IT Security Certificeringen

Skywalker27 schreef op donderdag 8 juni 2023 @ 08:52:
[...]


En het wordt een zooitje 4 verschillende partijen in NL die toezicht gaan houden en we zijn de hele dag bezig met het doen van 3rd party assessments joepie

Benieuwd wanneer Rian van Rijbroek een NIS 2.0 boek gaat maken

Het is alleen wel dat de meeste risk assessments helemaal niet zo goed zijn. Ik heb jaren als auditor gewerkt en ik heb maar weinig bedrijven gezien (klein en groot, nationaal en internationaal) die echt op basis van harde data risk assessments deden. Natuurlijk goed dat NIS2 het gaat verplichten (en ook in algemene zin goed qua seucity kennis), maar ik ben van mening dat er vooral wat gedaan moet worden aan het kennisniveau van vooral security mensen. Er zijn maar weinig echte goede cursussen en certificaten bijvoorbeeld CRISC is een leuk certificaatje, maar met 6 maanden risk kennis kan je al het examen halen.

De markt moet volwassener worden en er moet juist vanuit risico perspectief gehandeld worden dat weggaat van onderbuik gevoel, maar harde data. Ik heb laatst een artikel gelezen dat incidenten linked aan risico's bijvoorbeeld, super interessant.

[ Voor 6% gewijzigd door Orangelights23 op 08-06-2023 11:07 ]

Orangelights23 schreef op donderdag 8 juni 2023 @ 11:02:
Het is alleen wel dat de meeste risk assessments helemaal niet zo goed zijn. Ik heb jaren als auditor gewerkt en ik heb maar weinig bedrijven gezien (klein en groot, nationaal en internationaal) die echt op basis van harde data risk assessments deden. Natuurlijk goed dat NIS2 het gaat verplichten (en ook in algemene zin goed qua seucity kennis), maar ik ben van mening dat er vooral wat gedaan moet worden aan het kennisniveau van vooral security mensen. Er zijn maar weinig echte goede cursussen en certificaten bijvoorbeeld CRISC is een leuk certificaatje, maar met 6 maanden risk kennis kan je al het examen halen.

De markt moet volwassener worden en er moet juist vanuit risico perspectief gehandeld worden dat weggaat van onderbuik gevoel, maar harde data. Ik heb laatst een artikel gelezen dat incidenten linked aan risico's bijvoorbeeld, super interessant.

De meeste managers vinden me een zeikerd die vooral moeilijk doet zegt denk ik wel genoeg , en ja 95% van de risk assessments zijn om te huilen.

Probeer dan ook het maximale uit de werkgroep te trekken en advocaat van de duivel te spelen heerlijk.

[ Voor 6% gewijzigd door Skywalker27 op 08-06-2023 11:21 ]

NLKornolio schreef op woensdag 7 juni 2023 @ 09:11:
[...]

Het antwoord is te vinden in het freelance topic.

Nou ik hier toch is post. Ben technisch security engineer wat vooral uit ervaring uit verleden is. Ben nu de enige sec man binnen een bedrijf dus doe eigenlijk alles op het gebied van security. Ingehuurd om de pentest gaten te dichten. Alles onderhand gehardend, onprem/cloud via CIS. Bedrijf heeft nu CIS framework in gebruik zodat ze handvaten hebben om verder te kunnen na mijn tijd. Nou maken ze nogal wat slechte keuzes door tijd/geld met bv netwerk of data protection. Moet zeggen dat ik goed weet hoe ik zaken dichtzet maar soms moeite heb de kalnt de risicos te kunnen laten zien van bepaalde maatregelen.
To the point welke cursussen zou ik het best kunnen volgen om sterkere te staan om de klant de risico te laten inzien.
Zat zelf richting pentesten te denken om ze te laten zien dat je binnen 5m binnen bent. Daarnaast sec certs die een must zijn op je cv kunnen geen kwaad. Ben van plan aan de technisch kant te blijven, ciso lijkt mij echt niks.

Ik ben voorstander van DevSecOps dus dat de developers op een secure manier coderen, en daar is in de huidige wereld ook bij hele grote bedrijven nog wat te winnen. Als een applicatie al in acceptatie heeft een product owner handvaten om door te blijven pushen om dee risico's toch maar te accepteren van de pentest. Als een developer al tegen quality gates aanloopt voordat zijn code ergens is gedeployed wordt die soort van aan de hand genomen om in het allereerste begin de Security issues al te fixxen. Tuurlijk dek je natuurlijk ook niet alles mee af want je hebt ook nog een groot stuk proces en beleid maar ik denk wat ik heb gezien in met name cloud omgevingen daar altijd wel wat winnen valt vanuit een Security oogpunt. En cert nexus heeft bijvoorbeeld een secure coding cert waar @Liegebeest eerder over postte en waar ik enorm voorstander van ben.


In de echt hele klassieke omgevingen wordt een pentest gedaan vlak voor dat een systeem in productie gaat met alle druk van een product owner of projectleider waardoor risico's geaccepteerd worden en in de la worden geschoven heel bot gezegd

[ Voor 8% gewijzigd door Turdie op 08-06-2023 22:47 ]

Orangelights23 schreef op donderdag 8 juni 2023 @ 11:02:
Het is alleen wel dat de meeste risk assessments helemaal niet zo goed zijn. Ik heb jaren als auditor gewerkt en ik heb maar weinig bedrijven gezien (klein en groot, nationaal en internationaal) die echt op basis van harde data risk assessments deden. Natuurlijk goed dat NIS2 het gaat verplichten (en ook in algemene zin goed qua seucity kennis), maar ik ben van mening dat er vooral wat gedaan moet worden aan het kennisniveau van vooral security mensen. Er zijn maar weinig echte goede cursussen en certificaten bijvoorbeeld CRISC is een leuk certificaatje, maar met 6 maanden risk kennis kan je al het examen halen.

De markt moet volwassener worden en er moet juist vanuit risico perspectief gehandeld worden dat weggaat van onderbuik gevoel, maar harde data. Ik heb laatst een artikel gelezen dat incidenten linked aan risico's bijvoorbeeld, super interessant.

Kun je dat artikel delen?

Verwijderd schreef op vrijdag 9 juni 2023 @ 08:50:
[...]

Kun je dat artikel delen?

Helaas niet, is binnen een gesloten community hier in Zweden (ook in het Zweeds opgesteld). Zal wel even kijken of ik iets van een samenvatting kan maken.

Skywalker27 schreef op donderdag 8 juni 2023 @ 07:35:
[...]


Precies je moet weten waar je kroon juwelen zitten en daar maatregelen treffen je kan simpelweg niet alles 100% dicht hebben. Dit doe je d.m.v. risk assessments zodat je dit in kaart krijgt. En als je een incident hebt zal je dus moeten zorgen dat je verschillende omgevingen e.d. gesegmenteerd hebt en weet je dus waar je een groot risico loopt en waar minder.

En om dat alles bij te houden heb je gewoon procedures nodig zoals change management, BCP, Awareness en die procedures worden samen gebracht in een ISMS waarin je het e.a. meetbaar maakt zodat je opvolging kan geven aan afwijkingen enz. zeg maar heel kort door de bocht. en het ISMS zorgt ook voor de onderbouwing naar het management.

Ik moet binnenkort starten aan een ISMS. Ben me aan het inlezen maar het zijn zoveel lagen met om te beginnen uw risico's in kaart brengen. Waar ben ik aan begonnen :-).

Yarisken schreef op vrijdag 9 juni 2023 @ 14:32:
[...]

Ik moet binnenkort starten aan een ISMS. Ben me aan het inlezen maar het zijn zoveel lagen met om te beginnen uw risico's in kaart brengen. Waar ben ik aan begonnen :-).

