IT Security Certificeringen

Ik ben ook CPTS doen nu, stof en opbouw: dikke prima. Examen geen ervaring mee.

[ Voor 7% gewijzigd door loewie1984 op 07-02-2025 23:53 ]

@loewie1984 ik kan je helaas praktisch niet helpen, maar als je met oefenvragen 90% goed had, mag je terecht verwachten dat je klaar bent voor het examen. Of je moet de verkeerde oefenvragen hebben gedaan.

loewie1984 schreef op vrijdag 7 februari 2025 @ 22:11:
***members only***

[ Voor 1% gewijzigd door jeffreytigch op 08-02-2025 07:11 . Reden: Url werkend maken ]

loewie1984 schreef op vrijdag 7 februari 2025 @ 22:11:
***members only***

[ Voor 6% gewijzigd door Videopac op 08-02-2025 10:20 ]

Dit is een security Microsoft beta, dus kan best ook hier:

https://techcommunity.mic...new-certification/3719269

Vanaf morgen als het goed is.

En code te vinden voor 80% korting op de learn blog

[ Voor 10% gewijzigd door paella op 11-02-2025 21:15 ]

Hier mensen met ISO / SEC 27001 certificeringen en zo ja welke?

Ik merk dat het vrij veel gevraagd wordt als je als freelancer aan de slag wilt in de security hoek namelijk.


Ik zie veelal de lead implementor en auditor certificering bij verschillende organisaties. Gok dat vooral de ingangshoek erg verschilt.

Yes hiero implenter iso27001 gedaan ga hem niet up to date houden deze willen je allemaal in hun payfuik blijf relevant ding zuigen.

Skywalker27 schreef op donderdag 13 februari 2025 @ 12:13:
Yes hiero implenter iso27001 gedaan ga hem niet up to date houden deze willen je allemaal in hun payfuik blijf relevant ding zuigen.

Dat is via SECO instituut toch? drie daagse training gehad?

Hoe dien je hem up-to-date houden?

Je moet punten verzamelen maar dat kan eigenlijk alleen maar door nieuwe trainingen bij hun te volgen. Daarnaast je moet er jaarlijks ook nog 70 euro betalen om überhaupt punten te kunnen verzamelen.

Skywalker27 schreef op donderdag 13 februari 2025 @ 12:23:
Je moet punten verzamelen maar dat kan eigenlijk alleen maar door nieuwe trainingen bij hun te volgen. Daarnaast je moet er jaarlijks ook nog 70 euro betalen om überhaupt punten te kunnen verzamelen.

Beetje zoals ISC2 met CISSP maar goed dan kan je de punten ook op andere manieren halen.

C_V_S schreef op donderdag 13 februari 2025 @ 10:57:
Hier mensen met ISO / SEC 27001 certificeringen en zo ja welke?

Ik merk dat het vrij veel gevraagd wordt als je als freelancer aan de slag wilt in de security hoek namelijk.


Ik zie veelal de lead implementor en auditor certificering bij verschillende organisaties. Gok dat vooral de ingangshoek erg verschilt.

Jups. Ik heb allebei.
Inmiddels weeral 5/6 jaar geleden behaald (eerste 2 certificaten toen ik net van het HBO afkwam).

Ik heb implementer bij BSI klassikaal gedaan. Goede docent maar je wordt wel heel erg de stof van het examen doorgeloodst. Laatste middag was het thema iets rondom brainstormen ofzo. Heel maf.

PECB Lead auditor een papieren cursus aangeschaft met examenvoucher. 4 dagen a 150 slides door mogen beuken die in een enorme ringmap zaten. Examen bestond uit casussen en duurde 3 uur geloof ik.

Ik denk dat je vooral praktische ervaring nodig hebt met beiden: dus maak een audit eens mee en voer zelf interne audits eens uit en begrijp de fundamenten van een HLS-managementsysteem. Dat helpt wel enorm vind ik. Vond het vanuit de cursussen allemaal wel heel theoretisch en groots. Terwijl een ISMS ook heel praktisch en efficient kan worden ingericht. Maar daar zit juist de toegevoegde waarde van de adviseur denk ik

edit:
Allebei laten verlopen. Nooit audit-uren aangetoond/ingediend. BSI LI was meer een aanwezigheidspapiertje. Maargoed, ben wel iets

[ Voor 4% gewijzigd door Stufferdt op 13-02-2025 13:08 ]

C_V_S schreef op donderdag 13 februari 2025 @ 10:57:
Hier mensen met ISO / SEC 27001 certificeringen en zo ja welke?

Ik merk dat het vrij veel gevraagd wordt als je als freelancer aan de slag wilt in de security hoek namelijk.


Ik zie veelal de lead implementor en auditor certificering bij verschillende organisaties. Gok dat vooral de ingangshoek erg verschilt.

In 2017 zowel ISO/IEC 27001:2013 Lead Auditor als Lead Implementer examen gehaald. Cursus verliep toen via EY CertifyPoint - maar dat was voornamelijk omdat ik bij EY werkzaam was. Beide zijn verlopen maar daar hebben partijen tot nu toe nog niet moeilijk over gedaan bij selectiecriteria.

C_V_S schreef op donderdag 13 februari 2025 @ 10:57:
Hier mensen met ISO / SEC 27001 certificeringen en zo ja welke?

ISO 27001 LI via PECB.

Ik ga'm gewoon verlengen; wat je zegt, het is een checkbox die toch m'n kansen verhoogt voor een klus.

Ergens vind ik het wel stuitend, dat hier mensen zijn die A. een cert laten verlopen, maar dan B. het cert nog wel op de CV zetten. Dakannie.

[ Voor 20% gewijzigd door Liegebeest op 13-02-2025 13:56 ]

Tja, het ligt eraan natuurlijk.

Heb hier al eens eerder aangehaald: een certificaat bewijst dat jij op een bepaald moment in tijd goed genoeg bepaalde stof beheerst: tijdens het afleggen van je rijexamen heb je bewezen het autorijden voldoende te beheersen en als certificaat een rijbewijs gekregen.

Of op een later moment aangetoond moet worden of je die stof nog steeds beheerst, maakt of het zinvol is om zo'n certificaat te vernieuwen: tijdens het besturen van de auto moet je dat altijd kunnen aantonen dus verleng je je rijbewijs braaf iedere xx jaar.

Maar als jouw klanten niet vereisen dat je het nog steeds kan aantonen, maar meer als indicator gebruiken of je bepaalde onderwerpen beheerst, dan zou je het kunnen laten verlopen.

En over het wel/niet op je CV zet: imho kan je prima noemen dat je toen-en-toen dat-en-dat certificaat behaald hebt; zeker in de context van wat hierboven beargumenteerd is. Je hebt gewoon toen-en-toen aangetoond die stof te beheersen. Zolang je er maar niet gaat over liegen als mensen doorvragen 'of je nog current bent'; als ze het belangrijk vinden dat je niet alleen toen-en-toen die kennis had maar ook gecertificeerd willen hebben dat je het nu beheerst, dan heb je een niet-verlopen certificering nodig.

Overigens heb ik die vraag nog nooit gehad, voor geen enkel certificaat.

dan hebben we het overigens nog niet over de inhoud van die verlenging gehad he? Want bij je rijbewijs kopen de meesten gewoon een nieuw pasje (je hoeft namelijk niets te doen om opnieuw je bewijs van deelname te krijgen), maar ook de "cpe programma's" van de meeste certificaten stellen niet heel veel voor he..... Je krijgt niet eens een nieuw pasje, laat staan iets van een inhoudelijke toetsing van je verlenging. Dus wat is dan de toegevoegde waarde van "het niet laten verlopen"?

Laten we nu vooral niet doen alsof je door het wel braaf CPEs sprokkelen met het maken van quizjes en kijken van een of andere vendor presentatie zoveel toevoegt aan je kennis en kunde die je toen-en-toen bij certificering hebt aangetoond dat je nu weer opnieuw gecertificeerd wordt: het "verlopen" van certificaten is vooral een business model van dit soort instituten en niet per se een manier om te garanderen dat iemand helemaal up-to-speed is.

For the record; CISSP & CISM betaal ik m'n annual fees voor en behaal ik de CPEs, m'n CEH en Security+ ga ik echt die moeite niet voor doen.

[ Voor 3% gewijzigd door Hmmbob op 13-02-2025 14:53 ]

Liegebeest schreef op donderdag 13 februari 2025 @ 13:54:
[...]

ISO 27001 LI via PECB.

Ik ga'm gewoon verlengen; wat je zegt, het is een checkbox die toch m'n kansen verhoogt voor een klus.

Ergens vind ik het wel stuitend, dat hier mensen zijn die A. een cert laten verlopen, maar dan B. het cert nog wel op de CV zetten. Dakannie.

Mwah...hangt er mijn inziens van af of je op CV/profiel dan ook "verlopen" opgeeft of niet. Op LinkedIN kan je het bijvoorbeeld duidelijk zien mits men het opgeeft.

Hallo allemaal, ik heb 13+ jaar ervaring in IT risk/ IT audit en informatiebeveiliging. Officieel heb ik alleen de RE status en verder geen security certificeringen. Hierin heb ik de afgelopen jaren geslapen.

