwaam naar bewust onbekwaam gaan ten aanzien van MGT/klanten.
En daar is meer voor nodig dan een audit/pentest.

Want anders ga je voor de vinkjes en is het overmorgen weer mis.

Helaas hebben ze bij het moederbedrijf een pentest afdeling opgericht. Hele jaar geen tijd meer en heb niet echt vertrouwen in de resultaten. Ziet eruit als wat simpele resultaten uit defender easm.

@Liegebeest had indruk dat je doorgewinterde zzper was maar blijkbaar rond dezelfde tijd als freelancer begonnen. Moet zeggen dat ik niet de hele iso regels doorgenomen heb maar het lijkt zo op theoretisch. Schrijf al je risicos op en wat je eraan wilt doen zonder dat je de punten ook echt dichtzet. Volgens mij vertaalt het ook niet zo goed naar de verschillende scopes?
De mensen waar ik voor/mee werk zijn ook echt meer van praktijk. Ja leuk dat de ransomware door het netwerk heen kan maar focus je maar op dat je zorgt dat het niet binnenkomt. Val trouwens niet onder ciso maar onder het ops team.

Ik zal is wat gaan zoeken naar wat van risk management en threat modelling. Heb wel echt moeite om doordat soort stof heen te bladeren.

[ Voor 7% gewijzigd door NLKornolio op 07-06-2023 18:14 ]

Tja, als je als bedrijf je (cyber) security serieus wilt nemen ontkom je er niet aan om ook theoretisch bezig te gaan. Want dit:

Ja leuk dat de ransomware door het netwerk heen kan maar focus je maar op dat je zorgt dat het niet binnenkomt.

Dekt de werkelijke behoeftes niet.

Afhankelijk van de sector, het soort bedrijf en de toepasselijke wet- en regelgeving zijn er bepaalde verplichtingen waaraan je moet voldoen. En zelfs als die dingen niet van toepassing zijn, dan is een "we voorkomen gewoon dat het gebeurt" niet sluitend; je moet altjd "risk driven" kijken naar je beveiliging.

Ransomware is niet de dreiging. De dreiging is "cruciale bedrijfsdata wordt ontoegankelijk" of "gevoelige persoonsgegevens worden gestolen". Voor dat soort situaties bepaal je A) wat zo'n situatie je zal kosten, hoe ze kunnen gebeuren, C) hoe je elk van B kan voorkomen en D) wat voor extra maatregelen je kan treffen om A te verminderen.

Je kan proberen te voorkomen dat ransomware binnenkomt. Daar heb je al een aantal technische en niet-technische mogelijkheden voor, die je het beste kan combineren. Denk aan email filtering, anti-malware software, endpoint protection of een NIDS, firewalls, netwerk segmentatie, maar ook gebruikers awareness training.

Maar wat nu als het toch gebeurt? Ook daar moet je rekening mee houden. Draaiboeken opstellen voor incident response, regelmatig backups maken (en testen!), een goede cyber-verzekering, een contract met een security services provider.

Wil je serieus aan de slag, dan ontkom je niet aan "theorie". Je zal moeten theory craften (zoals we 't vroeger noemden in MMO's) om tot de oplossingen te komen die het beste bij jullie passen. En om het management mee te krijgen moet je er daarna een degelijk verhaal van maken; money talks!

Liegebeest schreef op woensdag 7 juni 2023 @ 21:20:
Tja, als je als bedrijf je (cyber) security serieus wilt nemen ontkom je er niet aan om ook theoretisch bezig te gaan. Want dit:


[...]


verhaal

Dit dus.
Om de BIV (Beschikbaarheid, Integriteit en Vertrouwelijkheid) van het business proces te beschermen, die dus per proces kan verschelen, pas je maatregelen toe. En reeks generieke maar bijvoorbeeld bij hoge beschikbaarheid het dubbel uitvoeren van de omgeving als maatregel.

Zoals Liegebeest uitlegt is dat een layered defense. Meerdere lagen beveiliging voordat je bij de kern komt
Pak je een model erbij die dat goed weergeeft komt je uit bij de NIST CSF:

Zie https://www.nist.gov/cyberframework
Het is een mooi model, dat ook goed aangeeft dat je moet werken aan respond en recover capabilites omdat je geheid een keer geraakt worden. Of Detect omdat je dat eigenlijk al bent maar nog niet weet. (Statelijke actoren en Zero Day's..)