Als je 1 keer een ISMS hebt gedaan (implementatie, externe audit en een jaar beheer) vraag je je af waar je je zo’n zorgen om hebt gemaakt

Turdie schreef op donderdag 8 juni 2023 @ 22:45:
[...]


Ik ben voorstander van DevSecOps dus dat de developers op een secure manier coderen, en daar is in de huidige wereld ook bij hele grote bedrijven nog wat te winnen. Als een applicatie al in acceptatie heeft een product owner handvaten om door te blijven pushen om dee risico's toch maar te accepteren van de pentest. Als een developer al tegen quality gates aanloopt voordat zijn code ergens is gedeployed wordt die soort van aan de hand genomen om in het allereerste begin de Security issues al te fixxen. Tuurlijk dek je natuurlijk ook niet alles mee af want je hebt ook nog een groot stuk proces en beleid maar ik denk wat ik heb gezien in met name cloud omgevingen daar altijd wel wat winnen valt vanuit een Security oogpunt. En cert nexus heeft bijvoorbeeld een secure coding cert waar @Liegebeest eerder over postte en waar ik enorm voorstander van ben.


In de echt hele klassieke omgevingen wordt een pentest gedaan vlak voor dat een systeem in productie gaat met alle druk van een product owner of projectleider waardoor risico's geaccepteerd worden en in de la worden geschoven heel bot gezegd

Ben ik ook nog mee bezig ja. Demo defender for cloud gehad maar ondersteund c+ nog niet. Verder heb ikhet zo druk dat ik het erg moeilijk vindt mij ook nog hierop te gaan focussen zeker om kloof tussen ops en dev te dichten.

Verder leuk dat het secure by design is maar worden zoveel gaatjes gevonden in oudere code. Dat moeten ze dan ook weer gaan bijhouden. Als je tips heb voor iets beters heb als sonarcloud of defender.. ondersteuning voor c en nuget scanning.

[ Voor 7% gewijzigd door NLKornolio op 09-06-2023 18:15 ]

Turdie schreef op donderdag 8 juni 2023 @ 22:45:
[...]


Ik ben voorstander van DevSecOps dus dat de developers op een secure manier coderen, en daar is in de huidige wereld ook bij hele grote bedrijven nog wat te winnen. Als een applicatie al in acceptatie heeft een product owner handvaten om door te blijven pushen om dee risico's toch maar te accepteren van de pentest. Als een developer al tegen quality gates aanloopt voordat zijn code ergens is gedeployed wordt die soort van aan de hand genomen om in het allereerste begin de Security issues al te fixxen. Tuurlijk dek je natuurlijk ook niet alles mee af want je hebt ook nog een groot stuk proces en beleid maar ik denk wat ik heb gezien in met name cloud omgevingen daar altijd wel wat winnen valt vanuit een Security oogpunt. En cert nexus heeft bijvoorbeeld een secure coding cert waar @Liegebeest eerder over postte en waar ik enorm voorstander van ben.


In de echt hele klassieke omgevingen wordt een pentest gedaan vlak voor dat een systeem in productie gaat met alle druk van een product owner of projectleider waardoor risico's geaccepteerd worden en in de la worden geschoven heel bot gezegd

Niemand zal tegen developers zijn die ‘secure’. Coderen. In praktijk is dit echter lastig vorm te geven.
development, operations en security zijn 3 vakgebieden op zichzelf, hoe ga je dit in 1 rol combineren?
Ik zie op dit moment vooral het belang in periodieke secure development cursussen en een continue cyclus van code reviews (SAST/DAST), vulnerability scans en Pentesten. Te vaak zie je dat een project klaar is, wordt overgedragen aan een operations team maar nooit meer wordt gekeken naar de code (terwijl er ondertussen flinke gaten in de open source library’s die gebruikt zijn, zijn gevonden)

Zijn er hier mensen die certificaten bewust laten verlopen? Ik vind het een beetje zonde om elk jaar geld te geven aan een Amerikaanse partij waar ik voor mijn gevoel weinig voor terug krijg. Ik heb vorige maand CISSP laten verlopen bijvoorbeeld, de kennis toon ik wel aan met mijn ervaring. Ik zie het wel wat vaker voorbij komen, maar ben benieuwd naar wat jullie hierover vinden. CISM, CRISC en CGEIT laat ik nog wel doorlopen, maar dat komt omdat ik ook bij Isaca wat dingen doe. Maar wat mij betreft zou ik die ook kunnen laten verlopen

Ja hoor titel is binnen staat al op linkedin en cv. Heb nog nooit gehad dat iemand er verder naar heeft gevraagd.

NLKornolio schreef op vrijdag 9 juni 2023 @ 18:12:
[...]

Ben ik ook nog mee bezig ja. Demo defender for cloud gehad maar ondersteund c+ nog niet. Verder heb ikhet zo druk dat ik het erg moeilijk vindt mij ook nog hierop te gaan focussen zeker om kloof tussen ops en dev te dichten.

Verder leuk dat het secure by design is maar worden zoveel gaatjes gevonden in oudere code. Dat moeten ze dan ook weer gaan bijhouden. Als je tips heb voor iets beters heb als sonarcloud of defender.. ondersteuning voor c en nuget scanning.

Mend.io heeft een SAST tool die C# ondersteunt, wordt wel een beetje off-topic. Als je er meer over wil weten PB me even. Of open even een apart topic en tag me even
Ik heb er mee gewerkt toen het nog whitesource heette, best prijzig trouwens.

Orangelights23 schreef op vrijdag 9 juni 2023 @ 21:29:
Zijn er hier mensen die certificaten bewust laten verlopen?

Ik twijfel weleens, maar houd ze nog even warm. Op dit moment haal ik zonder extra moeite de CPE's en betaal ik netjes elk jaar.

NLKornolio schreef op zaterdag 10 juni 2023 @ 00:33:
Ja hoor titel is binnen staat al op linkedin en cv. Heb nog nooit gehad dat iemand er verder naar heeft gevraagd.

Ik denk dat er genoeg zijn die dit doen, formeel mag je o.a. CISSP niet voeren als je niet je CPE bijhoudt en je fee betaald.

Liegebeest schreef op dinsdag 13 juni 2023 @ 08:04:
[...]

Ik heb mijn CEH laten verlopen, omdat ik niet achter de organisatie ECC sta.

Same, echt een clownpartij

Orangelights23 schreef op vrijdag 9 juni 2023 @ 21:29:
Zijn er hier mensen die certificaten bewust laten verlopen? Ik vind het een beetje zonde om elk jaar geld te geven aan een Amerikaanse partij waar ik voor mijn gevoel weinig voor terug krijg. Ik heb vorige maand CISSP laten verlopen bijvoorbeeld, de kennis toon ik wel aan met mijn ervaring. Ik zie het wel wat vaker voorbij komen, maar ben benieuwd naar wat jullie hierover vinden. CISM, CRISC en CGEIT laat ik nog wel doorlopen, maar dat komt omdat ik ook bij Isaca wat dingen doe. Maar wat mij betreft zou ik die ook kunnen laten verlopen

Mijn werkgever betaald dus ik houd alle certificeringen in stand. Veel CPE overlappen elkaar en het is dus niet heel veel moeite om ze jaarlijks te verlengen. Ik heb er ook veel moeite in gestopt, zeker CISSP en ITIL managing professional zijn flinke investeringen in tijd en geld geweest en laat ik daarom zeker niet verlopen.

NLKornolio schreef op zaterdag 10 juni 2023 @ 00:33:
Ja hoor titel is binnen staat al op linkedin en cv. Heb nog nooit gehad dat iemand er verder naar heeft gevraagd.

Dit ligt wellicht aan het vakgebied dat je uitvoert en de grootte van het bedrijf. Toen ik bij bij gemeente Amsterdam solliciteerde moest ik gewoon mijn originele bachelor diploma laten zien evenals mijn CISSP en CCSP. Als wij bij het drinkwaterbedrijf medewerkers aannemen die een titel hebben zoals CISM dan controleren we altijd de geldigheid, zit geldt ook als je ZZP bent. Liegen over je certificering is wat mmij betreft een no-go en gaat tegen alle ethiek in en dan zou ik je niet aannemen of inhuren.

