IT Security Certificeringen

Stufferdt schreef op dinsdag 3 oktober 2023 @ 15:41:
Daarnaast donderdag examen voor CCSP staan. Druk aan het oefenen met de oefenvragen via ISC2 zelf (app.efficientlearning.com). Merk dat ik langzamer door de vragen moet (gemiddeld tempo; 3 per minuut) en wat grondiger moet lezen.

Stufferdt schreef op donderdag 5 oktober 2023 @ 19:31:
[...]


Vanmorgen examen gedaan. Onderweg is er nog iemand achterop gereden en had wat file dus voorbereiding was niet ideaal.

Om 9.45 begonnen en ik was om 11.35 klaar. Had in totaal 240 minuten de tjjd dus heb minder dan de helft gebruikt. Gevoel was waardeloos. Tijdens het examen me meerdere keren afgevraagd wanneer m’n examen zou worden afgekapt. Uiteindelijk wel 250 vragen beantwoord.

Veel onderwerpen die niet terugkwamen en enkele die ik niet kende (wss door vorige versie van het boek gebruiken om te leren ) en enkele vragen waar ik geen idee had.

De man bij de receptie van de testlocatie had geen resultaat voor me (aldus collega’s is dat normaal wel zo bij ISC2?) dus daar was ik wel teleurgesteld over. Kwam gelukkig eindelijk middag een mailtje in m’n junkmail tegen.

Resultaat: gefeliciteerd, you passed!

Dus nu gaan endorsen en pronken met een nieuwe sticker

Skywalker27 schreef op maandag 9 oktober 2023 @ 08:05:
DIe van CISSP omg wat een pil gelukkig kreeg je bij vijf hart een dunner boek er bij wat de samenvatting blijkt te zijn

Liegebeest schreef op zondag 8 oktober 2023 @ 21:09:
[...]

Persoonlijk blijf ik weg bij de officiële CBK boeken van ISC2. Ooit heb ik er eentje gehad, die was gortdroog.

Stufferdt schreef op maandag 9 oktober 2023 @ 09:14:
[...]


Heb je een link/ISBN code toevallig van dat boek?
Morgen dag 2/10 van de training via Security Academy maar de Official Study Guide met 1000ish pagina's motiveert niet inderdaad. Vond CCSP al taai en dat boek zijn er 250?....

[ Voor 4% gewijzigd door Skywalker27 op 16-10-2023 14:28 ]

Skywalker27 schreef op woensdag 11 oktober 2023 @ 07:31:
[...]


Oei das een leuke weet ik niet uit mijn hoofd maar ik zit net deze week in Zweden op het hoofdkantoor. Zodra ik thuis ben laat ik het je weten maar dat is dan misschien net te laat voor jou?

ShadowBumble schreef op maandag 9 oktober 2023 @ 13:48:
[...]


Dit, ik gebruikte altijd de Shon Harris boeken. Ook daar was het een hoop taaie kost maar het was in ieder geval logisch in verhaal vorm opgeschreven in plaats van heel staccato per begrip in de cbk boeken

[ Voor 7% gewijzigd door revolution-nl op 06-11-2023 22:02 ]

revolution-nl schreef op maandag 6 november 2023 @ 21:19:
Wie heeft ervaring met aanbieders? Kwaliteit gaat boven prijs.

Metzie schreef op dinsdag 7 november 2023 @ 17:22:
[...]


Ik heb goede ervaring met TSTC. Niet voor C/CISO maar wel voor PECB 27001 en 27005. De docenten die ik had waren in het dagelijks leven ZZP security consultant en gaven een paar keer per jaar training, daardoor konden ze veel vertellen over de praktijk.

Ik hoor ook wel goede ervaringen over Security Academy Woerden, alleen heb ik daar zelf niet direct ervaring mee. Een oud ISO van mijn werkgever werkt daar als docent.

Orangelights23 schreef op maandag 27 februari 2023 @ 13:12:
[...]


Het zal in de praktijk heel erg meevallen. De voornaamste focus van NIS2 zijn risico management, incident management en BCP. De richtlijnen zijn zo breed en generiek opgeschreven, dat het niet heel lastig zal zijn om te voldoen aan de nieuwe wetgeving.

Ik heb met een paar CISO's NIS2 al bestudeerd en samen GAP analyses uitgevoerd binnen onze organisaties. Grootste leerpunt is dat ISO27001 gecertificeerd zijn al betekent dat er weinig extra benodigd is om te voldoen. Voor de freelancers hier, ga snel ISO27001 Lead Implementer volgen

peak schreef op woensdag 8 november 2023 @ 10:33:
[...]


Ik zoek mij suf naar enkel het examen voor lead implementer te doen zonder de cursus.