Nu wil ik graag de CISM en CISSP certificeringen halen. Ik ben de afgelopen weken begonnen met het doorlezen van CISM review manual (16e editie) en daarnaast doe ik de CISM review questions (9e editie). Gemiddeld zit ik op 7/10 vragen goed.

Is dit genoeg of raden jullie nog specifieke youtube content aan?
Ook ben ik van plan om proefexamen vragen te maken. Maar ik zie dat er verschillende mogelijkheden zijn. Ik zie udemy, itexams, examtopics, pocketprep, isaca's QA database en nog vele andere. Iemand nog tips wat goed heeft gewerkt en je echt klaarstroomt voor de echte examens?

Marweecos82 schreef op donderdag 13 februari 2025 @ 15:30:
Hallo allemaal, ik heb 13+ jaar ervaring in IT risk/ IT audit en informatiebeveiliging. Officieel heb ik alleen de RE status en verder geen security certificeringen. Hierin heb ik de afgelopen jaren geslapen.

Nu wil ik graag de CISM en CISSP certificeringen halen. Ik ben de afgelopen weken begonnen met het doorlezen van CISM review manual (16e editie) en daarnaast doe ik de CISM review questions (9e editie). Gemiddeld zit ik op 7/10 vragen goed.

Is dit genoeg of raden jullie nog specifieke youtube content aan?
Ook ben ik van plan om proefexamen vragen te maken. Maar ik zie dat er verschillende mogelijkheden zijn. Ik zie udemy, itexams, examtopics, pocketprep, isaca's QA database en nog vele andere. Iemand nog tips wat goed heeft gewerkt en je echt klaarstroomt voor de echte examens?

7/10 is misschien kantje boord op een goede dag, of misschien haal je hem net niet. Betreft dit obv alle vragen? Ik zou toch nog de fouten nogmaals goed bestuderen en nog meer vragen maken. Het zou zonde zijn als je hem niet haalt. Het is met name de vraagstelling vanuit ISACA trainen en vervolgens het ISACA antwoord erbij zoeken. Als je dat eenmaal goed doorhebt, slaag je, helemaal met de vele jaren ervaring!

Liegebeest schreef op donderdag 13 februari 2025 @ 13:54:
[...]

Ergens vind ik het wel stuitend, dat hier mensen zijn die A. een cert laten verlopen, maar dan B. het cert nog wel op de CV zetten. Dakannie.

Ik laat alles bewust verlopen omdat mijn werkervaring aantoont dat ik de materie beheers. Het is verder gewoon een business model voor die bedrijven waar je met gratis filmpjes kijken CPE’s kunt verdienen. In dat opzicht zegt het hebben van een geldig certificaat niet zoveel.

Arend_Akelig schreef op donderdag 13 februari 2025 @ 15:34:
[...]


7/10 is misschien kantje boord op een goede dag, of misschien haal je hem net niet. Betreft dit obv alle vragen? Ik zou toch nog de fouten nogmaals goed bestuderen en nog meer vragen maken. Het zou zonde zijn als je hem niet haalt. Het is met name de vraagstelling vanuit ISACA trainen en vervolgens het ISACA antwoord erbij zoeken. Als je dat eenmaal goed doorhebt, slaag je, helemaal met de vele jaren ervaring!

Ik ben momenteel halverwege het stof en het boek. Dus 7/10 op de vragen die ik tot nu toe heb gemaakt. Goede tip om inderdaad de fouten nogmaals goed te bestuderen.

Iemand geen tips voor youtube filmpjes of proefexamen vragen apps?

De uitslag van CompTIA CloudNetX+ beta examen afgelopen jaar is bekend. Hier een pass gelukkig weer. geen scores vermeld.

paella schreef op maandag 17 februari 2025 @ 22:04:
De uitslag van CompTIA CloudNetX+ beta examen afgelopen jaar is bekend. Hier een pass gelukkig weer. geen scores vermeld.

Scores krijg je nooit voor hun betas of voor hun "expert" series. Maar: gefeliciteerd!

Marweecos82 schreef op donderdag 13 februari 2025 @ 15:30:
Hallo allemaal, ik heb 13+ jaar ervaring in IT risk/ IT audit en informatiebeveiliging. Officieel heb ik alleen de RE status en verder geen security certificeringen. Hierin heb ik de afgelopen jaren geslapen.

Nu wil ik graag de CISM en CISSP certificeringen halen. Ik ben de afgelopen weken begonnen met het doorlezen van CISM review manual (16e editie) en daarnaast doe ik de CISM review questions (9e editie). Gemiddeld zit ik op 7/10 vragen goed.

Is dit genoeg of raden jullie nog specifieke youtube content aan?
Ook ben ik van plan om proefexamen vragen te maken. Maar ik zie dat er verschillende mogelijkheden zijn. Ik zie udemy, itexams, examtopics, pocketprep, isaca's QA database en nog vele andere. Iemand nog tips wat goed heeft gewerkt en je echt klaarstroomt voor de echte examens?

7/10 vind ik ook wat mager. Stelregel is consequent 90% goed op de proefexamens, en dat heb ik al een aantal keer gezien dat het geen gekke stelregel was.

Ik heb vorige week dit examen gedaan om mijn andere Cisco examens te verlengen. Viel reuze mee, was goed te doen. Qua inhoud vond ik het redelijk vergelijkbaar met bijvoorbeeld CompTIA CySa+
https://learningnetwork.cisco.com/s/cbrcor-exam-topics

In de toekomst wil ik deze gaan doen als ik weer mijn Cisco examens moet verlengen, dan krijg ik ook het Cisco Certified Cybersecurity Professional certificaat.
https://learningnetwork.cisco.com/s/cbrfir-exam-topics

Op dit moment ben ik aan het studeren voor deze:
https://www.juniper.net/u...s/security/jncip-sec.html

Vandaag mijn CySA+ gehaald, nadat ik vorige maand Security+ heb gehaald (en ook nog MS SC-900 tussendoor)
Toch efficient gebruik gemaakt van een periode tussen opdrachten in.

Vooral gebruik gemaakt van CBT Nuggets, al merkte ik met de bijgevoegde proefexamens van Kaplan dat de lesstof van CBT zeker niet de volledige lading dekt. Dat was bij CySA+ nog meer dan bij Security+.
En nu... komt er weer een nieuwe opdracht aan. Maar ik verwacht dat ik BTL1 ga doen.

[ Voor 0% gewijzigd door Hennie-M op 19-02-2025 15:18 . Reden: CS-900 was een typo ]

loewie1984 schreef op vrijdag 7 februari 2025 @ 22:11:
***members only***

Nou boys, vandaag 3de herkansing. Eindelijk gehaald. Wat een opluchting. Op naar de volgende. Nogmaals dank voor de opbeurende berichten.

Heeft iemand ervaring met PECB Lead Cybersecurity Manager en hoe staat dit aangeschreven in het werkveld?

loewie1984 schreef op vrijdag 28 februari 2025 @ 19:55:
Nou boys, vandaag 3de herkansing. Eindelijk gehaald. Wat een opluchting. Op naar de volgende. Nogmaals dank voor de opbeurende berichten.

Gefeliciteerd.

loewie1984 schreef op vrijdag 28 februari 2025 @ 19:55:
Heeft iemand ervaring met PECB Lead Cybersecurity Manager en hoe staat dit aangeschreven in het werkveld?

Ik ken het certificaat niet en zit toch al een tijdje in het werkveld. Ligt er aan waar je gaat werken, maar houd er rekening mee dat de mensen aan de andere kant van de tafel soms geen idee hebben wat al die certifcaten inhouden.

Als je echt de audit hoek in wil en iets wil halen wat heel goed op je cv staat, dan zou dit volgens mij je doel moeten zijn: https://www.norea.nl/re-worden Ik weet alleen niet of het haalbaar is voor je.

Kortdag, maar wel interessant van TryHackMe:

Free SAL1 for BTL1 or CySA+ Holders!

https://www.linkedin.com/...7302367160515911680-N_mE/

"If you hold a BTL1 or CySA+ certification, we’ve got something special for you! 🎉 We’re giving away FREE access to our latest certification, SAL1, because your expertise matters—and we want your feedback!"

🔹 You must hold a BTL1 or CySA+ certification (earned before March 1st, 2025).
🔹 Anyone can apply, but if you are part of a company, a maximum of 3 participants per company apply.
🔹 Your free access to SAL1 is valid until March 31st, 2025, and the certification must be completed before this date.

paella schreef op donderdag 6 maart 2025 @ 09:45:
Kortdag, maar wel interessant van TryHackMe:

Dankje voor het delen! Ik kwam juist hierheen om'm te delen, dus tof dat ie d'r al was

Hoe staan jullie tegenover de "learning paths" van TryHackMe om kennis op te bouwen om richting cybersecurity uit te willen gaan? Op dit moment zit ik in een opleiding systeembeheer en zou uiteindelijk graag deze richting uit willen. Ook vroeg ik me af of het de moeite is om op je CV te vermelden.

Runaque schreef op zondag 9 maart 2025 @ 14:49:
Hoe staan jullie tegenover de "learning paths" van TryHackMe om kennis op te bouwen om richting cybersecurity uit te willen gaan? Op dit moment zit ik in een opleiding systeembeheer en zou uiteindelijk graag deze richting uit willen. Ook vroeg ik me af of het de moeite is om op je CV te vermelden.