Liegebeest schreef op dinsdag 13 juni 2023 @ 08:01:
[...]

Het allerbelangrijkste dat ik bij ISO27001 heb geleerd is dat "een ISMS" NIET de software of oplossing is die je gebruikt om je compliance te tracken.

Het ISMS is het totaal van de processen in je bedrijf/organisatie om je security management onder de duim te houden. Je ISMS moet kan voldoen aan de items uit ISO27001, om een sluitend geheel te worden.

Het systeem waarin je die compliance trackt noemen veel mensen "het ISMS", maar dat is het niet.

Bedankt voor de uitleg !
Het begint me duidelijker en duiderlijker te worden !

Metzie schreef op woensdag 14 juni 2023 @ 10:42:
[...]


Mijn werkgever betaald dus ik houd alle certificeringen in stand. Veel CPE overlappen elkaar en het is dus niet heel veel moeite om ze jaarlijks te verlengen. Ik heb er ook veel moeite in gestopt, zeker CISSP en ITIL managing professional zijn flinke investeringen in tijd en geld geweest en laat ik daarom zeker niet verlopen.


[...]


Dit ligt wellicht aan het vakgebied dat je uitvoert en de grootte van het bedrijf. Toen ik bij bij gemeente Amsterdam solliciteerde moest ik gewoon mijn originele bachelor diploma laten zien evenals mijn CISSP en CCSP. Als wij bij het drinkwaterbedrijf medewerkers aannemen die een titel hebben zoals CISM dan controleren we altijd de geldigheid, zit geldt ook als je ZZP bent. Liegen over je certificering is wat mmij betreft een no-go en gaat tegen alle ethiek in en dan zou ik je niet aannemen of inhuren.

We zitten in hetzelfde topic. Dat de bedrijven steeds hun bedrijfsvoering wijzigen en ipv van eenmalig het cert/titel uitgeven naar jaarlijks betalen betekent niet dat je de titel niet heb behaald als die verlopen is. Liegen past niet echt in deze context naar mijn idee. Heb het inderdaad niet over cissp maar zelf daar vindt ik dat als je de titel behaald hebt je het op je cv mag zetten al is die verlopen, staat toch bij welk jaar. Als er grote wijzigen zouden zijn snap ik het controleren of iets verlopen is maar anders is de controle weinig waard. Tuurlijk kan je het controleren het is mij alleen nog niet gebeurd en heb bij genoeg overheidsinstanties gewerkt.

Orangelights23 schreef op woensdag 17 mei 2023 @ 21:13:
@Column BIO-analist als in Baseline Informatiebeveiliging Overheid? Dat kan je zien als 27001 plus wat extra eisen, dus als je de BIO kennis al hebt, heb je ook al de 27k1 kennis.

Ik zou voor implementer gaan. Ik heb het auditor certificaat van PECB en dat gaat meer over het auditen van een ISMS, meer het vervolg op de implementer. Het is allemaal niet zo moeilijk, als je het twee keer geïmplementeerd/beheerd hebt, haal je implementer eenvoudig.

In de security gaat het vooral om track record en de welbekende CISSP en CISM certificaten, de rest is meestal bijzaak. Afhankelijk van je ambities zou ik voor implementer gaan. Of er e-learnings zijn, weet ik niet trouwens. Ik heb drie bootcamps gevolgd bij gebrek aan alternatieven, ook al ben je mij echt kwijt als ik langer dan 2 uur in een klaslokaaltje zit.

Weet je een goeie partij voor ISO27001 implementer?

Skywalker27 schreef op donderdag 15 juni 2023 @ 16:03:
[...]


Weet je een goeie partij voor ISO27001 implementer?

De inhoud is niet zo lastig, de meeste aanbieders zijn goed genoeg om het in 1 keer te halen

En er is weer een Humble Bundle met verschillende boeken voor IT Security certs: https://www.humblebundle....fication-prep-wiley-books

Sla je slag indien gewenst

azerty schreef op donderdag 15 juni 2023 @ 20:42:
En er is weer een Humble Bundle met verschillende boeken voor IT Security certs: https://www.humblebundle....fication-prep-wiley-books

Sla je slag indien gewenst

Thanks!

Liegebeest schreef op zaterdag 24 september 2022 @ 19:39:
Bah, nou vind ikt' extra jammer dat ik't heb gemist Maar, ik ben heel blij dat't voor jullie een goede dag was!

Voor de liefhebbers van Seccon: Registratie voor Editie 2023 staat open:
https://web.cvent.com/eve...b8f9-a6db58d291f3/summary

Programma:

Bl@ckbird schreef op zondag 25 juni 2023 @ 14:56:
[...]
Voor de liefhebbers van Seccon: Registratie voor Editie 2023 staat open:
https://web.cvent.com/eve...b8f9-a6db58d291f3/summary

Thanks, heb me geregistreerd! Ik kan niets vinden over kosten, is het gewoon een gratis event? Ik kan het anders declareren, maar wil een collega meenemen van mijn opdrachtgever en die kan het niet declareren.

Ja dit is geheel gratis.

Geregistreerd tot dan

Ik wil wat meer van computerbeveiliging en netwerken afweten, zou dit een goede keuze zijn op fanatical? Het is maar 15€ voor een comptia-reeks over beveiliging en hacken:

https://www.fanatical.com...ing-build-your-own-bundle

Is dit goede studiestof of is het shit?

Salvatron schreef op dinsdag 4 juli 2023 @ 17:14:
Ik wil wat meer van computerbeveiliging en netwerken afweten, zou dit een goede keuze zijn op fanatical? Het is maar 15€ voor een comptia-reeks over beveiliging en hacken:

https://www.fanatical.com...ing-build-your-own-bundle

Is dit goede studiestof of is het shit?

CompTIA is meer dan prima om de basis te leggen en zo aan de verschillende domeinen te kunnen snuffelen. 15 euro voor 8 delen is een prima deal!

Salvatron schreef op dinsdag 4 juli 2023 @ 17:14:
Ik wil wat meer van computerbeveiliging en netwerken afweten, zou dit een goede keuze zijn op fanatical? Het is maar 15€ voor een comptia-reeks over beveiliging en hacken:

https://www.fanatical.com...ing-build-your-own-bundle

Is dit goede studiestof of is het shit?

Zoals ik het zie is dit alleen de stof zelf. Deze is ook op youtube te vinden. Wellicht door een andere presentator maar... De examens zitten hier niet bij dus vraag me af hoeveel waarde dit dan heeft.

Sunfalls schreef op woensdag 5 juli 2023 @ 16:34:
[...]


Zoals ik het zie is dit alleen de stof zelf. Deze is ook op youtube te vinden. Wellicht door een andere presentator maar... De examens zitten hier niet bij dus vraag me af hoeveel waarde dit dan heeft.

Dacht jij voor $15 een examen er bij te krijgen?

Salvatron schreef op dinsdag 4 juli 2023 @ 17:14:
Ik wil wat meer van computerbeveiliging en netwerken afweten, zou dit een goede keuze zijn op fanatical? Het is maar 15€ voor een comptia-reeks over beveiliging en hacken:

https://www.fanatical.com...ing-build-your-own-bundle

Is dit goede studiestof of is het shit?

Ik zie een sales persoon van Fanatical met enige regelmaat op Discord deze dingen komen pushen. Ik heb zelf nooit dat spul gekocht, heb er geen ervaring mee, maar wat ik er van heb gezien voelt het vooral heel generiek en is't mogelijk een slap aftreksel.