Ik zit al 10+ jaar in het vak en ik vind het volgen van een curses zonde van tijd en geld. Wil enkel het examen doen.

Ik zie dat APMG de lead auditor examen biedt maar niet de lead implementer.
en als ik op Exin kijk dan gebruiken ze weer andere termen "Professional" "Expert" maar geen duidelijke verwijzing van welke nou te vergelijken is met lead implementer.

Bij PECB geven ze enkel trainingen.

Waarom is het voor mijn gevoel zo verwarrend en kan ik geen examen centrum zoals PearsonVue, GlobalKnowledge of welk ander exam centrum vinden waar je enkel het examen kunt boeken?

Orangelights23 schreef op woensdag 8 november 2023 @ 10:39:
[...]


Dit is een perfect voorbeeld van de certificatie industrie

Je kunt altijd even bellen. Zij verdienen het meest aan de trainingen en niet zo veel aan het examen zelf, maar het is inderdaad zonde van je tijd en geld als je de kennis al beschikt.

[ Voor 3% gewijzigd door Liegebeest op 02-12-2023 13:09 ]

Liegebeest schreef op vrijdag 1 december 2023 @ 20:59:

Members only:

Alleen zichtbaar voor ingelogde gebruikers. Inloggen

CyberGuardian schreef op vrijdag 1 december 2023 @ 21:24:
[...]


Liegebeest..

Ontopic: vandaag eerste cybersecurity certificaat behaald, SSCP. Ben er enorm blij mee, volgende stap is het CISSP certificaat.

[ Voor 20% gewijzigd door Capo op 01-12-2023 21:38 ]

ChUcKiE schreef op vrijdag 1 december 2023 @ 22:44:
https://www.securityacade...curity-management-expert/

Iemand hier bekend mee?

[ Voor 7% gewijzigd door Liegebeest op 01-12-2023 23:03 ]

Liegebeest schreef op vrijdag 1 december 2023 @ 23:00:
[...]

Dat is d'r weer zo eentje van "SECO Institute".

ChUcKiE schreef op vrijdag 1 december 2023 @ 22:44:
Om mijn CISO rol in volwassenheid te groeien denk ik aan de volgende cursus:

https://www.securityacade...curity-management-expert/

Scoro schreef op zaterdag 2 december 2023 @ 00:39:
[...]
Security Academy started to develop an internationally recognised Cyber Security & Governance Certification Program.

ChUcKiE schreef op vrijdag 1 december 2023 @ 22:44:
Om mijn CISO rol in volwassenheid te groeien denk ik aan de volgende cursus:

https://www.securityacade...curity-management-expert/

Iemand hier bekend mee? Security Academy vind ik op zich een fijne organisatie. Trainingen " in het Nederlands" gegeven vind ik toch wel prettig en deze is dat ook, ondanks engels cursusmateriaal en examen....

SecHyg schreef op zondag 3 december 2023 @ 09:14:
[...]


Hi ChUcKiE,

Ik zat zelf te kijken naar de C|CISO training van ec-council.
https://www.eccouncil.org...n-security-officer-cciso/
Ken je deze en waarom zou jouw voorkeur gaan naar de ISME?

Orangelights23 schreef op zondag 3 december 2023 @ 14:16:
[...]


Ik heb die training een paar jaar geleden gevolgd, maar ik heb niet echt nieuwe dingen geleerd. De meeste dingen leer je door het zelf mee te maken of andere trainingen, zoals leiderschap, diplomatiek en management.

Het ligt natuurlijk wel aan het type CISO wat je bent/wilt worden. Veel organisaties hebben een CISO welke eigenlijk operationeel bezig is, rapporteert aan een CFO/CTO en bijvoorbeeld een ISMS beheert. Dat noem ik niet echt een CISO, maar ik merk dat juist naar die kennis vraag is. Dan zit je te denken aan certificaten zoals CISA, CISM, CRISC, etc. Als je een grote security afdeling leidt en echt in het C-level acteert, is CCISO niet heel relevant. Dan zit ik eerder aan een MBA te denken op dat niveau.

[ Voor 3% gewijzigd door ChUcKiE op 04-12-2023 09:16 ]

ChUcKiE schreef op maandag 4 december 2023 @ 09:15:
[...]


Ik werk bij een grote zorginstelling en ben daar CISO. We zijn het ISMS aan het ontwikkelen en hebben de ambitie om in Q2 2024 te gaan certificeren op NEN7510. Mijn CISO rol staat nog in de kinderschoenen maar zal wel gaan groeien. We hebben geen security afdeling maar werken met security partners om ons heen (we zijn een regie organisatie).
Ik kom uit de technische hoek, heb daar ook wel wat certificeringen gehaald op IB gebied (CISSP, CCSP en Lead Implementer ISO27001).