Learning paths van THM / HTB kan je na bewezen afronding bij cursussen noemen, op je CV.

Ik volg zelf learning paths bij HTB, omdat ik hun UI, vormgeving en inhoud prettiger vind. Maar beiden zijn valide manieren om nieuwe stof tot je te nemen.

Liegebeest schreef op maandag 10 maart 2025 @ 12:34:
[...]

Learning paths van THM / HTB kan je na bewezen afronding bij cursussen noemen, op je CV.

Ik volg zelf learning paths bij HTB, omdat ik hun UI, vormgeving en inhoud prettiger vind. Maar beiden zijn valide manieren om nieuwe stof tot je te nemen.

Leuk om te horen! Het huidige nivea/certificaat dat ik op THM heb is de "Cyber Security 101" en ben me nu door "SOC Level 1" aan het werken en het leuke is dat de rooms die je doet, ook die van andere career paths afvinken, dus dat maakt dat als je een andere richting uit wil, dat het werk dat je voorheen erin gestoken hebt ook niet voor niets was.

Ik veronderstel dat "na bewezen afronding" dat je hun certificate of completion bedoeld?

Ik veronderstel dat "na bewezen afronding" dat je hun certificate of completion bedoeld?

Correct. Pas wanneer je die hebt, heb je de "cursus" afgerond. Tot die tijd kan je het onder "persoonlijke projecten" zetten ofzo.

quility323 schreef op maandag 19 februari 2024 @ 13:06:
Momenteel ben ik opzoek naar de juiste training/certificering, ik mis wat info dus wellicht kunnen jullie mij hierbij helpen.
Ik wil mij graag specialiseren in Cyber Security, nu heb ik zelf 11 jaar ervaring in IT en tevens ook een aantal jaar ervaring met ISO27001, ISO9001 en NEN7510 waarbij ik een aantal implementaties heb gedaan en de rol Security Officer op me heb genomen.
Het idee is om security assessments uit te voeren, consultancy/advies geven, diensten uitwerken in Cyber Security.
Nu zoek ik deze training met 2 doelen:

1. Ik wil er (technisch) wat van leren.
2. Erkenning/aantoonbaar qua kennis richting externe (voornamelijk naar klanten).

Zelf twijfel ik tussen CCSP en CISSP. Waarbij ik eerder neig naar CCSP omdat dit meer technisch aanvoelt in vergelijking tot CISSP die heel breed is maar daarentegen wel "bekender" is.
Qua Microsoft certificaten, heb ik momenteel: SC-900, SC-300, AZ-104 en wil ik nog SC-200 en SC-100 halen.

Iedereen kan zich de rol Consultant of Security Officer toe-eigenen maar zeker in de Security vind ik het belangrijk dat je gekwalificeerd bent.
Waar letten jullie op bij iemand die zich een Security consultant of vergelijkbaar noemt?

We zijn ruim een jaar verder maar afgelopen vrijdag mijn CISSP certificering behaald!

Vanaf september '24 t/m december '24 de CISSP cursus gevolgd via Security Academy (10 dagen, 1 per week) na wat tips in dit topic dus dank daarvoor! Een aanrader.
Vervolgens nog flink wat thuisstudie via ISC2 OSG icm Wiley, Destcert en LearnZapp (free) oefenvragen.
Laatste 3 weken alleen maar oefenvragen gemaakt met QE (Quantum Exams).

Nu even bijkomen en wachten op mijn endorsement!

paella schreef op donderdag 6 maart 2025 @ 09:45:
Kortdag, maar wel interessant van TryHackMe:

Free SAL1 for BTL1 or CySA+ Holders!

https://www.linkedin.com/...7302367160515911680-N_mE/

"If you hold a BTL1 or CySA+ certification, we’ve got something special for you! 🎉 We’re giving away FREE access to our latest certification, SAL1, because your expertise matters—and we want your feedback!"

🔹 You must hold a BTL1 or CySA+ certification (earned before March 1st, 2025).
🔹 Anyone can apply, but if you are part of a company, a maximum of 3 participants per company apply.
🔹 Your free access to SAL1 is valid until March 31st, 2025, and the certification must be completed before this date.

Ik heb SAL1 vandaag gedaan en gehaald. Moet ik wel eerlijk zijn en zeggen dat het de tweede poging was. De eerst poging wilde ik het toch te snel doen en te weinig informatie in de reports schrijven.

Het is wel leuk en niet al te moeilijk. Ze marketen het dan ook als een beginners-examen en dat klopt wel. Multiple Choice is niet heel moeilijk en de case studies zijn met beetje nadenken ook prima te doen. Heb zelf voordat ik begon voor de tweede keer korte templates geschreven voor de reports en waar nodig de data verandert uiteraard.

ChUcKiE schreef op woensdag 8 januari 2025 @ 16:18:
Security Academy Lead Implementer ISO27001
Security Academy Lead Auditor ISO27001 (verliep via DNV).

Hier heb ik ze gevolgd!

Wat was je ervaring met de Auditor cursus qua lesgeven, nodige voorkennis, studiemateriaal en inhoud? (vraag het voor een vriend).

Ik zag op de website het aanbod van 5 dagen in Woerden van 9-5 uur en dan op de vrijdag een samenvatting en daarna een toets met vragen. Daarna krijg je een certificaat een moet je dat onderhouden?

Odeklontje schreef op zaterdag 19 april 2025 @ 08:15:
[...]
Wat was je ervaring met de Auditor cursus qua lesgeven, nodige voorkennis, studiemateriaal en inhoud? (vraag het voor een vriend).

Ik zag op de website het aanbod van 5 dagen in Woerden van 9-5 uur en dan op de vrijdag een samenvatting en daarna een toets met vragen. Daarna krijg je een certificaat een moet je dat onderhouden?

Yup. Alle ISO270001 certificeringen moet je elke drie jaar verlengen, net als veel andere security certs.

Qua het volgen van een cursus: er zijn meer aanbieders op de markt. Ik heb mijn ISO27001 LI gedaan bij TSTC in Veenendaal, dat was vier dagen achter elkaar en dan kon je op Vrijdag meteen het examen doen als je wilde.

De cursus bij Security Academy doen heeft mogelijk een voordeel: het is vaak één dag per week. Dat geeft je tijd om nog wat huiswerk / leeswerk / onderzoek te doen. Nadeel is dat je dus ook gewoon langer bezig bent.

Wat voor leerkracht je krijgt is afhankelijk van wie er voor die club beschikbaar zijn. Ik ben zelf vaker cursist geweest bij TSTC (beviel goed) en ben betrokken als leerkracht bij Security Academy (bevalt ook goed). Dus, snuffel rond, vraag nog wat meer ervaringen.

Odeklontje schreef op zaterdag 19 april 2025 @ 08:15:
[...]


Wat was je ervaring met de Auditor cursus qua lesgeven, nodige voorkennis, studiemateriaal en inhoud? (vraag het voor een vriend).

Ik zag op de website het aanbod van 5 dagen in Woerden van 9-5 uur en dan op de vrijdag een samenvatting en daarna een toets met vragen. Daarna krijg je een certificaat een moet je dat onderhouden?

Een certificaat voor een (Lead) Auditor training hoef je niet te onderhouden. Alleen als je auditor bent bij een certificerende instantie en daadwerkelijk zelf bedrijven mag certificeren, maar dat gaat dan op basis van ervaring, bijwoningen, tussentijds examens en een aantal verplichte studiedagen per jaar.

[ Voor 4% gewijzigd door Dennisdn op 21-04-2025 08:46 ]

Odeklontje schreef op zaterdag 19 april 2025 @ 08:15:
[...]


Wat was je ervaring met de Auditor cursus qua lesgeven, nodige voorkennis, studiemateriaal en inhoud? (vraag het voor een vriend).

Ik zag op de website het aanbod van 5 dagen in Woerden van 9-5 uur en dan op de vrijdag een samenvatting en daarna een toets met vragen. Daarna krijg je een certificaat een moet je dat onderhouden?

De ervaring was prima, het is handig om vooraf wat te weten over iso27001, verder valt het mee qua voorkennis.
Onderhoud van certificaat is bijna voor elk certificaat “nodig”, dus ook voor deze. Ik ga dat alleen niet doen. Ik doe daar ook geen moeite voor.
Eerlijk gezegd hou ik dat alleen vol voor mijn CISSP (en meteen CCSP).

Godallemachtig, wat een desillusie.

Ik heb vanochtend om 04:00 de handdoek in de ring gegooid, na achttien uren OSCP+. Zeven jaar geleden deed ik m'n OSCP en slaagde ik binnen dertien uur, en nu had ik pas 20 van de 100 punten. Zoals ik op m'n blog schrijf: "This ain't your (grand)mother's OSCP!"... dit was ff andere koek, het is fiks pittiger dan voorheen.

https://www.kilala.nl/index.php?id=2634

Liegebeest schreef op zaterdag 26 april 2025 @ 10:37:
Godallemachtig, wat een desillusie.