De werkelijke maker van dit materiaal is One Education in Engeland. Bijvoorbeeld -> https://www.oneeducation....-pentest-ethical-hacking/

Mijn ding is het niet, maar voor €15 kan je de sprong altijd wagen.

ICS2 wil weer stemmen over de Bylaws, na het relletje van de keer ben ik wat voorzichtig, wat doen jullie?

Crowdpleaser schreef op woensdag 12 juli 2023 @ 11:50:
OnTopic,

Ik ben nu een jaar CISSP, en ga dit jaar verder met de CCSP, zijn er mensen die dezelfde volgorde gevolgd hebben, wat zijn jullie ervaringen met de CCSP na de CISSP? Is het niveau vergelijkbaar bijvoorbeeld?

Heel veel overlap (op het gebied van risicobeheersing) en de echt nieuwe stof is niet heel moeilijk als je een beetje thuis bent in de cloud. Denk dat de voornaamste topics het verschil tussen de *aaS soorten is, plus "wie wanneer waarvoor verantwoordelijk is".

Ik heb naast CISSP en CCSP ook de ISSAP en CSSLP gedaan. Ze hebben allemaal best wel overlap.

Crowdpleaser schreef op woensdag 12 juli 2023 @ 11:50:
OnTopic,

Ik ben nu een jaar CISSP, en ga dit jaar verder met de CCSP, zijn er mensen die dezelfde volgorde gevolgd hebben, wat zijn jullie ervaringen met de CCSP na de CISSP? Is het niveau vergelijkbaar bijvoorbeeld?

Klopt met CISSP op zak is CCSP vooral de cloud uitbreiding, kennis van de verschillende platformen en meer wetgeving. Ik vond het goed te doen (ook deze volgorde ooit gedaan).

Crowdpleaser schreef op woensdag 12 juli 2023 @ 11:50:
Ik ben nu een jaar CISSP, en ga dit jaar verder met de CCSP, zijn er mensen die dezelfde volgorde gevolgd hebben, wat zijn jullie ervaringen met de CCSP na de CISSP? Is het niveau vergelijkbaar bijvoorbeeld?

Het zal vast ergens eerder hier in het topic al vermeld zijn door mij maar ik heb CISSP, CCSP & CISM in 3 maanden gedaan. Mijn tactiek was juist gebruik te maken van de overlap, ik heb 2 maanden gestudeerd voor CISSP (en dan bedoel ik ook iedere avond samen met een groepje 2 a 3 uur, stof (huiswerk doorspreken en discussies).

Op basis van die 2 maanden die gefocussed zijn op CISSP mijn examen gedaan (Wel computer based maar nog niet de adoptieve vragen destijds), en daarna de stof(domeinen) die echt nieuw waren van CCSP gepakt en dezelfde aanpak voor CISM. Wat heel belangrijk is om je te realiseren in alle 3 is de rol die je voor de organisatie moet betekenen en vanuit welk perspectief je antwoord geeft op de vragen. Ben je c-level ? Ben je een programma manager ?

Crowdpleaser schreef op woensdag 12 juli 2023 @ 11:50:
OnTopic,

Ik ben nu een jaar CISSP, en ga dit jaar verder met de CCSP, zijn er mensen die dezelfde volgorde gevolgd hebben, wat zijn jullie ervaringen met de CCSP na de CISSP? Is het niveau vergelijkbaar bijvoorbeeld?

Ik heb hem andersom gedaan, eerst CCSP en dan CISSP. Vind CCSP wat eenvoudiger omdat het beperkter is qua stof. Maar de overlap is vrij groot, maar zonder voorbereiding voor CCSP ga je het niet halen als je net CISSP hebt gehaald.

Ik ben momenteel bezig met CCSP als eerste C-certificering, maar vind het moeilijk inschatten hoe het examen gaat zijn. Boek is voor mijn gevoel vrij eenvoudig geschreven en goed te behappen. Dus maak me ergens lichtelijk zorgen dat ik het simpelweg te eenvoudig inschat en alsnog bij het examen op m'n plaat ga. Krijg het examen terugbetaald (mits ik 'm haal), dus wil 'm natuurlijk gewoon in 1x halen.

Nog tips hoe voor te bereiden? Kreeg quizlets als tip mee en heb de vorige generatie quizvragen. Vragen in het boek zijn tot nu toe prima te doen.

Mijn volgorde btw;
-CIPP/E (vorig jaar behaald)
-CCSP (nu bezig met de stof, examen ergens dit najaar)
-CISSP (begin klassikaal ergens begin Q4).

Stufferdt schreef op donderdag 13 juli 2023 @ 13:29:
Ik ben momenteel bezig met CCSP als eerste C-certificering, maar vind het moeilijk inschatten hoe het examen gaat zijn. Boek is voor mijn gevoel vrij eenvoudig geschreven en goed te behappen. Dus maak me ergens lichtelijk zorgen dat ik het simpelweg te eenvoudig inschat en alsnog bij het examen op m'n plaat ga. Krijg het examen terugbetaald (mits ik 'm haal), dus wil 'm natuurlijk gewoon in 1x halen.

Nog tips hoe voor te bereiden? Kreeg quizlets als tip mee en heb de vorige generatie quizvragen. Vragen in het boek zijn tot nu toe prima te doen.

Mijn volgorde btw;
-CIPP/E (vorig jaar behaald)
-CCSP (nu bezig met de stof, examen ergens dit najaar)
-CISSP (begin klassikaal ergens begin Q4).

Probeer ook wat online vragensets te doen, van ISC2 zelf of partijen zoals pluralsight o.i.d. Gevoel krijgen voor de vraagstelling (veel begrijpend lezen) is net zo belangrijk als de stof zelf. Er is ook een ISC2 CISSP oefen app, die is ook wel handig. Oefenen, oefenen, oefenen...

Stufferdt schreef op donderdag 13 juli 2023 @ 13:29:
Ik ben momenteel bezig met CCSP als eerste C-certificering, maar vind het moeilijk inschatten hoe het examen gaat zijn. Boek is voor mijn gevoel vrij eenvoudig geschreven en goed te behappen. Dus maak me ergens lichtelijk zorgen dat ik het simpelweg te eenvoudig inschat en alsnog bij het examen op m'n plaat ga. Krijg het examen terugbetaald (mits ik 'm haal), dus wil 'm natuurlijk gewoon in 1x halen.

Nog tips hoe voor te bereiden? Kreeg quizlets als tip mee en heb de vorige generatie quizvragen. Vragen in het boek zijn tot nu toe prima te doen.

Mijn volgorde btw;
-CIPP/E (vorig jaar behaald)
-CCSP (nu bezig met de stof, examen ergens dit najaar)
-CISSP (begin klassikaal ergens begin Q4).

En er zijn ook diverse samenvattingen etc. via internet te vinden. Bijvoorbeeld Gwen Betty's Cloud Guardians - Lions, Ultimate Guide CCSP, en allerhande documenten die ze adviseren bij de cursus zoals Security Guidance van CSA

paella schreef op woensdag 12 juli 2023 @ 21:46:
Ik heb naast CISSP en CCSP ook de ISSAP en CSSLP gedaan. Ze hebben allemaal best wel overlap.

Heb je voor de CSSLP naast de official CBK en all-in-one boeken nog aan te raden materiaal? Kom vooral geen/weinig official vragensets tegen.

daily.data.inj schreef op donderdag 13 juli 2023 @ 18:02:
[...]


Heb je voor de CSSLP naast de official CBK en all-in-one boeken nog aan te raden materiaal? Kom vooral geen/weinig official vragensets tegen.

Ik heb die AiO gebruikt en daarna nog onderwerpen uit met name CISSP overnieuw gelezen waar ik dacht wel weer opfrissers nodig te hebben. De official CSSLP alleen gelezen op specifieke onderwerpen, niet helemaal.