Op linkedin zag ik een collega CISO (van een andere grote zorginstelling) dat hij de ISME opleiding gevolgd had. Ik heb daar de vraag ook uit staan hoe deze opleiding bevallen is en wat het hem zal gaan brengen.

Panini schreef op maandag 4 december 2023 @ 10:18:
Dit is wellicht leuk voor de mensen in dit topic: https://tryhackme.com/r/christmas

De Cyber advent kalender van TryHackme staat weer online. Elke dag een kleine security/hack uitdaging waar je ook leuke prijzen mee kan winnen. Voor sommige misschien kennis die zij al hebben, maar voor veel misschien ook een leuke kennismaking met dit vakgebied in cybersecurity.

SecHyg schreef op maandag 4 december 2023 @ 11:23:
[...]

In die zoektocht kom ik op uitbreidingen op CISSP als ISSMP (Information Systems Security Management Professional) en ISSAP (Information Systems Security Architecture Professional)

ShadowBumble schreef op maandag 4 december 2023 @ 14:21:
[...]


Deze is wel vermakelijk net zoals de SANS Holiday Hack 2023 meestal doe ik ze beide wel Ik hoop ooit nog eens een van de KirngleCon coins te bemachtigen voor mijn collectie.

ShadowBumble schreef op maandag 4 december 2023 @ 14:21:
[...]
Ikzelf ben nooit zo gecharmeerd geweest van de "concentrations" van ISC2, op de een of andere manier vond ik ze destijds relatief weinig toevoegen. Ikzelf zou dan ook eens gaan kijken naar CISM, waar je bij CISSP echt een adviserus rol aanneemt, trek je bij CISM zelf veel meer de management hoek in hoe je zo'n Cyber programma uitvoerd/opzet en wat daarbij komt kijken.

Wat misschien ook wel handig is is om voor jezelf duidelijk te maken welke kant je op wilt, Security Officer zegt tegenwoordig niet zoveel meer omdat de rol op veel manieren ingevuld kan worden. (Compliance, Policy, Technologie) Architectuur hoort mijn inziens niet bij de rol maar om eerlijk te zijn, ik heb ook zo'n Rol en mijn focus ligt op Architectuur (Business & Technology (TOGAF) ), Strategie en indepth tech. (Offensief, Defensief & Intelligence)

Dus het is maar net waar je organisatie opstuurt, kwa functie titel zegt het in ieder geval niet veel wat mij betreft

[ Voor 8% gewijzigd door ChUcKiE op 04-12-2023 14:41 ]

ChUcKiE schreef op maandag 4 december 2023 @ 09:15:
[...]


Ik werk bij een grote zorginstelling en ben daar CISO. We zijn het ISMS aan het ontwikkelen en hebben de ambitie om in Q2 2024 te gaan certificeren op NEN7510. Mijn CISO rol staat nog in de kinderschoenen maar zal wel gaan groeien. We hebben geen security afdeling maar werken met security partners om ons heen (we zijn een regie organisatie).
Ik kom uit de technische hoek, heb daar ook wel wat certificeringen gehaald op IB gebied (CISSP, CCSP en Lead Implementer ISO27001).

Op linkedin zag ik een collega CISO (van een andere grote zorginstelling) dat hij de ISME opleiding gevolgd had. Ik heb daar de vraag ook uit staan hoe deze opleiding bevallen is en wat het hem zal gaan brengen.

[ Voor 17% gewijzigd door BytePhantomX op 04-12-2023 14:49 ]

BytePhantomX schreef op maandag 4 december 2023 @ 14:43:
[...]


Als ik het zo lees zit het security deel wel goed. Je zit zo te lezen op een uitdagende positie, regie organisatie, NEN7510 willen halen, ook nog echt secure blijven en zeer waarschijnlijk tegen een heel beperkt budget. En een gemiddeld ziekenhuis kennende hebben ze jou ook ergens vijf lagen onder de directie geplaatst.

Persoonlijk zou ik misschien eerder richting het verbeteren van skills gaan. Bijvoorbeeld hoe presenteer je effectief bij een board of een directie, op basis waarvan stel je prioriteiten en communicatieve vaardigheden. Een beetje een basistraing consultancy in McKinsey stijl. Misschien kun je dat allemaal al heel goed, maar dit baseer ik gemakshalve even op het feit dat je een tehcnische achtergrond hebt.

Waarom dit advies? Ik merk zelf dat hoe meer security kennis ik opdoe, hoe meer ik besef hoe genuanceerd alles is en hoe uitdagender het wordt om dit over te dragen aan mensen die die kennis niet hebben. En bijvoorbeeld netwerksegmentatie aan een board verkopen doe je niet met meer secrurity kennis, maar met presentatie skills. Het zou mooi zijn als het anders is, maar dat is helaas niet mijn ervaring.