Ik heb vanochtend om 04:00 de handdoek in de ring gegooid, na achttien uren OSCP+. Zeven jaar geleden deed ik m'n OSCP en slaagde ik binnen dertien uur, en nu had ik pas 20 van de 100 punten. Zoals ik op m'n blog schrijf: "This ain't your (grand)mother's OSCP!"... dit was ff andere koek, het is fiks pittiger dan voorheen.

https://www.kilala.nl/index.php?id=2634

Je website lijkt bij mij niet te willen laden of echt Heeeel erg langzaam
Wordt je ouderwets ge-slash-dot?

Maar vervelend dat je het niet gehaald hebt, ben benieuwd naar je blog!
Edit2: Ik heb je blog nu gelezen. Ik heb waardering voor je openheid! Je ziet waar je kan en moet verbeteren en dus gaat het de volgende keer beter! Heb jij een deadline opgelegd gekregen of ben je zelf te vroeg gestart met het examen?

_{edit: Vanaf mijn telefoon via 5g werkt het inderdaad supersnel. Via Odido fiber voor geen meter. rond de 100ms latency en 31% packetdrops. Andere destinations hebben er geen last van. Maar ik ga dit topic verder niet kapen. Het zal vast wel een peering issue van Odido richting je hosting zijn.}

[ Voor 32% gewijzigd door Hennie-M op 26-04-2025 12:28 ]

Euh, bij mij doet ie't gewoon goed en snel. Maar wel goed dat je me herinnert een backup te maken; dat is te lang geleden en dat stukje zelfbouw CMS zal een echte hack/pentest niet weerstaan.

Liegebeest schreef op zaterdag 26 april 2025 @ 10:37:
Godallemachtig, wat een desillusie.

Ik heb vanochtend om 04:00 de handdoek in de ring gegooid, na achttien uren OSCP+. Zeven jaar geleden deed ik m'n OSCP en slaagde ik binnen dertien uur, en nu had ik pas 20 van de 100 punten. Zoals ik op m'n blog schrijf: "This ain't your (grand)mother's OSCP!"... dit was ff andere koek, het is fiks pittiger dan voorheen.

https://www.kilala.nl/index.php?id=2634

Niet leuk om te horen! Ik heb t/m januari toegang tot alles en heb dus nog even de tijd gelukkig. Hoop te doen nog wel, veel oefenen. Wat ga jij nu doen?

paella schreef op zaterdag 26 april 2025 @ 12:44:
[...]

Wat ga jij nu doen?

Als de donder toch mijn examen-verslag schrijven. Ik ging dat eerst niet doen, maar dat is dom: dan laat ik een kans op feedback liggen, waar ik al voor heb betaald!

Dus...

1. Rapport schrijven en inleveren
2. Volgende week drie dagen lesgeven
3. Herpakken en een plan bedenken voor de rest van het jaar
4. Waarschijnlijk de rest van het jaar: CPTS studie path, daarna HTB Labs en mogelijk OffSec Labs.
5. Hopelijk voor het eind van het jaar CPTS examen.

De grootste uitdaging die ik heb is dat mijn huidige werk en opdrachten helemaal niet meer in deze richting liggen. Daarom ben ik ook zo enorm out of practice.

EDIT:

Vier uur later, 35 pagina's aan rapport (excl. appendices) ingediend. Wat een boekwerk, stel je voor dat ik meer succes had gehad in de labs!

[ Voor 8% gewijzigd door Liegebeest op 26-04-2025 17:04 ]

Liegebeest schreef op zaterdag 26 april 2025 @ 10:37:
Godallemachtig, wat een desillusie.

Ik heb vanochtend om 04:00 de handdoek in de ring gegooid, na achttien uren OSCP+. Zeven jaar geleden deed ik m'n OSCP en slaagde ik binnen dertien uur, en nu had ik pas 20 van de 100 punten. Zoals ik op m'n blog schrijf: "This ain't your (grand)mother's OSCP!"... dit was ff andere koek, het is fiks pittiger dan voorheen.

https://www.kilala.nl/index.php?id=2634

Wat fijn dat je jouw ervaringen deelt voor iedereen die geïnteresseerd is. In je blog schrijf je dat je het prettig vindt om feedback te krijgen op je rapport. Uit mijn ervaring blijkt echter dat Offsec geen inhoudelijke feedback geeft—je ontvangt alleen een e-mail met de uitslag.

Ik ken veel collega’s die dagelijks vergelijkbaar werk doen, maar toch moeite hebben met het examen en meerdere pogingen nodig hebben. Sommigen slagen er zelfs helemaal niet in om het te halen. Ik wil ook niet generaliseren. Voor iedereen is het ook weer anders.

Liegebeest schreef op zaterdag 26 april 2025 @ 13:01:
[...]

Als de donder toch mijn examen-verslag schrijven. Ik ging dat eerst niet doen, maar dat is dom: dan laat ik een kans op feedback liggen, waar ik al voor heb betaald!

Dus...

1. Rapport schrijven en inleveren
2. Volgende week drie dagen lesgeven
3. Herpakken en een plan bedenken voor de rest van het jaar
4. Waarschijnlijk de rest van het jaar: CPTS studie path, daarna HTB Labs en mogelijk OffSec Labs.
5. Hopelijk voor het eind van het jaar CPTS examen.

De grootste uitdaging die ik heb is dat mijn huidige werk en opdrachten helemaal niet meer in deze richting liggen. Daarom ben ik ook zo enorm out of practice.

"Leuk" om te lezen @Liegebeest interessant om te zien wat voor impact het heeft als je er even een tijdje uit bent inderdaad. Was lang geleden dat ik je blog voorbij heb zien komen. Houd er wel rekening mee dat OSCP (zoals je weet) een typisch examen is waarbij teveel kennis je enorm dwars kan zitten. Ik had een collega die jaren succesvol pentesting deed voor grote organisaties maar toch 7x gezakt is voor zijn OSCP omdat hij gewoon te vaak het "Rabbithole" syndroom had omdat hij gewoon te veel wist.

Bij OSCP is het echt de kunst om je tot de lesstof te beperken en dat goed te kunnen toepassen in verschillende situaties.

Daarnaast ik hoor hele goede dingen over CPTS maar de stof is op sommige vlakken minder en op sommige vlakken meer als de OSCP stof, dus ook hier is kennis beperking de kunst ( wel super benieuwd wat je ervan gaat vinden.

Liegebeest schreef op zaterdag 26 april 2025 @ 13:01:
[...]

Vier uur later, 35 pagina's aan rapport (excl. appendices) ingediend. Wat een boekwerk, stel je voor dat ik meer succes had gehad in de labs!

35 Pagina's maar Slacker

Liegebeest schreef op zaterdag 26 april 2025 @ 10:37:
Godallemachtig, wat een desillusie.

Ik heb vanochtend om 04:00 de handdoek in de ring gegooid, na achttien uren OSCP+. Zeven jaar geleden deed ik m'n OSCP en slaagde ik binnen dertien uur, en nu had ik pas 20 van de 100 punten. Zoals ik op m'n blog schrijf: "This ain't your (grand)mother's OSCP!"... dit was ff andere koek, het is fiks pittiger dan voorheen.

https://www.kilala.nl/index.php?id=2634

Ai balen man! Wat was de reden dat je opnieuw OSCP bent gaan doen? Je OSCP is altijd geldig, of heb je de wens/vraag om OSCP+ gecertificeerd te blijven?
Ik heb in 2023 mijn OSCP gehaald, vlak voordat ze OSCP+ aankondigde. Ik kon toen voor een 'klein' bedrag opnieuw OSCP+ examen doen, maar ik vond dat het niet waard, ik ben niet van plan om die + bij te houden. (Dat doe ik wel door veel te pentesten)

Kip schreef op dinsdag 29 april 2025 @ 09:13:
[...]
Ik ken veel collega’s die dagelijks vergelijkbaar werk doen, maar toch moeite hebben met het examen en meerdere pogingen nodig hebben. Sommigen slagen er zelfs helemaal niet in om het te halen. Ik wil ook niet generaliseren. Voor iedereen is het ook weer anders.

Ik vond OSCP best meevallen, maar misschien heb ik gewoon veel geluk gehad met een makkelijke set ofzo? Ik heb in de voorbereiding het offsec materiaal doorgenomen (inclusief training bij TSTC) en de 3(2?) test-examenlabs gedaan die je van offsec krijgt. Tijdens het examen was het wel even puzzelen, maar uiteindelijk alle machines kunnen rooten. Heb ook nog 6 uurtjes geslapen, al was dat wel nadat ik al 80 punten had, daardoor lukte het wel om m'n ogen dicht te doen

Verder had ik nog niet veel ervaring met pentesten, wel veel windows ervaring omdat ik jaren systeembeheerder was, maar voor wat betreft het hacken was CEH mijn enige ervaring.

GeleFles schreef op dinsdag 29 april 2025 @ 13:24:
[...]

Verder had ik nog niet veel ervaring met pentesten, wel veel windows ervaring omdat ik jaren systeembeheerder was, maar voor wat betreft het hacken was CEH mijn enige ervaring.

He, dankjewel, dit geeft mij hoop.