Dank voor alle tips, mijn valkuil zit ook denk ik in het feit dat er overlap is van CISSP naar CCSP, en dan ik mijzelf overschat

Leuk om te zien dat mijn pad deels eerder belopen is door jullie. Mijn pad is SSCP > CISSP > CIPP/E en dan nu naar CCSP.

Ik ben nu met wat voorbereidingen gestart om in te schatten of ik de training van een week wel of niet zal volgen en zelf paced training te doen, hoe zitten jullie hier in? De enige reden om het niet te doen is studieschuld, wat ook niet het einde van de wereld is, maar als het niet nodig is is het niet nodig.

Op dit moment CISSP, CISM, SANS en nog een aantal andere IT/Security certificeringen. Al enige tijd als ZZP`er aan de slag en een tijdje nagedacht over de volgende certificering. OSCP is mijn volgende en om goed voor te bereiden eerst Hack the Box academy gestart. Over een half jaartje wil ik deze OSCP afgerond hebben. Iemand ervaring met OSCP en hack the box academy?

Hi all,

Dank alvast voor alle informatie.
Na het behalen CISSP wordt is het tijd voor vervolg.
Eerst CCSP en volgend jaar ISSMP.

Voor nu; welke opleider zouden jullie adviseren voor CCSP?
Welke goede en minder goede ervaring(en) heb je bij welke opleider?
En zou je zelfstudie adviseren of juist niet? En om welke reden?

Ik kom uit het midden van het land, reizen e/of verblijven is geen probleem.

Alvast bedankt voor reacties

SecHyg schreef op dinsdag 22 augustus 2023 @ 15:48:
Hi all,

Dank alvast voor alle informatie.
Na het behalen CISSP wordt is het tijd voor vervolg.
Eerst CCSP en volgend jaar ISSMP.

Voor nu; welke opleider zouden jullie adviseren voor CCSP?
Welke goede en minder goede ervaring(en) heb je bij welke opleider?
En zou je zelfstudie adviseren of juist niet? En om welke reden?

Ik kom uit het midden van het land, reizen e/of verblijven is geen probleem.

Alvast bedankt voor reacties

Tsja ieder heeft zo zijn voorkeur. Ik heb zowel CISSP als CCSP bij Firebrand gevolgd. Dan verblijf je een aantal dagen in St. Michelsgestel in de Ruwenberg en kun je op de laatste dag (of eventueel later) het examen doen. Ze hebben een eigen ruimte waar ze de examens mogen afnemen.

Ik was zowel over totale opzet (lange dagen les), de training als het verblijf erg tevreden.
Het verblijf is erg goed geregeld. Goede kamers, lekker eten, zwemfaciliteit etc.

Thanks,

Ik heb CISSP ook bij Firebrand gedaan maar wilde objectief antwoord.
Was zeker te spreken over de lokatie en de volle vijf (zware) dagen met alleen maar CISSP bezig te zijn.
Dit werkt voor mij goed om geen afleiding te hebben met alleen maar focus op dat onderwerp.

ChUcKiE schreef op dinsdag 22 augustus 2023 @ 16:02:
[...]


Tsja ieder heeft zo zijn voorkeur. Ik heb zowel CISSP als CCSP bij Firebrand gevolgd. Dan verblijf je een aantal dagen in St. Michelsgestel in de Ruwenberg en kun je op de laatste dag (of eventueel later) het examen doen. Ze hebben een eigen ruimte waar ze de examens mogen afnemen.

Ik was zowel over totale opzet (lange dagen les), de training als het verblijf erg tevreden.
Het verblijf is erg goed geregeld. Goede kamers, lekker eten, zwemfaciliteit etc.

Ik sluit mij hierbij aan met de kanttekening dat ik voor beide dezelfde trainer had ( specifiek verzocht zelfs ).

Kan iemand een organisatie aanraden om ISO27001 Lead Implementer lessen van te volgen en het examen bij te doen?Een organisatie waar het fijn wordt uitgelegd en bij vragen deze goed opgepakt worden? E-learning is voor mij ook geen probleem, echter bij vragen zou ik wel een contactpersoon willen hebben.

@SecHyg *Als* je op training gaat, dan zou ik ook Firebrand aanraden. Maar CCSP is wat mij betreft heel goed te doen als je CISSP recent hebt gedaan met wat zelfstudie. Het is eigenlijk gewoon CISSP maar dan met een cloud"twist" in elke vraag.

Als je de belangrijkste cloud gerelateerde onderwerpen een keer goed bekijkt en de ISO standaard voor een cloud reference architecture goed doorneemt voor de terminologie dan ben je denk ik al geslaagd.

ChUcKiE schreef op dinsdag 22 augustus 2023 @ 16:50:
[...]


Die (vergelijkbaar in ieder geval) heb ik bij securityacademy.nl gevolgd. Drie dagen, goede uitleg, prima verder. Ik wilde die graag in het nederlands volgen vanwege de toepasbaarheid.

Thanks voor de tip! Die had ik nog niet voorbij zien komen. Ik vind het zo vervelend dat er zoveel " academys" of trainingsinstituten zijn en als je ze gaat vergeleijken, zeggen ze allemaal hetzelfde alleen hangt er een ander prijskaartje aan.

Thanks,
Al heel snel een nette prijs van Firebrand mogen ontvangen.
Is er iemand die CCSP met zelfstudie behaald heeft?
Waar ik niet veel voor voel is een langdurige verplichting aan te gaan met werkgever wanneer het goed te doen is middels zelfstudie.
[@ChUcKiE dank voor CCSP Notes, ik had deze gezien. En zal de andere samenvattingen ook opzoeken.
Securityacademy had ik bekeken, keuze ging toch naar firebrand. Maar aangezien we hier middenin een ISO27001 implementatie zitten is de Certified Implementer of ISO 27001:2022 module zeker interessant.

Ik heb CCSP met zelfstudie behaald (en CISM, CISSP en CRISC). Ik heb een keer een training bij Firebrand gevolgd, maar vier dagen lang een hele dag leren is helemaal niet effectief. Je leert meer trucjes om het examen te halen in plaats van het zelf te leren (voor mijzelf maar ook uit onderzoek blijkt dat het leerrendement gewoon heel laag is als je uren per dag aan het leren ben), dus ik heb steeds een online database aan vragen aangeschaft om te oefenen en dat was voldoende. Het is allemaal niet zo heel moeilijk gelukkig, zeker als je het kunt koppelen aan ervaring en de mindset begrijpt van ISACA en ISC2 (voornamelijk héél Amerikaans), dan kom je er wel. Voor CISSP zou ik desnoods nog wel een cursus volgen als ik het nog niet gehaald had, maar dan met name omdat het gewoon heel veel theorie is dat niet echt de diepte in gaat.

Succes met de keuze!

Orangelights23 schreef op woensdag 23 augustus 2023 @ 08:38:
Ik heb CCSP met zelfstudie behaald (en CISM, CISSP en CRISC). Ik heb een keer een training bij Firebrand gevolgd, maar vier dagen lang een hele dag leren is helemaal niet effectief. Je leert meer trucjes om het examen te halen in plaats van het zelf te leren (voor mijzelf maar ook uit onderzoek blijkt dat het leerrendement gewoon heel laag is als je uren per dag aan het leren ben), dus ik heb steeds een online database aan vragen aangeschaft om te oefenen en dat was voldoende. Het is allemaal niet zo heel moeilijk gelukkig, zeker als je het kunt koppelen aan ervaring en de mindset begrijpt van ISACA en ISC2 (voornamelijk héél Amerikaans), dan kom je er wel. Voor CISSP zou ik desnoods nog wel een cursus volgen als ik het nog niet gehaald had, maar dan met name omdat het gewoon heel veel theorie is dat niet echt de diepte in gaat.

Succes met de keuze!

Iedereen leert anders.