ChUcKiE schreef op maandag 4 december 2023 @ 14:40:
[...]


Ik heb eerlijk gezegd ook gekeken naar ISC2 (HCISSP of CGRC), maar ik bemerk dat deze veelal Amerikaans georiënteerde opleidingen steeds minder aansluiten voor mijn organisatie (Nederlandse zorgorganisatie). Ja de certificaten staan leuk op je CV, maar dat is het dan ook. Als ik de Exam Outline lees is er toch erg veel inhoud die niet of nauwelijks aansluit.

ChUcKiE schreef op maandag 4 december 2023 @ 14:53:
[...]


Ja daar zit wel wat in ja, ik dacht middels die S-ISME training of bijvoorbeeld CISO Masterclass https://cisomasterclass.nl/ dat daar ook de softskills goed aan de beurt komen. En daarmee meteen in de juiste context geplaatst

Purchase your exam with Peace of Mind Protection below and get the assurance of a second sitting, if needed — when purchased by December 20.

Here's how it works:

Purchase your exam voucher from ISC2 with Peace of Mind Protection from December 1-20, 2023. You’ll receive your exam voucher code in up to 7 days.
Register and sit for your exam by January 31, 2024. Use your exam voucher code at checkout.
If needed, you can sit for the exam a second time through March 15, 2024.

Stufferdt schreef op dinsdag 19 december 2023 @ 09:58:
Morgen nog een proefexamen met erna doorlopen vragen etc met een docent en dan ben ik klaar met 10 dagen CISSP-cursus. Veel geleerd, maar merk dat ik de stof onvoldoende heb bijgehouden. Mis echt nog wel details ook uit het boek (nog niet alles gelezen...).

Nu zie ik dat je op dit moment bij ISC2 een goedkopere herkansing kan bijkopen (200 dollar ipv regulier 749). Alleen twijfel ik of ik het al ga doen. Werkgever betaalt de eerste poging, eventuele herkansingen moet ik zelf betalen. Trackrecord is tot nu toe om gewoon alles in 1x te halen, maar vraag het me bij CISSP af. Muntje moet toch een beetje de juiste kant op vallen


[...]

https://www.isc2.org/landing/exam-peace-of-mind

Opzich geeft een herkansing wel rust, maar maakt wellicht ook weer overmoeding/laks. Want heb toch nog een herkansing waar ik me op kan storten mocht ik poging 1 niet halen.

Stufferdt schreef op dinsdag 19 december 2023 @ 09:58:
Morgen nog een proefexamen met erna doorlopen vragen etc met een docent en dan ben ik klaar met 10 dagen CISSP-cursus. Veel geleerd, maar merk dat ik de stof onvoldoende heb bijgehouden. Mis echt nog wel details ook uit het boek (nog niet alles gelezen...).

Nu zie ik dat je op dit moment bij ISC2 een goedkopere herkansing kan bijkopen (200 dollar ipv regulier 749). Alleen twijfel ik of ik het al ga doen. Werkgever betaalt de eerste poging, eventuele herkansingen moet ik zelf betalen. Trackrecord is tot nu toe om gewoon alles in 1x te halen, maar vraag het me bij CISSP af. Muntje moet toch een beetje de juiste kant op vallen


[...]

https://www.isc2.org/landing/exam-peace-of-mind

Opzich geeft een herkansing wel rust, maar maakt wellicht ook weer overmoeding/laks. Want heb toch nog een herkansing waar ik me op kan storten mocht ik poging 1 niet halen.

BytePhantomX schreef op dinsdag 19 december 2023 @ 10:46:
[...]


Ik kan uiteraard niet voor een ander oordelen, maar mijn ervaring met CCSP en CISSP is dat het te doen is. En al heb je de cursus af, dan begrijp je waarschijnlijk alle concepten wel, maar moet je nog zaken uit je hoofd leren. Mijn redding was om de oefen app van ISC2 te gebruiken en er voor te zorgen dat je daar eigenlijk geen fouten meer maakt.

Yaay schreef op dinsdag 19 december 2023 @ 11:33:
[...]


Zelf destijds de Boson tests aangeschaft, dat gaf mij heel duidelijk weer of ik er klaar voor was en op welke punten ik verkeerd redeneerde.
High value is daarbij vooral de uitleg bij de antwoorden. Verder heeft het maar zin om deze tests 1 of hooguit 2x te doen anders ga je de vragen en antwoorden onthouden.

Orangelights23 schreef op dinsdag 19 december 2023 @ 12:13:
Ik ben op zoek naar wat inspiratie voor nieuwe certificaten. Ik heb al aardig wat cybersec certificaten en acteer al wat jaren op het C-level als CISO/CIO. Nu zijn specifieke cybersecurity certificaten niet heel interessant voor mij, maar zit ik meer richting leiderschap en dat soort zaken te denken. Ik heb teams aangestuurd, grootste was rond de 80, basisbeginselen mbt leiderschap, inspireren en coachen heb ik gaandeweg geleerd en wat curussen in gevolgd.