Even een snarf&barf van m'n LinkedIn en Reddit:

CertNexus CSC-210 has been on the DoD 8140 list for a while, for positions requiring secure coding skills. The certification itself isn't very well known, it was recently reviewed on r/cybersecurity by u/7alen7 here -> https://www.reddit.com/r/...xam_discussion/?rdt=62757

CertNexus are working on the successor to CSC-210, called CSSD-110: Cyber Secure Software Developer. They're opening the public beta-test of the exam per May 1st. Anyone can apply, they'll want you to write a little about why you want to do the beta. As far as I know it'll be a free exam

Info and beta application here -> https://certnexus.com/cyber-secure-software-developer/

@Liegebeest Kan het zijn dat je RSS feed het al een tijd niet werkt?

paella schreef op vrijdag 2 mei 2025 @ 11:22:
@Liegebeest Kan het zijn dat je RSS feed het al een tijd niet werkt?

Dat zou zomaar kunnen...

Is dat een nette hint dat ik daar datalek? Ik ga eens kijken.

EDIT:
Ah, gelukkig niet... maar idd, de scripting er achter werkt niet meer goed. Dat moest ik maar eens fixen, bedankt voor de bug report!

[ Voor 20% gewijzigd door Liegebeest op 02-05-2025 11:29 ]

Liegebeest schreef op vrijdag 2 mei 2025 @ 11:28:
[...]

Is dat een nette hint dat ik daar datalek? Ik ga eens kijken.

Inderdaad nee, geen datalek oid. Maar ik lees vaak met interesse de artikelen en realiseerde met de laatste link die je hier postte dat ik m niet in mijn rss feed langs heb zien komen.

Ik ga d'r dit weekend ff naar kijken. Bedankt voor je heads-up!

Liegebeest schreef op vrijdag 2 mei 2025 @ 12:14:
Ik ga d'r dit weekend ff naar kijken. Bedankt voor je heads-up!

Het werkt inderdaad weer.

[ Voor 5% gewijzigd door Jazzy op 14-05-2025 16:26 . Reden: funvtie verwijderd ]

Ecablynx schreef op dinsdag 13 mei 2025 @ 17:13:
***members only***

Geen ervaring met assessments van SANS. Vermoed dat het een van deze is: https://www.sans.org/cybersecurity-assessments ?

@Ecablynx

[ Voor 49% gewijzigd door Jazzy op 14-05-2025 16:11 . Reden: Informatie over functie verwijderd ]

@BytePhantomX Ik heb jouw bericht even geknipt omdat je onbedoeld nog meer aandacht op het probleem vestigt.

@Ecablynx Uit jouw bericht heb ik de functie verwijderd aangezien BytePhantomX je er op wijst dat je geacht wordt die informatie niet bekend te maken.

BytePhantomX schreef op woensdag 14 mei 2025 @ 15:54:
@Ecablynx


***members only***

[ Voor 5% gewijzigd door Ecablynx op 14-05-2025 16:47 ]

Ik wil mijn kennis rondom IT-risk, risicomanagement (vanuit ISO27001-NEN7510) vergroten, om zo IT-risicomanagement beter in te kunnen zetten binnen onze zorgorganisatie, die zelf nog niet zo heel volwassen is binnen het IB-domein. Ik heb al de Implementer en Lead Audit 27001 gevolgd, maar ben nu specifiek opzoek naar cursus op het gebied van IT Risicomanagement.

Ik heb zelf al wel wat gevonden, bijvoorbeeld:
- https://www.tstc.nl/train...nance-risk-compliance-grc
-https://www.imfacademy.co...so-27005-risk-manager.php
- https://www.imfacademy.com/nl/cyber-it-security/crisc.php

Ik ben op zoek naar een cursus in het nederlands, gericht op ISO27001/NEN-7510.

Iemand hier nog tips, of een van deze cursussen zelf gevolgd? Ik ben benieuwd naar ervaringen!

ChUcKiE schreef op donderdag 22 mei 2025 @ 11:57:
Ik wil mijn kennis rondom IT-risk, risicomanagement (vanuit ISO27001-NEN7510) vergroten, om zo IT-risicomanagement beter in te kunnen zetten binnen onze zorgorganisatie, die zelf nog niet zo heel volwassen is binnen het IB-domein. Ik heb al de Implementer en Lead Audit 27001 gevolgd, maar ben nu specifiek opzoek naar cursus op het gebied van IT Risicomanagement.

Ik heb zelf al wel wat gevonden, bijvoorbeeld:
- https://www.tstc.nl/train...nance-risk-compliance-grc
-https://www.imfacademy.co...so-27005-risk-manager.php
- https://www.imfacademy.com/nl/cyber-it-security/crisc.php

Ik ben op zoek naar een cursus in het nederlands, gericht op ISO27001/NEN-7510.

Iemand hier nog tips, of een van deze cursussen zelf gevolgd? Ik ben benieuwd naar ervaringen!

Wat wil je precies leren? Risico’s zelf identificeren, of risicoprocessen implementeren, met richting strategie of juist operationeel?

Orangelights23 schreef op donderdag 22 mei 2025 @ 13:01:
[...]


Wat wil je precies leren? Risico’s zelf identificeren, of risicoprocessen implementeren, met richting strategie of juist operationeel?

Klinkt misschien vreemd, maar een "allesomvattende" cursus, waarin het volledige risicomanagement proces doorlopen wordt. Dus Vanaf Business Impact Analyse -> Bedreigingen Kwetsbaarheden analyse -> Bepalen beveiligingsmaatregelen en restrisico's -> Goedkeuren en accepteren restrisico's.
Uitgangspunt is dat ik het proces zelf mag uitvoeren in onze organisatie. Ik kan er weinig van delegeren.

ChUcKiE schreef op donderdag 22 mei 2025 @ 13:20:
[...]


Klinkt misschien vreemd, maar een "allesomvattende" cursus, waarin het volledige risicomanagement proces doorlopen wordt. Dus Vanaf Business Impact Analyse -> Bedreigingen Kwetsbaarheden analyse -> Bepalen beveiligingsmaatregelen en restrisico's -> Goedkeuren en accepteren restrisico's.
Uitgangspunt is dat ik het proces zelf mag uitvoeren in onze organisatie. Ik kan er weinig van delegeren.

Dan zou ik eens naar CRISC kijken. Wel heel Amerikaans, maar het geeft een goed inzicht in het gehele proces. In de basis is het een heel gestructureerd proces volgens de theorie, en zolang je met control frameworks werkt, heb je in feite reeds je risico’s.

Verder zijn 27005 en 31000 een kwestie van het lezen, het is goed te koppelen aan standaard projectmanagementmethodes. Een paar avonden video’s op YouTube kijken is voor velen al genoeg, zeker omdat het zo’n integraal onderdeel is van informatiebeveiliging

BytePhantomX schreef op donderdag 22 mei 2025 @ 16:27:
[...]


NIST SP800-31 rev 1. Dit is echt super taaie kost, maar zo ontzettend waardevol. Het is in ieder geval voor mij de leidraad voor het uitvoeren van risk assessments in het cybersecurity vakgebied. https://csrc.nist.gov/pubs/sp/800/30/r1/final. Als je een beetje er doorheen komt en het toepasbaar maakt voor jouw organisatie, dan is het ontzettend praktisch en gestructureerd en veel beter dan een generieke kans x impact aanpak. In dit plaatje zit die generieke kans x impact ook, alleen dan verwerkt in het blokje 'adverse impact'.

[Afbeelding]

Ik zou echter niet weten waar dit in een cursus verwerkt is en dan ook nog in het Nederlands.

(Ben overigens benieuwd naar andere of ze deze kennen, gebruiken of wat van vinden)

Ik gebruik dit niet specifiek, maar in de praktijk verschilt het niet veel van een klassieke kans x impact-benadering verrijkt met een cyclische aanpak (die organisaties vaak al hebben via een PDCA-cycle). Het idee is eigenlijk hetzelfde, alleen voeg je er meer ‘meetbare’ variabelen aan toe om de analyse te verrijken en een cyclisch proces voor riskmanagement (vaak ook al geborgd in andere processen). Als je dit concept in het extreme wilt zien, kijk dan eens naar IRAM2. Ik heb daar jaren geleden een risicoanalyse mee gedaan. Het werkt echt fantastisch, mits je alle variabelen goed en concreet kunt kwantificeren. Maar zodra bepaalde variabelen vaag blijven, wordt het al snel overkill.

Mijn ervaring is dat het zelden zinvol is om verder te gaan dan de basis van kans x impact, eventueel aangevuld met een paar relevante (risk) variabelen die ik als consultant inbreng. Vaak is de organisatie simpelweg nog niet volwassen genoeg om op dat niveau iets te doen met de uitkomsten en sluit een simpelere variant goed aan bij een enterprise breed risk management beleid. In de meeste gevallen is een simpele kans x impact-analyse, gecombineerd met de bestaande controls, een prima vertrekpunt om mee aan de slag te gaan. Dat gezegd hebbende: als je wél die extra diepgang kunt realiseren, dan begint riskmanagement pas echt interessant te worden en dan wordt het eigenlijk pas leuk

@Faust1946 thanks, ik ga eens beter naar IRAM2 kijken.

Wat ik in de meer klassieke risk management aanpak vak mis is dat je te maken hebt met bijvoorbeeld dreiginsactoren die een bepaalde intentie en capability hebben. Die worden dan vaak niet meegenomen, (alhoewel je die onder kans kan scharen). SP800-30r1 levert in de documentatie concrete voorbeelden aan waar je rekening mee kan houden wat het m.i. dan weer heel praktisch uitvoerbaar maakt.