Een online database aan vragen uit je hoofd leren lijkt me minder lange termijn leerrendement opleveren, dan gewoon de volledige theorie grondig doornemen.

ocn schreef op woensdag 23 augustus 2023 @ 08:42:
Een online database aan vragen uit je hoofd leren lijkt me minder lange termijn leerrendement opleveren, dan gewoon de volledige theorie grondig doornemen.

Iederen leert inderdaad anders, maar er zijn genoeg studies die aantonen dat de vraag-antwoord vorm van studeren veel effectiever is om zaken te memoriseren, dan gewoon een lap tekst door te lezen & te hopen dat er wat blijft plakken.

In het eerste geval moet je actief zelf stof produceren & verbanden leggen, bij het 2de ben je gewoon passief wat aan het absorberen

Dat is ook waarom flash cards & spaced repetition zo goed werken. Perfect voor zelfstudie.

Slonzo schreef op woensdag 23 augustus 2023 @ 08:53:
[...]

Iederen leert inderdaad, anders maar er zijn genoeg studies die aantonen dat de vraag-antwoord vorm van studeren veel effectiever is om zaken te memoriseren, dan gewoon een lap tekst door te lezen & te hopen dat er wat blijft plakken.

In het eerste geval moet je actief zelf stof produceren & verbanden leggen, bij het 2de ben je gewoon passief wat aan het absorberen

Dat is ook waarom flash cards & spaced repetition zo goed werken. Perfect voor zelfstudie.

Juist door alle stof door te nemen leer je ook de context, en kan je zaken in perspectief plaatsen.
Alleen de verbanden stampen is perfect voor een multiple choice examen, maar niet veel meer dan dat.

Daarom juist de combinatie - eerst de stof grondig doornemen, en voor het examen oefenen met examenvragen en flashcards.

@ocn Klopt dat iedereen anders leert, maar omdat de theorie an sich niet moeilijk is voor deze certificaten, is een online vragendatabase voldoende. Als het gaat om een mastermodule of een specialistische certificaat of iets dergelijks, is het natuurlijk een heel ander verhaal. Daarnaast leer je veel beter de mindset kennen van de vragenstellers.

Wat leren zelf betreft, net zoals @Slonzo aangeeft, is er heel veel onderzoek naar gedaan en klassikaal les is zelfs één van de vormen met het laagste leerrendement. Alles wat je wordt uitgelegd na 30 minuten blijft al veel minder goed hangen. Ik heb contact met een paar education platforms (oa voor security awareness, maar ook omdat een groot deel van mijn familie in het onderwijs werkt) en je ziet dat leren een compleet andere vorm gaat krijgen. Lappen tekst studeren heeft geen zin meer, kennis zelf is niet meer nodig (want ChatGPT), het gaat juist om het toepassen, het valideren van informatie, het leggen van verbanden, enzovoorts.

Leuke gratis ethical hacker training https://skillsforall.com/...44-46c6-98a0-1599bdc8a637

Volgens mij inclusief test en certificering.

Gisteren het papierwerk voor CISSP ingevuld omdat ik nu aan de werkervaringseisen voldoe. Een van de leads op mijn werk is mijn endorser, dus dat scheelde al wat tijd.

Staat nu in de queue bij ISC². Ze zeggen dat het nu 4 tot 6 weken kan duren. Hoe lang duurde het bij jullie voordat jullie bericht kregen?

Michelli schreef op zaterdag 2 september 2023 @ 18:35:
Ze zeggen dat het nu 4 tot 6 weken kan duren. Hoe lang duurde het bij jullie voordat jullie bericht kregen?

Vanuit eigen ervaring en collega's kan je wel van de max uitgaan, dus 6 weken.

Michelli schreef op zaterdag 2 september 2023 @ 18:35:
Gisteren het papierwerk voor CISSP ingevuld omdat ik nu aan de werkervaringseisen voldoe. Een van de leads op mijn werk is mijn endorser, dus dat scheelde al wat tijd.

Staat nu in de queue bij ISC². Ze zeggen dat het nu 4 tot 6 weken kan duren. Hoe lang duurde het bij jullie voordat jullie bericht kregen?

Bij mij een week of 2 (vorig jaar), dus houd rekening met het de 6 weken, dan valt het alleen maar mee

Michelli schreef op zaterdag 2 september 2023 @ 18:35:
Gisteren het papierwerk voor CISSP ingevuld omdat ik nu aan de werkervaringseisen voldoe. Een van de leads op mijn werk is mijn endorser, dus dat scheelde al wat tijd.

Staat nu in de queue bij ISC². Ze zeggen dat het nu 4 tot 6 weken kan duren. Hoe lang duurde het bij jullie voordat jullie bericht kregen?

Laatst heb ik iemand endorsed en die had na 3 weken het officiële bericht binnen!

Mogelijk offtopic want niet echt IT en/of security, maar ik kon ook niet echt een andere plek vinden:

iemand ervaring / suggesties voor een cursus/certificering op het gebied van SaMD, en dan niet zozeer de technische component maar de compliance/wetgevingsaspecten?

Ik vind dit (p.8) van Mdproject maar veel meer kan ik ook niet vinden.

TMDC schreef op vrijdag 8 september 2023 @ 12:53:

Ik vind dit (p.8) van Mdproject maar veel meer kan ik ook niet vinden.

MDproject.nl publiceert de .git directory op hun website. Staat voor zover ik zie geen spannende dingen in als wachtwoord of wat dan ook, maar een medisch bedrijf en security (best practices) gaat niet altijd even goed samen helaas...

ocn schreef op woensdag 23 augustus 2023 @ 08:42:
[...]

Iedereen leert anders.

Een online database aan vragen uit je hoofd leren lijkt me minder lange termijn leerrendement opleveren, dan gewoon de volledige theorie grondig doornemen.

Late reactie, maar bij Firebrand ben je ook gewoon in de avonduren alleen de database aan vragen aan het leren en overdag komt er ook best veel van terug.

Ik ben het eens dat het niet echt effectief is. Ook sloopt zo'n week je gewoon. Iedereen in mijn CISM groep was helemaal kapot aan het eind van de week. Die reviews post Firebrand ook niet op hun website. Alleen op Trustpilot kan je dat zien (en dan moeten mensen ook nog maar de moeite genomen hebben).

Zelf zou ik in ieder geval nooit meer zo'n dergelijk formaat training volgen. De ervaring was leuk en ik had een enorm goede instructeur en leuke sociale groep, maar de vele uren leren raad ik iedereen af.

Bij securityacademy.nl heb ik ooit een 10-daagse CISSP preperation course gedaan. Maar die 10 dagen zijn over 10 weken verspreid. Vond ik fijn.

BytePhantomX schreef op maandag 28 augustus 2023 @ 10:56:
Leuke gratis ethical hacker training https://skillsforall.com/...44-46c6-98a0-1599bdc8a637

Volgens mij inclusief test en certificering.

Ik heb de Cyber Threat Management doorlopen die Cisco ook aanbied. Dit omdat ze gelijk met technische labs beginnen bij de ethical versie. Blijkt dat labs niet meetellen in voltooiing. Het is dus puur doorlopen van het materiaal en oneindige pogingen op vragensetjes. Waarvan de vragen ook uitgebreid online te vinden zijn. Uiteindelijk kan je een badge krijgen via Credly ter voltooing. Maar geen rapport mogelijkheid met uren voor CPE's.

Het materiaal wat langs komt is qua theorie best oké en was voor mijzelf soms weer even het verfrissen van onderwerpen. Wel is het erg amerika gefocust qua wetgeving.

Tldr: leuk voor wie gratis materiaal van redelijke kwaliteit wil doorlopen via een online portaal.

Tweekeraar schreef op woensdag 6 september 2023 @ 11:40:
[...]


Laatst heb ik iemand endorsed en die had na 3 weken het officiële bericht binnen!

Ik heb afgelopen vrijdag ook het officiële bericht gekregen! Net nadat ik 80 punten tijdens mijn OSCP examen had gehaald.