En om de cirkel rond te maken.. dubbele grap .. komt er een update van het CSF framework aan met een laagje erbij, tromgeroffel: GOVERN. Hierin zit het eigenaarschap en bewustwording van management in opgenomen, welke iets is wat de kernproblematiek is van Kornolio's verhaal

@Liegebeest @Scoro thanks toch maar een keer door de beide boekwerken heen akkeren. Tips met online content of videos kan ik het in mijn eigentijd doen?

Ken de frameworks maar nooit helemaal aan begonnen, doe liever de techniek erachter.
Heb gelukkig de technische kanten bijna allemaal al gedaan. Paar zwakheden over, netwerk en applicaties (veel custom). Aangezien de klant volledig azure gaat snap ik dat ze de investering in het netwerk nu niet willen. Focus is nu meer op identity.
Bcm, incident reponse is vastgelegd en biv voor het applicatie landschap. Het gaat gelukkig de goede kant op de laatste 2 jaar.

Angst voor dat er al iets binnen is blijft er altijd. Kan de vreemde connecties/processen wel monitoren maar tegenwoordig ook zorgen dat de hack via vertrouwde zaken wordt gedaan en weggesluist.

Hoop dat NIS2 inderdaad ook wat schot in sommige zaken zet.

Liegebeest schreef op woensdag 7 juni 2023 @ 21:20:
Tja, als je als bedrijf je (cyber) security serieus wilt nemen ontkom je er niet aan om ook theoretisch bezig te gaan. Want dit:


[...]


Dekt de werkelijke behoeftes niet.

Afhankelijk van de sector, het soort bedrijf en de toepasselijke wet- en regelgeving zijn er bepaalde verplichtingen waaraan je moet voldoen. En zelfs als die dingen niet van toepassing zijn, dan is een "we voorkomen gewoon dat het gebeurt" niet sluitend; je moet altjd "risk driven" kijken naar je beveiliging.

Ransomware is niet de dreiging. De dreiging is "cruciale bedrijfsdata wordt ontoegankelijk" of "gevoelige persoonsgegevens worden gestolen". Voor dat soort situaties bepaal je A) wat zo'n situatie je zal kosten, hoe ze kunnen gebeuren, C) hoe je elk van B kan voorkomen en D) wat voor extra maatregelen je kan treffen om A te verminderen.

Je kan proberen te voorkomen dat ransomware binnenkomt. Daar heb je al een aantal technische en niet-technische mogelijkheden voor, die je het beste kan combineren. Denk aan email filtering, anti-malware software, endpoint protection of een NIDS, firewalls, netwerk segmentatie, maar ook gebruikers awareness training.

Maar wat nu als het toch gebeurt? Ook daar moet je rekening mee houden. Draaiboeken opstellen voor incident response, regelmatig backups maken (en testen!), een goede cyber-verzekering, een contract met een security services provider.

Wil je serieus aan de slag, dan ontkom je niet aan "theorie". Je zal moeten theory craften (zoals we 't vroeger noemden in MMO's) om tot de oplossingen te komen die het beste bij jullie passen. En om het management mee te krijgen moet je er daarna een degelijk verhaal van maken; money talks!

Precies je moet weten waar je kroon juwelen zitten en daar maatregelen treffen je kan simpelweg niet alles 100% dicht hebben. Dit doe je d.m.v. risk assessments zodat je dit in kaart krijgt. En als je een incident hebt zal je dus moeten zorgen dat je verschillende omgevingen e.d. gesegmenteerd hebt en weet je dus waar je een groot risico loopt en waar minder.

En om dat alles bij te houden heb je gewoon procedures nodig zoals change management, BCP, Awareness en die procedures worden samen gebracht in een ISMS waarin je het e.a. meetbaar maakt zodat je opvolging kan geven aan afwijkingen enz. zeg maar heel kort door de bocht. en het ISMS zorgt ook voor de onderbouwing naar het management.

NLKornolio schreef op donderdag 8 juni 2023 @ 00:35:


Hoop dat NIS2 inderdaad ook wat schot in sommige zaken zet.

Het is nog weer lekker vaag allemaal

xehexehex schreef op donderdag 8 juni 2023 @ 08:01:
[...]


Het is nog weer lekker vaag allemaal

En het wordt een zooitje 4 verschillende partijen in NL die toezicht gaan houden en we zijn de hele dag bezig met het doen van 3rd party assessments joepie