Overigens pas ik het conceptueel toe, niet naar de letter zoals het beschreven is. Anders is het ook weer onwerkbaar of heel bureaucratisch.

BytePhantomX schreef op donderdag 22 mei 2025 @ 17:21:
@Faust1946 thanks, ik ga eens beter naar IRAM2 kijken.

Wat ik in de meer klassieke risk management aanpak vak mis is dat je te maken hebt met bijvoorbeeld dreiginsactoren die een bepaalde intentie en capability hebben. Die worden dan vaak niet meegenomen, (alhoewel je die onder kans kan scharen). SP800-30r1 levert in de documentatie concrete voorbeelden aan waar je rekening mee kan houden wat het m.i. dan weer heel praktisch uitvoerbaar maakt.

Overigens pas ik het conceptueel toe, niet naar de letter zoals het beschreven is. Anders is het ook weer onwerkbaar of heel bureaucratisch.

IRAM2 gaat inderdaad vrij concreet in op alle variabelen en kent scores toe aan zaken als capabilities en motivatie om zo tot een inschatting van kans en impact te komen. Daarmee maak je subjectieve elementen soms net wat objectiever en beter meetbaar.

Ik denk dat jouw aanpak inderdaad lekker pragmatisch is. Zelf gebruik ik ook regelmatig onderdelen daarvan om riskscenario’s te schetsen — vooral om de business te prikkelen en uit te dagen in hun denken.

Het ding is dat risico management veelal gebaseerd is op onderbuikgevoel. Je hebt geen idee wat de daadwerkelijke risico’s zijn, je kiest meestal risico’s waarvan je denkt dat het nu een probleem is, kans keer impact is veel te abstract en je hebt vaak zwaar onvoldoende inzicht in de daadwerkelijke dreigingen. Het biedt daardoor heel klein en beperkt toegevoegde waarde.

Al met al genoeg reden om het control gebaseerd te doen, waarbij je de kennis van bestaande frameworks gebruikt om de beheersmaatregelen direct te koppelen aan risico’s en vice versa.

(Heb hier een tijdje een paar keer over gesproken op conferenties en 9 van de 10 keer hoorde ik daarna “wtf zaten we moeilijk te doen :P”)

Orangelights23 schreef op donderdag 22 mei 2025 @ 20:49:
Het ding is dat risico management veelal gebaseerd is op onderbuikgevoel. Je hebt geen idee wat de daadwerkelijke risico’s zijn, je kiest meestal risico’s waarvan je denkt dat het nu een probleem is, kans keer impact is veel te abstract en je hebt vaak zwaar onvoldoende inzicht in de daadwerkelijke dreigingen. Het biedt daardoor heel klein en beperkt toegevoegde waarde.

Al met al genoeg reden om het control gebaseerd te doen, waarbij je de kennis van bestaande frameworks gebruikt om de beheersmaatregelen direct te koppelen aan risico’s en vice versa.

(Heb hier een tijdje een paar keer over gesproken op conferenties en 9 van de 10 keer hoorde ik daarna “wtf zaten we moeilijk te doen :P”)

Eens, ik vind het vooral een nuttige exercitie om met die input kritisch te kunnen kijken naar controls, designs, contractuele afspraken etc. Maar ik maak het ook zelden erg ingewikkeld, je kan beter concentreren op de zaken die je in de hand hebt.

Op de valreep net gemist:

https://engage.isaca.org/...67-45bc-81d2-01971787be05

ISACA zijn een AI security cert aan het beta-testen.

Liegebeest schreef op maandag 16 juni 2025 @ 14:38:
Op de valreep net gemist:

https://engage.isaca.org/...67-45bc-81d2-01971787be05

ISACA zijn een AI security cert aan het beta-testen.

Goed verdienmodel zo'n beta. Ze hebben max 300 plekken.

If participants would like additional exam prep, they will be able to purchase an AAISM Certification Questions, Answers, and Explanations Database (QAE) for an additional $199. Purchase of this product is not required to participate in the beta.

Approved volunteers must purchase the beta exam for US $399.

Toch weer 400/600 dollar per tester.

Ik zou opzich wel geintereseerd zijn in de QAE. Het certificaat is voor mij minder relevant en zou ook niet helemaal recht doen aan mijn (beperkte) kennis van AI.

Ontopic vraag:
Iemand nog een leuke cursus/online training/mooi startpunt voor OSINT? (of moet ik dit sowieso maar zelf uitzoeken gezien het onderwerp ).

Stufferdt schreef op maandag 16 juni 2025 @ 14:59:
[...]

Goed verdienmodel zo'n beta. Ze hebben max 300 plekken.

...

Approved volunteers must purchase the beta exam for US $399.

Benieuwd wat het examen uiteindelijk gaat kosten. De meeste beta's die ik doe zijn een stuk goedkoper, soms zelfs gratis.

Heeft iemand nog een goede tip voor een CRISC examenvoucher? Bij securityacademy.nl is het 625 ex en dan ook nog een keer de vragen bundle kopen bij ISACA. Heb me net aangemeld bij ISACA en de chapter kosten eveneens betaald. Dan zijn we zo 1100 verder (zzp).

loewie1984 schreef op maandag 16 juni 2025 @ 21:06:
Heeft iemand nog een goede tip voor een CRISC examenvoucher? Bij securityacademy.nl is het 625 ex en dan ook nog een keer de vragen bundle kopen bij ISACA. Heb me net aangemeld bij ISACA en de chapter kosten eveneens betaald. Dan zijn we zo 1100 verder (zzp).

Volgens mij vind je het niet goedkoper. Ik zou het gewoon via ISACA aanschaffen – je krijgt nog korting ook, omdat je al de chapterkosten hebt betaald. Misschien kent iemand nog een omweg via een of andere affiliatie. Het zou je eenmalig zo’n 100 euro kunnen schelen, maar met het belastingvoordeel als ZZP’er lijkt het me de moeite niet waard om het mogelijke gezeik dat erbij komt kijken op te zoeken.

[ Voor 15% gewijzigd door Faust1946 op 16-06-2025 21:19 ]

Stufferdt schreef op maandag 16 juni 2025 @ 14:59:
[...]
Ontopic vraag:
Iemand nog een leuke cursus/online training/mooi startpunt voor OSINT? (of moet ik dit sowieso maar zelf uitzoeken gezien het onderwerp ).

Je zou eens kunnen kijken naar TCM Security. Die bieden een aantal cursussen waaronder OSINT fundamentals voor een hele betaalbare prijs (volgens mij nu 15 euries per maand?).

Voordat ik mijn OSCP haalde ben ik bij TCM door een aantal van die cursussen gevlogen. Goede stof en duidelijk uitgelegd. Je moet dan wel van filmpjes houden.

b0nkel schreef op vrijdag 20 juni 2025 @ 08:55:
[...]
Goede stof en duidelijk uitgelegd. Je moet dan wel van filmpjes houden.

Zolang ze niet AI generated zijn, is dat vaak best prettig.

PDSO en anderen maakten aanvankelijk filmpjes waarin de trainer zelf alles nog insprak en je'm vaak in beeld zag. Dat is prettig. PDSO is daarna overgestapt naar wel de slides maken, maar een voice-over laten maken met AI. Ik snap waarom, dan is het maken van aanpassingen tussentijds veel gemakkelijker. Zij blijven echter volhouden dat ze een voice actor hadden ingehuurd.

Maar het allerergste zijn de YouTube kanalen waarbij ze AI gebruiken voor de slides, de stem en voor het gezicht dat je ziet praten.

Iemand toevallig bekend met goede CIS Controls trainingen? Werk er al jaren mee bij kleinere bedrijven en vaak discussies met de iso/ciso over de uitvoering ben wel is benieuwd hoe andere dit aanpakken. Pak het zelf vooral op operationeel niveau op en dan is er vaak discussie op het auditten van de controls aangezien ik vindt dat je verschil hebt in de proces volwassenheid en de technische controls.

Er zijn wel wat SANS trainingen maar vindt 8k iets te prijzig voor een bijspijker training.
https://www.sans.org/cybe...ng-auditing-cis-controls/

[ Voor 33% gewijzigd door NLKornolio op 20-06-2025 16:46 ]

NLKornolio schreef op vrijdag 20 juni 2025 @ 16:44:
Iemand toevallig bekend met goede CIS Controls trainingen? Werk er al jaren mee bij kleinere bedrijven en vaak discussies met de iso/ciso over de uitvoering ben wel is benieuwd hoe andere dit aanpakken. Pak het zelf vooral op operationeel niveau op en dan is er vaak discussie op het auditten van de controls aangezien ik vindt dat je verschil hebt in de proces volwassenheid en de technische controls.

Er zijn wel wat SANS trainingen maar vindt 8k iets te prijzig voor een bijspijker training.
https://www.sans.org/cybe...ng-auditing-cis-controls/

Welke info zoek je precies? De controls zelf zijn redelijk simplistisch en high level, ben je op zoek naar concrete implementaties, of hoe je de effectiviteit meet, of hoe je ze combineert met CMMI (control maturity)? De meeste info is online te vinden en ook ChatGPT biedt enorm veel informatie hierover.