Ik wil ook graag bezig met certificeringen. Ik zit alleen ff te puzzlenen welke. Verder zit ik niet super diep in de certificaten nog (duh), maar heb me beetje proberen in te lezen en wat om me heen gevraagt. Maar zit toch beetje vast nog.

Ik ben afgestudeerd op HBO-ICT richting Software Engineering. Echter, het laatste jaar heb ik gewerkt aan stages omrent software die door patienten werd gebruikt tijdens behandeling en kwam ik erachter dat ik de aspecten rond privacy, security en sysadmin interesanter vond dan het programmeren zelf. Helaas te laat om nog ff wat te wisselen in mijn opleiding. Ben daar paar maanden gebleven na mijn slagen in overgang naar een nieuwe baan. Uiteindelijk dus iets meer dan een jaar alles te samen.

Officieel ben ik sinds 2 jaar software engineer in een genomics bedrijf met eigen labratorium. Data is het product dus daar wordt met zorg naar gekeken. Onze IT afdeling is klein dus kreeg ik al snel ook eigen projecten met hoog belang/verantwoordelijkheid (en veel zelf maar ondersteuning als ik vraag). Opzich tof en leer er veel van! En alles wordt wel nagechecked natuurlijk, dat is sowieso standaard hier ongeacht ervaring. Denk kwa taken naast de in-house software en alles daar rondom aan dingen als als enige IT'er ondersteunen in klanten en ISO27001 audits, managen van changes omrent oude servers upgraden, maar ook dagelijkse problemen oplossen in kantoor en lab, samen met externe beheerder (deel doen wij, deel doen zij) dingen regelen op onze servers (groot deel on-premise servers en klein deel Azure), controlleren dat said beheer z'n werk goed doet, intern treat responses oppakken, advies rond IT zaken, etc. Eigenlijk gewoon de hele IT afdeling. Ik verwacht dit voorlopig te blijven doen zei het dat ik complexere opdrachten/projecten op mijn naam zal krijgen en minder ondersteuning/meer zelf. Daarbij zou ik dus graag willen doorgroeien tot degene in-house met security kennis/focus.

Nadat onze security officer vorig jaar vertrok zijn we in zee gegaan met NorthWave, en opzich heel tevreden mee. Op termijn wil mijn baas ook eigen mensen hebben met kennis en kunde ter aanvulling daarop. Dus hoewel voor alles zelf doen onze afdeling te klein is en de verwachting niet is dat dat veranderd, er zijn dus wel doorgroeimogelijkheden die richting in. De vraag staat ook open bij hun trouwens (en hun eerste reactie was ook positief maar wacht nog op verdere info), maar ik post ook hier voor bredere input.

Ik heb dus verder wel technische kennis, en zowel Linux als Windows gebruik ik veel, maar veel security spul is hobbymatig uitgezocht of via werk geleerd gezien de opleiding enkel wat basics via OWASP WebGoat en opdrachtjes in Kali meepakte. Een training vooraf en niet enkel examen vind ik zelf dan ook wel fijn, al is het maar voor mijn gevoel.

Oke, nu komt het punt waar ik dus op vastloop. Als ik kijk naar het overzicht dat een paar paginas terug werd gepost weet ik niet zo goed waar ik moet beginnen. Als ik zie hoe veel hoger "programeertalen" met als voorbeeld Python en C++ staat, lijkt Security+ en SSCP mogelijk te simpel. Maar vrees dat CISSP mogelijk weer te hoog is nog, hoe interesant ook. En veel lijkt ook weer erg specifiek/gelimiteerd in vergelijking. Iets breeders spreekt mij aan zich wel aan.

Krijg te horen dat vooral ISC2 en ISACA interesant zijn ivm de erkening wereldwijd, CompTIA kent men weinig maar als ik dit topic lees mogelijk interesant. Kwam ook al best snel tot de conclusie ECCouncil te ontwijken.

[ Voor 3% gewijzigd door Cambionn op 02-10-2023 20:40 ]

@Cambionn: CISSP is vooral veel, maar daar kom je qua moeilijkheidsgraad echt wel uit als ik het zo lees. Ik vind het een mooi startpunt vooral omdat je alle aspecten van cybersecurity behandeld, met beperkte diepte. Na CISSP weet je dus van alles een beetje maar kan je je als het goed is veel beter een beeld vormen van de hoe en waarom.
Neem vooral ook de tijd om zelf door te stof heen te gaan en vul dat dan daarna aan met een cursus van bijv. Firebrand om het examen te halen. De ervaringseis voldoe je nog niet aan maar tot die tijd ben je "Associate" en nadat je je jaren hebt kan je alsnog de titel aanvragen. Zoals je schrijft heb je daar ook op je CV veel aan in de toekomst.

De meeste andere opties zijn meer gescoped op een bepaald thema/onderwerp of hebben niet de dieptegang die je, denk ik, zoekt..

Voor de meelezers hier die ook (weleens of heel vaak) trainingen geven, zijn er bepaalde programma's om dat soort skills te verbeteren? Ik word af en toe gevraagd om te presenteren of een gastles te geven en vind dit ook leuk om te doen, maar de "markt" van "train de trainer" achtige shit is nieuw voor mij en er lijkt heel veel aanbod. Ben wel benieuwd of er Tweakers zijn met positieve (of juist negatieve) ervaringen zeker op het gebied van IT security trainingen geven.

Mmore schreef op dinsdag 3 oktober 2023 @ 14:14:
@Cambionn: CISSP is vooral veel, maar daar kom je qua moeilijkheidsgraad echt wel uit als ik het zo lees. Ik vind het een mooi startpunt vooral omdat je alle aspecten van cybersecurity behandeld, met beperkte diepte.

Dit was ook een beetje iets waar ik over dacht ja. Leek me een mooi startpunt idd, en kan dan altijd verder verdiepen in specifiekere dingen. Fijn om te horen dat het kwa moeilijkheidsgraad te doen zou moeten zijn.

Mmore schreef op dinsdag 3 oktober 2023 @ 14:14:
Neem vooral ook de tijd om zelf door te stof heen te gaan en vul dat dan daarna aan met een cursus van bijv. Firebrand om het examen te halen.

Noted! Waar zou ik de stof het best kunnen zoeken? Is daar ergens een duidelijk curiculum voor? Want ik vind de websites op het eerste oog niet heel duidelijk. Klinkt misschien wat stom, maar met hoe breed het certificaat is, maar ook vanalles wat er buiten valt, is het soms lastig om te weten wat ik wel en niet moet bestuderen hiervoor.

Mmore schreef op dinsdag 3 oktober 2023 @ 14:14:
De ervaringseis voldoe je nog niet aan maar tot die tijd ben je "Associate" en nadat je je jaren hebt kan je alsnog de titel aanvragen. Zoals je schrijft heb je daar ook op je CV veel aan in de toekomst.

Oh dus als ik het goed begrijp mag ik hem al wel halen? Alleen ben ik dan een soort "CISSP Associate" tot ik de ervaring ook heb? Dat zou wel interesant zijn als tussenstap.

Mmore schreef op dinsdag 3 oktober 2023 @ 14:14:
De meeste andere opties zijn meer gescoped op een bepaald thema/onderwerp of hebben niet de dieptegang die je, denk ik, zoekt..

Ja dat is dus ook wat mij veel opviel. Heel veel opties met kleine scope, en de brede opties lijken ver uit elkaar te staan met weinig ter vergelijking.

CISSP moet je wel 5 jaar relevante security ervaring hebben voor je het certificaat krijgt.
Ik ga daar ook voor gaan maar ik wacht nog 2 jaar tot ik mijn 5 jaar heb. Geen zin in dat associate gedoe.

Hier inmiddels begonnen aan CISSP via een klassikale training. Plan om ergens in januari (op z'n vroegst het examen te gaan doen). Zie op tegen de technische hoofdstukken als netwerken, operations en encryptie. Hier ligt momenteel niet mijn kennis (zacht uitgedrukt).