Een volgende stap voor mij (alhoewel ik die nog niet zou willen maken) is een beetje richting Fortune 500, maar ik heb weinig kennis van de eisen die ze stellen aan CISO's. Ik heb een paar keer met headhunters uit de VS gesproken voor dat soort functies, maar zij kijken meer naar track record. Echter, ik vind leren leuk en interessant en wil mijzelf graag blijven uitdagen.

Iemand tips?

BytePhantomX schreef op dinsdag 19 december 2023 @ 10:46:
[...]


Ik kan uiteraard niet voor een ander oordelen, maar mijn ervaring met CCSP en CISSP is dat het te doen is. En al heb je de cursus af, dan begrijp je waarschijnlijk alle concepten wel, maar moet je nog zaken uit je hoofd leren. Mijn redding was om de oefen app van ISC2 te gebruiken en er voor te zorgen dat je daar eigenlijk geen fouten meer maakt.

Stufferdt schreef op dinsdag 19 december 2023 @ 12:28:


[...]


MBA een optie? Of iets bij Nyenrode? Of bijvoorbeeld Antwerp business school met de executive masters. Die zie ik geregeld voorbijkomen bij CISO's die ik volg/zie op LinkedIn.
https://www.antwerpmanage...cyber-security-management

Shinji schreef op dinsdag 19 december 2023 @ 12:37:
Ik zit nu ook even naar die app te kijken maar de prijzen liegen er niet om, vanaf €1000/maand is de goedkoopste optie, dat is het me niet waard.

Michelli schreef op dinsdag 19 december 2023 @ 12:33:
[...]

Ik heb inderdaad voor CISSP ook veel oefenvragen gemaakt met de app en de online oefenexamens die je bij de OSG krijgt.

Wat mij vooral hielp was ontdekken waar mijn zwakkere punten lagen zodat ik die verder kon uitwerken. Ik heb bijvoorbeeld nog aantekeningen met een tabel over al die access control models die je moet leren. Juridische deel (vooral AVG en IE-recht) heb ik daarentegen nauwelijks iets voor gedaan omdat ik dit al door oa mijn masteropleiding wist.

BytePhantomX schreef op dinsdag 19 december 2023 @ 13:32:
[...]


De CISSP oefen vragen app? Die van ISC2 is zo te zien nog steeds gratis.

[ Voor 15% gewijzigd door Stufferdt op 19-12-2023 13:46 ]

BytePhantomX schreef op dinsdag 19 december 2023 @ 13:32:
[...]


De CISSP oefen vragen app? Die van ISC2 is zo te zien nog steeds gratis.

Mmore schreef op dinsdag 19 december 2023 @ 12:40:
[...]

Dit inderdaad, INSEAD is er ook zo één. Bieden specifiek educatie richting die hoek zoals de Global Executive MBA. En je bouwt natuurlijk een flink netwerk op tijdens zo'n programma. Wel een behoorlijke commitment.

Stufferdt schreef op dinsdag 19 december 2023 @ 09:58:
Morgen nog een proefexamen met erna doorlopen vragen etc met een docent en dan ben ik klaar met 10 dagen CISSP-cursus. Veel geleerd, maar merk dat ik de stof onvoldoende heb bijgehouden. Mis echt nog wel details ook uit het boek (nog niet alles gelezen...).

Nu zie ik dat je op dit moment bij ISC2 een goedkopere herkansing kan bijkopen (200 dollar ipv regulier 749). Alleen twijfel ik of ik het al ga doen. Werkgever betaalt de eerste poging, eventuele herkansingen moet ik zelf betalen. Trackrecord is tot nu toe om gewoon alles in 1x te halen, maar vraag het me bij CISSP af. Muntje moet toch een beetje de juiste kant op vallen


[...]

https://www.isc2.org/landing/exam-peace-of-mind

Opzich geeft een herkansing wel rust, maar maakt wellicht ook weer overmoeding/laks. Want heb toch nog een herkansing waar ik me op kan storten mocht ik poging 1 niet halen.

Cambionn schreef op woensdag 20 december 2023 @ 20:06:
Er zijn de afgelopentijd bij mij wat veranderingen gekomen. Lang verhaal kort, ik heb een nieuwe baan als Security Officer vanaf volgend jaar maart, en ik heb er heel veel zin in ! Ik krijg daarbij ook budget om door te leren en certificeren, dus zekerheid dat ik bezig kan met leren voor dat CISSP certificaat is er daarmee ook.