Ik zou hier geen geld aan uitgeven, de meeste cursussen zijn enorm basic en waarschijnlijk heb je deze info al.

Orangelights23 schreef op vrijdag 20 juni 2025 @ 18:26:
[...]


Welke info zoek je precies? De controls zelf zijn redelijk simplistisch en high level, ben je op zoek naar concrete implementaties, of hoe je de effectiviteit meet, of hoe je ze combineert met CMMI (control maturity)? De meeste info is online te vinden en ook ChatGPT biedt enorm veel informatie hierover.

Ik zou hier geen geld aan uitgeven, de meeste cursussen zijn enorm basic en waarschijnlijk heb je deze info al.

Ik weet het wil alleen een keer mijn ervaring vanuit technische security engineer verifieren met een "goede" ciso. Helaas nog geen ervaring met een goede ciso gehad. Ik wil vooral erg diep en de hele scope dichtbouwen met een cis control. Bijvoorbeeld rbac ja je kan je safeguard completen door te zeggen ik heb mijn admin roles met rbac gebouwd. Ik gooi het op segmentatie van je admin accounts en het hele functie huis. Maar sparren zou ook kunnen inderdaad. Ik gooi hem wel een keer in de cybermeister groep

NLKornolio schreef op vrijdag 20 juni 2025 @ 20:30:
[...]

Ik weet het wil alleen een keer mijn ervaring vanuit technische security engineer verifieren met een "goede" ciso. Helaas nog geen ervaring met een goede ciso gehad. Ik wil vooral erg diep en de hele scope dichtbouwen met een cis control. Bijvoorbeeld rbac ja je kan je safeguard completen door te zeggen ik heb mijn admin roles met rbac gebouwd. Ik gooi het op segmentatie van je admin accounts en het hele functie huis. Maar sparren zou ook kunnen inderdaad. Ik gooi hem wel een keer in de cybermeister groep

Stuur gerust een DM, ik weet niet of ik een goede CISO ben, maar ik ben nog nooit ontslagen bij de banken en fintechs waar ik bij heb gewerkt .

Zonder verder iets van je context te weten, is een risico assessment een perfect hulpmiddel om dit te identificeren. Organisatiebreed, of elke andere scope pakkende, kun je een assessment uitvoeren en maatregelen identificeren om risico’s te mitigeren, koppelend aan CIS controls.

NLKornolio schreef op vrijdag 20 juni 2025 @ 16:44:
Er zijn wel wat SANS trainingen maar vindt 8k iets te prijzig voor een bijspijker training.
https://www.sans.org/cybe...ng-auditing-cis-controls/

Die van SANS heb ik indertijd gedaan en die was wel erg leuk. Heel veel goede discussies en een mooi examen ook. Daar ligt de waarde van die cursus: de interactie met de leerkracht en met alle anderen in de zaal.

Als je net als ik 'm weet te doen via het Work-Study programma dan wordt die 8k plots veel kleiner. SEC566 was vergelijkbaar met wat jij zoekt, die ging van 8k naar 1.3k. LDR521 was 12k en ging naar 2.3k.

• Mijn ervaring als facilitator voor LDR521.
• Mijn ervaring als facilitator voor SEC566.

[ Voor 5% gewijzigd door Liegebeest op 21-06-2025 08:26 ]

NLKornolio schreef op vrijdag 20 juni 2025 @ 20:30:
[...]

Ik weet het wil alleen een keer mijn ervaring vanuit technische security engineer verifieren met een "goede" ciso. Helaas nog geen ervaring met een goede ciso gehad. Ik wil vooral erg diep en de hele scope dichtbouwen met een cis control. Bijvoorbeeld rbac ja je kan je safeguard completen door te zeggen ik heb mijn admin roles met rbac gebouwd. Ik gooi het op segmentatie van je admin accounts en het hele functie huis. Maar sparren zou ook kunnen inderdaad. Ik gooi hem wel een keer in de cybermeister groep

Bij dit soort discussie rijst bij mij altijd de vraag, waarom implementeer je een control? Is dat voor een vinkje van de auditor, of wil je daadwerkelijk risico's mitigeren. En in dat laatste geval, wat is dan het risico. Van genoeg actoren is prima beschreven wat ze precies doen (https://attack.mitre.org/) en dan kun je dus ook de CIS control naast de aanvalstechnieken leggen om te kijken of die control wel van invloed is op de dreiging die je wilt mitigeren. Er zijn volgens mij ook meerdere mappings tussen CIS controls en MITRE.

Zomaar alle CIS controls (tot het extreme) implementeren is natuurlijk heel veilig, maar past het wel bij de context van het bedrijf en de dreiging die er is. Voorbeeld: network access control is en hele krachtige control om fysieke toegang tot je netwerk te controleren. Echter wel duur en complex en m.i. geen prio als je belangrijkste dreiging komt van Ransomware aanvallen. En is spionage een belangrijke dreiging, dan zou ik weer geen genoegen nemen met de CIS controls. Dan moet je veel verder gaan in je maatregelen.

Ps waar ik met CIS overigens echt heel veel moeite mee heb is de nummering. Het lijkt voor sommigen een volgordelijkheid te zijn, alsin eerst control 1 helemaal doen voor je naar control 2 gaat. En als je dat doet, komen de meeste bedrijven niet toe aan control 2, laat staan nummer 3.
Ik weet dat het niet zo bedoeld is, maar te vaak gezien dat er op die manier naar de controls werd gekeken.

[ Voor 14% gewijzigd door BytePhantomX op 21-06-2025 11:02 ]

BytePhantomX schreef op zaterdag 21 juni 2025 @ 10:59:
[...]
Ik weet dat het niet zo bedoeld is, maar te vaak gezien dat er op die manier naar de controls werd gekeken.

Toegegeven, ik ben altijd wel erg blij geweest dat op #1 "asset management" stond, want dat is iets dat een heleboel bedrijven echt niet goed doen en daar zonder wordt beveiliging wel erg moeilijk.

Liegebeest schreef op zaterdag 21 juni 2025 @ 14:38:
[...]

Toegegeven, ik ben altijd wel erg blij geweest dat op #1 "asset management" stond, want dat is iets dat een heleboel bedrijven echt niet goed doen en daar zonder wordt beveiliging wel erg moeilijk.

Het is een zeker basis, maar hoever ga je? En wat is de context?

Als je met staatsgeheimen werkt, dan is het labelen en in je CMDB zetten van muizen, toetsenborden, schermen etc. redelijk relevant. Is je belangrijkst dreiging ransomware, dan zou ik na het in kaart brengen van je internet facing assets en je domain controllers, toch al snel ook naar de andere controls gaan kijken. En daarmee bedoel ik niet dat je niet verder moet gaan met het in kaart brengen, maar zou andere prioriteiten stellen.

Bijvoorbeeld t.a.v. monitoring, dan kun je echt al wat doen zonder dat al je assets in kaart zijn en ik zou niet wachten tot je control 1 afhebt voor je monitoring implementeert. Idem voor pentesten, die kunnen je helpen met het stellen van prio's.

[ Voor 12% gewijzigd door BytePhantomX op 21-06-2025 15:15 ]

BytePhantomX schreef op zaterdag 21 juni 2025 @ 15:13:
[...]
Bijvoorbeeld t.a.v. monitoring, dan kun je echt al wat doen zonder dat al je assets in kaart zijn en ik zou niet wachten tot je control 1 afhebt voor je monitoring implementeert. Idem voor pentesten, die kunnen je helpen met het stellen van prio's.

Kan niets anders dan zeggen: "eens".

BytePhantomX schreef op zaterdag 21 juni 2025 @ 10:59:
[...]

Zomaar alle CIS controls (tot het extreme) implementeren is natuurlijk heel veilig, maar past het wel bij de context van het bedrijf en de dreiging die er is. Voorbeeld: network access control is en hele krachtige control om fysieke toegang tot je netwerk te controleren. Echter wel duur en complex en m.i. geen prio als je belangrijkste dreiging komt van Ransomware aanvallen. En is spionage een belangrijke dreiging, dan zou ik weer geen genoegen nemen met de CIS controls. Dan moet je veel verder gaan in je maatregelen.

Ik ben het helemaal eens met je verhaal hoor. Maar het gaat er wel vanuit dat een organisatie helder in beeld heeft waar de dreiging precies vandaan komt. In de praktijk heb ik zelden voor bedrijven gewerkt die dat goed hebben uitgewerkt, laat staan dat ze het met harde onderbouwing kunnen aantonen (en dat waren echt niet de kleinste organisaties…).

Soms is er wel iets van een beeld, maar als je doorvraagt naar de bron of onderbouwing, prik je er vaak zo doorheen. En dat is ergens ook logisch, want het is lastig.

Wat ik lastig vind, is de vertaalslag van de ideale theorie naar de weerbarstige praktijk. Vaak is het al een enorme uitdaging om basale maatregelen goed te implementeren in een complexe omgeving. Dan kom je nauwelijks toe aan het verfijnen van je control effort op basis van risico’s en dreigingen.

b0nkel schreef op vrijdag 20 juni 2025 @ 08:55:
[...]

