Security & Certificering

Ha Tost,

Simpele vraag: wat wil je uiteindelijk gaan doen? Technische Audits? ISO27001?

Er in het security subforum een heel topic over security certificaten: IT Security Certificeringen Daar kun je denk ik beter je vragen kwijt...

Ik zou (nog) niet beginnen aan ISC2 certs, gezien je om de 'titel' te mogen dragen je eerst zoveel jaar ervaring moet hebben. Daarnaast is SSCP (veel) minder bekend dan CISSP, dus waarom zou je specifiek voor die gaan?

ISO zul je niet zo snel worden als vers afgestudeerde. Dat vraagt toch om wat meer body, ervaring, maar vooral ook doorzettingsvermogen en karakter als je het mij vraagt. Hoe goed je eindcijfers ook zijn en hoe mooi je scriptie ook is, dat is niet iets waar werkgevers naar opzoek zijn.

IT Audit is wellicht iets, maar dan kom je snel bij de big-5 uit, en is dat wel een carrière waar je ambitie ligt? Strak in pak met 10 collega's worden gedumpt in het vergaderhok bij de klant waar je elke dag van 8 tot 8 papierwerk zit te controleren en rapporten aan het schrijven bent? Ok, tikkie gechargeerd, maar is tamelijk up or out in dat soort omgevingen.

Met jou ervaring (en in feite ook je opleiding) lijkt me een meer technisch vervolg iets logischer, als je eenmaal wat ervaring hebt in de sector kan je vaak makkelijker doorgroeien (in feite naar elke positie die je wil). Het zou overigens ook zonder extra certificaat niet heel moeilijk moeten zijn om in de sector aan te slag te kunnen; mits je bereidt bent een tijdje te werken voor een detacheerder waarbij je dus met je leasegebakje stad en land af moet.

Met jou opleiding moet het starten in een specifieke security rol geen probleem zijn, ook al heb je nog geen certificering.

Ik bedoel, een groot deel van je opleiding gaat juist over, en is gespecialiseerd in security.

Staar je niet blind op certificering als must voor een leuke baan.

Ik zou ook niet in een algemene technische rol beginnen. Ja, je maakt wat mee over hoe het in de praktijk er aan toe gaat, maar dat maak je ook mee in een security rol.

Daarnaast heb ik juist veel voorbeelden in mn omgeving gezien van collegas die moeilijk loskwamen van hun discipline om aan de slag te gaan in een discipline waar hun hart eigenlijk lag. Dit probleem heb ik gezien in de detacheringswereld, waar je manager toch in de eerste plaats kijkt naar je korte termijn inzetbaarheid en winstgevendheid.

Veranderen van discipline kan, maar vergt ontzettend veel tijd, geduld, mensen op project en leiding ***blijven*** vragen en overtuigen.

Dan zeg ik: begin dan gewoon meteen in de security hoek, heb je dat probleem iig niet.

Wat je kan doen is gewoon naar (gratis) security events / meetings gaan en daar netwerken / sparren / praten over je vragen, ambities etc. Of gewoon experts / security managers met veel ervaring vragen of ze tijd hebben voor een kort gesprek.

Mensen zijn vaak bereid vrijblijvend advies aan je te geven, vooral als ze merken dat je passie hebt voor iets en, nog beter, eigen en originele ideeen hebt die van toegevoegde waarde zijn in de discipline.

Je studie moet daarvoor genoeg aanknopingspunten geven.

Persoonlijk maakt mij de ervaringseis niet uit voor CISSP. Die kan je ook na je examen opdoen.

Wat hot wordt steeds meer is security architectuur, dus bewust over business doelen en risicos denken en van daar uit je security maatregelen opstellen ipv contextloos checklists afgaan op low level.

///// edit ////
spellingsfout en inhoudelijk:

Maak ook vooral gebruik van je master periode om mensen op security gebied te ontmoeten, ideeen uit te wisselen, extra-curricular activiteiten te doen op security vlak, evt zelf te publiceren, conferenties te bezoeken etc etc.

Dat is veeeeel waardevoller dan een certificering.

Je hoeft certificering ook niet per se in de zomer te doen (...als ik je post begrijp..); tijdens je master kan je kiezen voor certf trainingen die in de avonden worden gegeven.

Je hebt meer dan genoeg tijd je voor te bereiden voor de periode na je master!

[ Voor 13% gewijzigd door eepeep op 21-06-2016 10:42 ]

Gezien je opleidingsniveau zul je weinig hebben aan algemene security certificaten zoals Security+ en SSCP. Indien je weet waar je je in wil specialiseren dan hangt de certificaat keuze daar vanaf. Heb je nog geen idee ga dan voor CISSP (associate), deze is nog steeds vereist door veel werkgevers en/of opdrachtgevers.

In plaats van certificaten zou je ook een blog bij kunnen houden, participeren in OpenSource security projecten, etc. Dit helpt allemaal om je C.V. te vullen en je kennis weer te geven. Het kost tijd, geen geld. De meeste certificaten zijn niet goedkoop... en verlopen .....

Globaal heb je voor certificaten ongeveer de volgende keuze:

Werk op strategisch niveau, voornamelijk risico management en compliance, meestal op management / C-level niveau.
Rollen: Information Security Officer, Risk & Compliance Manager, Cyber Security Consultant/Auditor, CISO, etc.
Certificaten: CISSP, CISM, CISA, compliance specifiek: b.v. ISO 27001 Lead Auditor

Technisch werk op defensief gebied, van analyst eventueel doorgroei naar teamleader of SME/senior positie.
Rollen: CERT/CSIRT Member, SOC Analyst, Malware Analyst, IT Forensics
Certificaten: SANS diversen, Terena diversen, Enisa diversen, product specifiek b.v. Ida Pro of EnCase

Technisch werk op offensief gebied, van analyst eventueel doorgroei naar teamleader of SME/senior positie.
Rollen: Vulnerability Management Analyst, Penetration Tester, Vulnerability Researcher
Certificaten: OSCP, OSCE, eLearnSecurity (diversen), product specifiek: b.v Nessus

Product implementatie / troubleshooting, etc
Rollen: Cyber Security Architect, etc.
Certificaten: product specifiek, b.v. Palo Alto, Juniper, Cisco