Ik ga nog even kijken hoe ik het ga aanpakken, maar ik vermoed dat ik maar eens begin met de official reference, study guide en practice tests boeken. Dan aan de hand van hoe dat bevalt kijk ik verder.

C_V_S schreef op donderdag 21 december 2023 @ 12:23:
Iemand die mij iets kan vertellen over de moeilijkheidsgraad m.b.t. CISSP?

Ik wil dit als freelancer namelijk gaan behalen via een training van X aantal dagen. Lees er wat wisselende zaken over het examen.

ShadowBumble schreef op donderdag 21 december 2023 @ 12:52:
[...]


Als je echt kijkt naar Training X dagen en dan direct examen zou ik voor Firebrand gaan, die hebben wat dat aangaat het beste "track record" maar alles valt of staat met de instructeur die ze eraan plakken natuurlijk, persoonlijk denk ik dat het een hele kluif is om "In een weekje CISSP te doen". Er zijn mensen die het kunnen maar ik schaar mijzelf niet onder die mensen daarvoor is het gewoon simpel weg te veel (en te saaie ) stof om in het koppie te stampen.

C_V_S schreef op donderdag 21 december 2023 @ 13:21:
[...]


Maar het is vooral veel i.p.v. lastig? Firebrand ben ik persoonlijk geen fan van. Ook niet om de hoek en met zo'n hotel e.d. vind ik niks.

C_V_S schreef op donderdag 21 december 2023 @ 13:21:
[...]


Maar het is vooral veel i.p.v. lastig? Firebrand ben ik persoonlijk geen fan van. Ook niet om de hoek en met zo'n hotel e.d. vind ik niks.

Rekcor schreef op donderdag 21 december 2023 @ 15:14:
Bij ons bedrijfje (7 fte / 10 mensen) zijn we ISO27001 gecertificeerd. Dit omdat we namen en mailadressen van onze gebruikers opslaan. Tot nu deden we de interne audits altijd zelf. Voor de jaarlijkse audit huren we een gerenommeerd extern bedrijf in.

Nu horen we steeds vaker geluiden dat we de interne audits ook echt moeten uitbesteden, omdat we zelf niet onafhankelijk genoeg zouden zijn om de interne audits te doen. Deze geluiden komen vooral van lieden die zichzelf verhuren als externe interne auditor...

Ik vind dat echt overkill. Wat vinden jullie?

Rekcor schreef op donderdag 21 december 2023 @ 16:23:
Dank!

Ja we hadden de vorige keer wel een niet-kritieke afwijking, omdat de SO óók de teamleider van afdeling X had (afdeling X is 3 mensen :-)), en dus als SO ook het werk van afdeling X beoordeelde.

Echter, inhoudelijk voldeden we gewoon aan ons ISMS voor afdeling X en konden we dit ook hard maken met bewijzen.

Mijn bezwaar is vooral dat het een rupsje nooitgenoeg is: We hebben nu al een SO die 3 dagen per week ermee bezig is, en alle andere collega's zijn er ook tijd mee kwijt, en dan komt er straks nog weer iemand erbij die natuurlijk weer allemaal andere ideeen heeft, waar we dan ook weer wat mee moeten, enz enz. Dit terwijl feitelijk keer op keer blijkt dat we gewoon al heel netjes volgens de norm werken...

C_V_S schreef op donderdag 21 december 2023 @ 16:25:
[...]


Heb ook een boel berg ITIL papiertjes en ervaring dus wat betreft processen snap ik wel enigzins hoe de boel werkt zeg maar.

Maar goed cursus eind februari gepland met een oud collega samen. Ga wel kijken of ik van de voren al het nodige kan lezen.

C_V_S schreef op donderdag 21 december 2023 @ 16:25:
[...]


Dat is nog meer dan ik volgens mij aan mijn HBO heb besteedt lang geleden

Rekcor schreef op donderdag 21 december 2023 @ 16:23:
Dank!

Ja we hadden de vorige keer wel een niet-kritieke afwijking, omdat de SO óók de teamleider van afdeling X had (afdeling X is 3 mensen :-)), en dus als SO ook het werk van afdeling X beoordeelde.

Echter, inhoudelijk voldeden we gewoon aan ons ISMS voor afdeling X en konden we dit ook hard maken met bewijzen.

Mijn bezwaar is vooral dat het een rupsje nooitgenoeg is: We hebben nu al een SO die 3 dagen per week ermee bezig is, en alle andere collega's zijn er ook tijd mee kwijt, en dan komt er straks nog weer iemand erbij die natuurlijk weer allemaal andere ideeen heeft, waar we dan ook weer wat mee moeten, enz enz. Dit terwijl feitelijk keer op keer blijkt dat we gewoon al heel netjes volgens de norm werken...

