beveiligings-specialist: wat is de beste certificering?

Kijk om te beginnen eens in IT Security Certificeringen als introductie

CISSP is wel de meest bekende op het gebied van security. Betrouwbaarheid heb je natuurlijk geen certificaat voor tenzij je het door een notaris laat doen ofzo. Overigens interesseert het me geen reet wat voor businnues de klant heeft. Je blijft er gewoon van af.

Er zijn ethical hacking cursussen en bijbehorende certificeringen, beroepseer (informeel en formeel bv verklaring die onderschreven moet worden bij sommige certificeringen, afaik ook CISSP), reputatie van de aanbieder (referenties), verklaring van goed gedrag, etc.

En last but not least: een goed contract met boetebedingen aangegaan met een voldoende solvabele dienstverlener

Het is redelijk standaard om tenminste NDA's contractueel vast te leggen met de uitvoerende partij. In geval van een bedrijf met consultants zullen die in hun eigen arbeidscontract ook een NDA-clausule hebben staan.

Verder kun je afspreken hoe er met de data omgesprongen wordt, bijvoorbeeld dat het niet op USB-sticks mag komen te staan, of hooguit voor transport vanaf bedrijfssystemen naar systemen van de auditor en dat ze daarna zorgvuldig gewiped moeten worden. Ook kun je prima afspraken maken over dat de data altijd encrypted opgeslagen moet zijn en alleen toegankelijk voor de consultant(s) die de opdracht heeft/hebben uitgevoerd. Een goede afspraak om te maken is dat de gegevens na een bepaalde tijd vernietigd dienen te worden en dat je van die vernietiging een (schriftelijke) bevestiging wil.

Bottom-line blijft uiteindelijk dat je simpelweg moet vertrouwen dat de partij die je vraagt zich aan de gemaakte afspraken houdt en inderdaad ethisch te werk gaat. Certificaten doen daar verder weinig aan, het blijft een kwestie van vertrouwen op mensen.

Wat je verder kunt doen is polsen welke bedrijven of consultants door anderen gebruikt worden en hoe de ervaringen zijn. Ook aan offertes kun je al heel wat opmaken over de professionaliteit van een bedrijf of consultant.

B.t.w.: Er is een groot verschil in 'officieel' veilig zijn en écht veilig zijn.

CISSP, NOREA-peepz,etc verteld iets of de persoon die komt testen. Die test of alle secure practices kloppen en worden nageleefd, dit als resultaat dat je bijvoorbeeld voldoet aan wet- en regelgeving (bijv. bescherming persoonsgegevens). Als de vraag is: voldoe ik met mijn systemen aan de eisen? dan kan je dus het beste kiezen voor een partij die dit op deze manier komt testen (IT-audit).

Echter, zoals de meeste hacks, komt door privilege escalatie op systemen die óf op papier veilig zijn óf over het hoofd gezien zijn en daarmee wel degelijk een bedreiging vormen op de informatie in een bedrijf. Deze vraagt dus niet de 'papieren' aanpak maar juist een praktijkgerichte securityscan. Ofwel een penetratietest. Dit kan op basis van blackbox, graybox, crystalbox, etc (zoek maar op). Er wordt dus met 'echte' hacktools, lees: Alle meuk die je bijvoorbeeld op backtrack vindt, getest of je systeem een poging tot kraken kan weerstaan. Hier heb je ook diverse methodes voor om toch een soort standaardisering te krijgen in dit proces.

Beetje kort door de bocht om te suggereren dat gecertificeerde lui alleen het proces zouden testen. D'r zijn ook genoeg gecertificeerde 'handjes'.

Als opdrachtgever moet je gewoon goed aangeven of je het systeem of het proces getest wilt hebben

[ Voor 31% gewijzigd door Rukapul op 07-04-2009 18:14 ]

NDA is inderdaad standaard en naast de geijkte certificeringen zou je nog een "verklaring van goed gedrag" kunnen (aan-)vragen.

Als het om security auditting gaat zou ik eens naar CISA kijken. Dat is minder breed dan CISSP, maar gaat veel dieper in op het Security Auditting verhaal.
CISA is een certificering van isaca.org.

Overigens als je een bedrijf wilt laten auditten, dan zijn er gerenomeerde bedrijven die dergelijke zaken voor je kunnen doen. Deze zullen echt geen data van je stelen, of naar buiten brengen. Daar willen ze best een NDA voor tekenen. En een beetje audit bedrijf laat zijn werknemers screenen.

[ Voor 43% gewijzigd door Equator op 08-04-2009 10:08 ]