Daarnaast donderdag examen voor CCSP staan. Druk aan het oefenen met de oefenvragen via ISC2 zelf (app.efficientlearning.com). Merk dat ik langzamer door de vragen moet (gemiddeld tempo; 3 per minuut) en wat grondiger moet lezen.

[ Voor 15% gewijzigd door Stufferdt op 03-10-2023 15:43 ]

Yarisken schreef op dinsdag 3 oktober 2023 @ 15:09:
CISSP moet je wel 5 jaar relevante security ervaring hebben voor je het certificaat krijgt.

Ja dat snap ik. Maar de vraag was vooral hoe dat associate werkt. Maak je dan de test, krijgt een soort "CISSP Associate" titel/erkening en bij 5 jaar werk ervaring kun je een "CISSP Certified" met certificaat aanvragen? Of werkt dat weer anders?

Cambionn schreef op dinsdag 3 oktober 2023 @ 17:39:
[...]
Ja dat snap ik. Maar de vraag was vooral hoe dat associate werkt. Maak je dan de test, krijgt een soort "CISSP Associate" titel/erkening en bij 5 jaar werk ervaring kun je een "CISSP Certified" met certificaat aanvragen? Of werkt dat weer anders?

Je moet gewoon je jaarlijkse fee betalen en dan als je de 5 jaar hebt kan je het certificaat aanvragen. Je mag niet vermelden dat je CISSP hebt behaald op je CV , linkedin etc.. .
Dus je betaald zonder dat je het kan gebruiken. Nu ja je hebt wel de kennis natuurlijk dus het is niet helemaal weggesmeten geld.

YouTube: Why You SHOULD NOT Get the CISSP Associate Certification

Interessant om te volgen: https://www.reddit.com/r/cissp/

Cambionn schreef op dinsdag 3 oktober 2023 @ 17:39:
[...]
Ja dat snap ik. Maar de vraag was vooral hoe dat associate werkt. Maak je dan de test, krijgt een soort "CISSP Associate" titel/erkening en bij 5 jaar werk ervaring kun je een "CISSP Certified" met certificaat aanvragen? Of werkt dat weer anders?

Je kan na het halen van het examen de status "Associate of ISC2" aanvragen. Je betaalt dan 50 USD per jaar en moet 15 CPE ieder jaar halen (tip: gratis online conferenties van SANS).

Als je voldoet aan de werkervaringseisen, dan vul je een webformulier in met je hele CV en die wordt dan bevestigd door een endorser. Dit kan iemand zijn die je persoonlijk kent of iemand van ISC2. Daarna mag je nog wat extra geld ophoesten en daarna mag je de CISSP titel achter je naam zetten.

Gezien je opleiding zal het voor jou trouwens 4 jaar werkervaring zijn.

(Ik heb afgelopen maand de procedure van Associate naar CISSP doorlopen)

Ik had vanuit mijn traineeship een opleider die nogal tegenviel (geen fan van probleemgestuurd onderwijs bij slechte begeleiding). Heb het examen uiteindelijk dus gehaald door het boek te lezen en heel veel oefenexamens te doen.

[ Voor 3% gewijzigd door Michelli op 03-10-2023 18:04 ]

Ik was voor ik de security inging vele jaren systeembeheerder en het opnoemen van alle security-related werkzaamheden was genoeg voor het ervaringsdeel van CISSP.

paella schreef op dinsdag 3 oktober 2023 @ 19:28:
Ik was voor ik de security inging vele jaren systeembeheerder en het opnoemen van alle security-related werkzaamheden was genoeg voor het ervaringsdeel van CISSP.

Klopt had ik ook, niet specifiek het security specialisme, maar je werkervaring dit best een beetje sturen/ombuigen om het beter passend te maken.

paella schreef op dinsdag 3 oktober 2023 @ 19:28:
Ik was voor ik de security inging vele jaren systeembeheerder en het opnoemen van alle security-related werkzaamheden was genoeg voor het ervaringsdeel van CISSP.

Juist doordat CISSP zo breed is vallen veel van die taken gewoon in een van de 8 domeinen die in CISSP aangegeven zijn. Het kan in meer of mindere mate maar als je best practises volgt is het prima passend te maken op bijna iedere IT functie.

ChUcKiE schreef op woensdag 4 oktober 2023 @ 08:59:
[...]


Klopt had ik ook, niet specifiek het security specialisme, maar je werkervaring dit best een beetje sturen/ombuigen om het beter passend te maken.

Het is je CV een ander accent geven, meer richting de security aspecten inderdaad. En nee, er is niets gelogen op mijn CV.

ShadowBumble schreef op woensdag 4 oktober 2023 @ 09:13:
[...]


Juist doordat CISSP zo breed is vallen veel van die taken gewoon in een van de 8 domeinen die in CISSP aangegeven zijn. Het kan in meer of mindere mate maar als je best practises volgt is het prima passend te maken op bijna iedere IT functie.

Dit inderdaad. Ik heb tijdens mijn traineeship bijvoorbeeld een opdracht gedaan waarbij ik onder andere Kamervragen over de AVG moest beantwoorden. Dat valt naar mijn mening gewoon in domein 1. Ik bedoel, je moet ook over de AVG leren voor het examen.

Er kan ook een jaar vanaf en dan wordt het 4 jaar als je bijvoorbeeld Security+ of Microsoft Security Certs hebt
https://www.isc2.org/cert...p-experience-requirements

Maar terug naar de initiële vraag denk ik dat die titel voorlopig bijzaak is en dat het vooral gaat om de kennis waar @Cambionn naar opzoek is. Dit doet hij op met het bestuderen van de stof tot op een niveau waar het examen gehaald kan worden en daar kan voor een "generieke ITer => Cybersecurity specialist' de meeste waarde inzitten.

Ik zie persoonlijk weinig alternatieven maar hoor het ook graag als jullie die wel hebben. Examens als CC zijn voor mensen met werkervaring in de IT, vind ik, meer common sense dan dat je er echt wat van opsteekt.

[ Voor 12% gewijzigd door Mmore op 04-10-2023 21:53 ]

Mmore schreef op woensdag 4 oktober 2023 @ 21:51:
Maar terug naar de initiële vraag denk ik dat die titel voorlopig bijzaak is en dat het vooral gaat om de kennis waar @Cambionn naar opzoek is. Dit doet hij op met het bestuderen van de stof tot op een niveau waar het examen gehaald kan worden en daar kan voor een "generieke ITer => Cybersecurity specialist' de meeste waarde inzitten.

Zeker! Zo'n certificaat is mooi om aan te kunnen tonen dat ik de kennis heb, maar de kennis daadwerkelijk krijgen is het doel. Daarom ook niet zo'n ramp als dat certificaat pas paar jaar later komt. Dat is voor mij geen reden om uit te stellen.

Mijn eerdere vraag omrent hoe het ciriculum te leren staat nog wel open. Als in, welke bronnen? Ik las eerder al dat meerdere bronnen handig was gezien ze niet allemaal alles bevatten. Ik heb voorheen natuurlijk les gehad op school en dat was 8 weken les dan toets over die stof, gevolgd met 8 weken project waarin je toepast. Wat de stof was die periodes was dus erg duidelijk. Verder zelfstudie aan hobbyprojecten maar dan ligt de lat al snel op "dat wat nodig danwel interesant is". Nou snap ik dat voor de CISSP handig is als ik eerst zelfstudie doe, maar hebben jullie tips voor het vinden van de afbakening en om te zorgen dat ik alles (correct) geleerd heb? Zijn er CISSP boeken of courses ofzo die jullie aanraden? Wat is handig? Heb hier nog een beetje een door de bomen het bos gevoel bij, en wil het graag goed en efficient aanpakken.