Rekcor schreef op donderdag 21 december 2023 @ 15:14:
Bij ons bedrijfje (7 fte / 10 mensen) zijn we ISO27001 gecertificeerd. Dit omdat we namen en mailadressen van onze gebruikers opslaan. Tot nu deden we de interne audits altijd zelf. Voor de jaarlijkse audit huren we een gerenommeerd extern bedrijf in.

Nu horen we steeds vaker geluiden dat we de interne audits ook echt moeten uitbesteden, omdat we zelf niet onafhankelijk genoeg zouden zijn om de interne audits te doen. Deze geluiden komen vooral van lieden die zichzelf verhuren als externe interne auditor...

Ik vind dat echt overkill. Wat vinden jullie?

C_V_S schreef op donderdag 28 december 2023 @ 08:43:
Hier het CISSP boek gedownload: Classroom-Based CISSP Official (ISC)² Textbook, 6th Edition

Boek is maar iets van 120 blz als ik zo vlug kijk? (gaat via de Bookshelf app)

Is dat niet wat weinig?

[ Voor 9% gewijzigd door BytePhantomX op 28-12-2023 09:35 ]

BytePhantomX schreef op donderdag 28 december 2023 @ 09:34:
[...]


Ik heb een hard copy en in mijn herinnering was die ongeveer 1000 pagina's. Dat is dan wel de officiële CBK. Waarschijnlijk heb je iets anders gedownload.

[ Voor 15% gewijzigd door BytePhantomX op 29-12-2023 23:05 ]

[ Voor 4% gewijzigd door Michelli op 29-12-2023 23:30 ]

Liegebeest schreef op dinsdag 2 januari 2024 @ 21:55:
[...]

Als je zonder voorbereiding naar zo'n laarskamp gaat, is het drinken van de brandslang.

Liegebeest schreef op dinsdag 2 januari 2024 @ 21:55:
[...]
De reden waarom mijn bootcamp een succes was indertijd, is omdat ik vooraf het hele boek al had gelezen. Daardoor kon ik voorbereid, met gerichte vragen, naar de training. Zo haal je waarde binnen: gerichte vragen aan de trainer.

[ Voor 13% gewijzigd door FijneKnul op 03-01-2024 16:57 ]

FijneKnul schreef op woensdag 3 januari 2024 @ 16:55:
[...]


Zelfs Google kent dit spreekwoord niet.


[...]

FijneKnul schreef op woensdag 3 januari 2024 @ 16:55:
[...]


Zelfs Google kent dit spreekwoord niet.


[...]


Eens dat de waarde van een bootcamp zit in stellen van vragen aan je trainer. Máár: iedereen is en leert anders, dus mijn advies is om het vooral op je eigen wijze te doen. Dat zal je vast het makkelijkste af gaan.

M.i. is het inderdaad veel en niet per se lastig. Soms voelt het wat wrang wanneer je weer Amerikaanse kennis op moet doen, omdat 'the body of knowledge' nu eenmaal in the US zit. Gewoon goed leren en na je examen weer vergeten. (Dat gebeurt toch wel)

Stufferdt schreef op donderdag 4 januari 2024 @ 09:31:
[...]


Boot is ook laars in het Engels dus denk dat je het daar moet zoeken

Stufferdt schreef op donderdag 4 januari 2024 @ 09:31:
[...]
Hier nog krap 4 weken tot m'n examen voor CISSP (29 januari). Druk oefenexamens aan het maken en de vragen die ik fout heb (te veel...) aan het opzoeken in het boek. Mis vooral nog de stomme feitjes dus kwestie van stampen.

Stiekem toch weeral aan het kijken wat een leuke volgende is overigens

FijneKnul schreef op donderdag 4 januari 2024 @ 09:42:
[...]

Nu begrijp ik hem. Dank voor de tip


[...]


Succes!
(Ik heb veel gehad aan videos op YT van Prab Nair.)

Ik ben ook aan het oriënteren wat ik ga ik doen dit jaar. Heb net vorige week het CIPP/E-examen gehaald, dus kan in 2024 weer een nieuwe volgen. Voor nu neig ik naar CISA vanwege mijn werkzaamheden, maar kwa interesse/plezier zou het ook wel eens leuk zijn om CEH te doen. Voor mijn gevoel kan ik dan wat rustiger aan doen.

FijneKnul schreef op donderdag 4 januari 2024 @ 09:42:
... maar kwa interesse/plezier zou het ook wel eens leuk zijn om CEH te doen. Voor mijn gevoel kan ik dan wat rustiger aan doen.

Hmmbob schreef op donderdag 4 januari 2024 @ 16:20:
Nog los daarvan zeggen alle pentesters om mij heen "nah, leuke intro" over CEH. Beter investeren in iets met meer aanzien.

Stufferdt schreef op donderdag 4 januari 2024 @ 10:03:
[...]