Je zou eens kunnen kijken naar TCM Security. Die bieden een aantal cursussen waaronder OSINT fundamentals voor een hele betaalbare prijs (volgens mij nu 15 euries per maand?).

Voordat ik mijn OSCP haalde ben ik bij TCM door een aantal van die cursussen gevlogen. Goede stof en duidelijk uitgelegd. Je moet dan wel van filmpjes houden.

Goede tip! Thanks. Dit ziet er wel nuttig uit. Ik ga eens kijken of ik een abbonementje kan declareren

Ik heb vandaag de beta-test gedaan van CSD-110, het examen voor CertNexus' cyber secure software developer. Het is de opvolger van CSC-210, de secure coding cursus die ik nu zes keer heb gegeven.

Heel in het kort: het was goed!

Iets langer: https://www.kilala.nl/index.php?id=2639

===

In ander nieuws, r/comptia is nu een enorme shit storm. Men is in paniek omdat iemand kwam vertellen dat diens Security+ is ingetrokken door CompTIA. Paniek over van alles!

• Hoe is dit mogelijk?!
• Waarom pas na negen maanden?!
• Waar halen ze het lef vandaan, waarom bepalen zij wat ethisch is?
• Waarom tonen ze geen bewijs?
• Ze gebruiken vast AI / slechte algoritmes!
• Ze bespioneren je en kijken welke sites je bezoekt! Of ze maken zelfs honey pots!
• Hoezo, wat zijn exam dumps? Ik heb er nog nooit van gehoord!
• Hoezo mag ik geen exam dumps gebruiken?! Ik gebruik alle leermiddelen die ik kan vinden!
• Exam dumps zijn geen vals spel, het is ook gewoon studeren! Je leert toch wat ze willen weten?!
• Maar hoe weet ik of ik een dump gebruik?!
• Ben ik nu in gevaar?!
• Oh dus we moeten CompTIA zeker voor alle materialen betalen en mogen zeker niets anders gebruiken!

Enzovoorts, enzovoorts, enzovoorts.

Liegebeest schreef op donderdag 7 november 2024 @ 13:35:
Geen security, maar wel certificering. En gewoon even een Engelse copy/pasta:

CompTIA have opened the public beta for the new version of their Linux certification.

As is tradition, I've done a comparison of the upcoming Linux+ beta objectives, to the current set. I'm not as pleased with XK1-006, as I was with 005 at the time. -> https://www.kilala.nl/index.php?id=2609

I'm taking the beta exam tomorrow, then we'll see how I feel about the exam they've built.

De uitslag is eindelijk gepubliceerd! Heb m gehaald.

paella schreef op dinsdag 15 juli 2025 @ 12:32:
[...]


De uitslag is eindelijk gepubliceerd! Heb m gehaald.

Ditto.... Gefeliciteerd!

Dus volgens CompTIA zou ik de cursus nu ook weer namens hen mogen geven. Doe ik niet, maar goed... Wel tijd om mijn slides te gaan updaten voor de volgende Linux-groep.

Vandaag het CISM-examen gehaald, nog geen score bekend – alleen de binaire melding “geslaagd”.
Ik deel mijn ervaring hier, omdat ik hier ook veel gelurkt heb, misschien heeft iemand wat aan mijn tips.
Geen van de vragen verraste me qua nieuwe terminologie.
Soms voelde het meer als een begrijpend lezen toets dan een cybersecurity-examen. Engels is zoals voor de meesten hier ook niet mijn moedertaal, dus ik moest elke vraag minstens drie keer goed lezen.

Korte achtergrond over mij:
10 jaar ervaring in netwerken (defensie, off-shore)
15 jaar in forensisch onderzoek overheid
(Behaalde eerder certificeringen:) CISSP, GCFE, GCFA, CCNA (2x), CEH (2x), ICMDE, MCSE (2000–2003–2008–2012), VCP en nog wat andere certificeringen die ik vergeten ben – zowel de inhoud als de afkortingen
Gebruikte bronnen:
Pete Zerger's YouTube-serie

Sterk aanbevolen. Ik luisterde hiernaar tijdens andere bezigheden (sportschool, verhuizen) op normale snelheid en later nog een keer op 1,5x snelheid met meer focus zonder andere activiteten.
Ik heb ook zijn “Last Mile”-boek gekocht, voornamelijk om hem te steunen. Het boek is een uitgebreidere versie van zijn PowerPoints, maar zeker nuttig – ik heb het globaal doorgenomen de laatste week.

PocketPrep –
Slechts $21 per maand, absoluut de moeite waard. Richt zich meer op de harde feiten dan strategische vraagstelling en
Ik begon met een gemiddelde van ongeveer 70% en zat rond de 85% op het moment van het examen.

Sybex Study Guide – CISM Certified Information Security Manager Study Guide
Ongeveer 40% gelezen. Ik vond dit eigenlijk te diepgaand voor het echte examen.

Een last-minute bron die ik zeker kan aanraden is Sean Henna van Nemstar
(Ook goed om je Iers accent bij te schaven 😉)

Hij focust vooral op examentechnieken. Zoals ik al zei: het is bijna net zo veel een Engelse taaltoets als een cybersecurity-examen.
Dankzij hem herkende ik een aantal strikvragen) in het examen – lastige vragen die je op het verkeerde been proberen te zetten (al zal ik er vast nog een paar gemist hebben).
QAE heb ik niet gebruikt vanwege de prijs.
Vergelijking met CISSP:
Mijn CISSP bleek ik al in 2015 heb behaald (ik word oud... en sponsor sindsdien ISC2). Sommige onderdelen kwamen me bekend voor (zoals het berekenen van ALE), maar het technische gedeelte is bij CISM meer conceptueel.
Bijvoorbeeld: het verschil tussen een firewall en een router begrijpen, in plaats van te weten wat de block size van AES is.
Next up : OSCP, dat zou wel eens een stuk taaier kunnen worden

Stufferdt schreef op maandag 16 juni 2025 @ 14:59:
[...]

Ontopic vraag:
Iemand nog een leuke cursus/online training/mooi startpunt voor OSINT? (of moet ik dit sowieso maar zelf uitzoeken gezien het onderwerp ).

Ik wil hier nog op graag op ingaan omdat ik hier ook nog altijd een beetje naar op zoek ben. TCM en SANS zijn al genoemd.

De volgende trainingen heb ik ervaring mee.

Basel Institute LEARN - Open Source Intelligence

Training zit er goed in elkaar maar is een vrij korte e-learning. Leuk als introductie.

Open Source Intelligence Professional (OSIP)

Deze vond ik wel sterk, zeer uitgebreid en met een praktijkexamen. Examen is erg Amerikaans georiënteerd maar leuk te doen. Van (de club van) OSINT-OG Michael Bazzell.

Hiernaast is er nog de McAfee institute certificering, maar daar hoor ik geen goede verhalen over.
Hier een leuke recente reddit post over McAfee institue certificering

Ik wil echte OSINT-specialisten niet tekort doen, maar ik ben nog altijd zoekende naar wat OSINT nou precies is. (ik ben zelf nota bene OSINT-trainer)
En bedoel ik niet de definitie, maar ik twijfel er soms aan of het, afgezien van de specialisten, een eigen tak van sport is.
Ik denk dat iemand die ervaring heeft met gestructureerd werken, data uit verschillende bronnen kan correleren en digitaal vaardig is, eigenlijk al een goede OSINT-er is. De trucs komen en gaan, maar deze bestanddelen blijven.
Met de intelligence cycle ben ik bekend en ook het verschil tussen OSINT als een product en als een proces zien.
Maar eigenlijk ken ik voornamelijk OSINT-ers die met kladblok/obsidian werken in VM's op een laptop zonder oog voor OPSEC.
Geo-locaten is knap en spreekt tot de verbeelding, maar dit is niet in heel veel praktijksituaties van belang.
Facebook graph werkte vroeger, nu zijn er weer een andere methode voor socials. Hoe je dit vastlegt en correleert is belangrijk, maar hoe toets je dit af?

Ik zou eigenlijk niet zo goed weten wat je op een examen zou moeten vragen, ik vind de praktijkopdrachten zoals TCM en OSIP wel sterk.

Ik sta open voor ander certificeringsopties / meningen

[ Voor 3% gewijzigd door OM602 op 21-07-2025 11:12 ]

Liegebeest schreef op donderdag 26 juni 2025 @ 18:45:
Ik heb vandaag de beta-test gedaan van CSD-110, het examen voor CertNexus' cyber secure software developer. Het is de opvolger van CSC-210, de secure coding cursus die ik nu zes keer heb gegeven.

Heel in het kort: het was goed!

Iets langer: https://www.kilala.nl/index.php?id=2639

En ik heb 'm vandaag gedaan (laatste dag dat het kon). Inderdaad goed, maar het is niet een hele advanced certification. Weet eigenlijk wel zeker dat ik het gehaald heb.

paella schreef op donderdag 31 juli 2025 @ 16:44:
[...]


En ik heb 'm vandaag gedaan (laatste dag dat het kon). Inderdaad goed, maar het is niet een hele advanced certification. Weet eigenlijk wel zeker dat ik het gehaald heb.

Klopt het is echt de fundamentals voor ontwikkelaars die nog nooit echt hebben nagedacht over de beveiliging van hun eigen producten. En dat zijn er helaas nog veel te veel.