En proficiat met je CIPP/E! Viel het mee? Ik had er toendertijd een slecht gevoel over maar was net voldoende (338 punten uiteindelijk).

En CISA overweeg ik ook als volgende, maar vraag me af hoe interessant de stof is. Vond ISO2 7001 lead auditor al afstompend saai voor de geest

Hmmbob schreef op donderdag 4 januari 2024 @ 16:20:
Nog los daarvan zeggen alle pentesters om mij heen "nah, leuke intro" over CEH. Beter investeren in iets met meer aanzien.

Cambionn schreef op donderdag 4 januari 2024 @ 16:45:
[...]

Ik hoor ook wel vaker dat EC-council certificaten niet zo veel voorstellen, of zelfs negatief bekeken worden. Voor mij ook de reden om weg te blijven bij die partij.

kahraman11 schreef op donderdag 4 januari 2024 @ 16:49:
Wij lachten altijd de pentesters uit die bij ons op sollicitatiegesprek kwamen die CEH op hun CV hadden en geen OSCP bijvoorbeeld. Wij wilden altijd graag praktische ervaring zien en dat toon je een beetje aan met het hebben van OSCP. Ik vond het bijvoorbeeld veel interessanter als kandidaten CRTO of OSEP op hun CV hadden staan aangezien die twee certificaten aantonen dat je diepgaande AD kennis hebt en weet hoe je dat moet uitbuiten met (custom) tools.

FijneKnul schreef op donderdag 4 januari 2024 @ 09:42:
Voor nu neig ik naar CISA vanwege mijn werkzaamheden, maar kwa interesse/plezier zou het ook wel eens leuk zijn om CEH te doen. Voor mijn gevoel kan ik dan wat rustiger aan doen.

sh4d0wman schreef op donderdag 4 januari 2024 @ 10:51:
Een paar jaar voor de covid uitbraak was ik begonnen met bug bounties en heb daardoor diverse betalingen ontvangen/CVEs op naam gekregen. Dat viel stil omdat ik voor mijn kinderen moest zorgen en ik ben mij nu aan het orienteren wat wijsheid is.

Doel(en):
A. Met name memory exploitation en web exploitation verbeteren of kennis updaten.
B. Eventueel baan als pentester of software tester vinden, stabiel inkomen.

sh4d0wman schreef op donderdag 4 januari 2024 @ 10:51:
Optie 2.
Offsec OSWE + Portswigger
https://www.offsec.com/courses/web-300/
OSWE lijkt mij nuttig omdat het een whitebox approach hanteert op een grote code-base, dus realistisch.

sh4d0wman schreef op vrijdag 5 januari 2024 @ 14:47:
@Scoro coro en @RovloSQL bedankt voor jullie input!
Ik heb diverse ervaringen gelezen over OSWE.
A. Klopt het dat je voornamelijk werkt aan auth bypasses en RCE verkrijgen?
B. Moet je ook nog local privilege escalation vinden?
C. Mag je Metasploit gebruiken als handler voor reverse shells?

• Source code analyzers
• Automatic exploitation tools (e.g. db_autopwn, browser_autopwn, SQLmap, SQLninja etc.)
• Mass vulnerability scanners (e.g. Nessus, NeXpose, OpenVAS, Canvas, Core Impact, SAINT, etc.)
• AI Chatbots (e.g. ChatGPT, YouChat, etc.)
• Features in other tools that utilize either forbidden or restricted exam limitations
• Remote mounting of application source code is not allowed (e.g. using sshfs, sftp etc.)

Arend_Akelig schreef op vrijdag 5 januari 2024 @ 14:59:
Wil binnenkort examen doen voor CISM. Iemand een benchmark voor welke score je moet halen in de oefentoetsen vanuit de QAE database van ISACA om 'klaar' te zijn voor examen? Zit nu op 74%.

Arend_Akelig schreef op vrijdag 5 januari 2024 @ 14:59:
Wil binnenkort examen doen voor CISM. Iemand een benchmark voor welke score je moet halen in de oefentoetsen vanuit de QAE database van ISACA om 'klaar' te zijn voor examen? Zit nu op 74%.

FijneKnul schreef op woensdag 3 januari 2024 @ 16:55:
[...]

Zelfs Google kent dit spreekwoord niet.

[ Voor 13% gewijzigd door Liegebeest op 09-01-2024 11:42 ]

[ Voor 38% gewijzigd door Liegebeest op 10-01-2024 15:48 ]

For all the exam beta-test addicts like me: CompTIA have opened their CV0-004 Cloud+ beta, not half an hour ago. You will find it in your PearsonVue CompTIA portal, by searching for "cloud". At $50, it's a steal!

The draft objectives can be found here -> https://comptiacdn.azuree...exam-objectives-(1-1).pdf