Blog

Security

Security: hoe kom je aan goed opgeleide professionals?

2 aug 2018

Hoe word je nu een securityprofessional? En in welke discipline? Een vraagstuk waar op dit moment de hele wereld mee worstelt. Gaat de focus uit naar hacking, kwetsbaarheid van de infrastructuur, scada-systemen, bedrijfsprocessen, risk analysis, incident response of mobile devices? Schoolverlaters van mbo, hbo en universiteiten ambiëren een rol in de IT in de breedste zin. Security is echter een vak apart. De benodigde vaardigheden krijg je deels door training, maar learning on the job onder begeleiding van een mentor geeft een versnelling, waardoor de security associate autonoom kan werken.

Ron Hehemann door Ron Hehemann

Nooit uitgeleerd

Het opleiden van je eigen mensen, die continu op de hoogte moeten zijn van de laatste dreigingen op het gebied van security, terwijl ze ook de dagelijkse taken en verantwoordelijkheden moeten uitvoeren, is eigenlijk onmogelijk. Een van de essentiële randvoorwaarden van een goed en up-to-date kennisniveau, is het samenwerken binnen teams en het toepassen van kruisbestuiving van die kennis.

Het volgen van trainingen blijft een kritische factor om je scherp te houden en bij te blijven in het security-vak. Sinds 1986 houd ik mij bezig met het opleiden en coachen van mensen in een grote diversiteit van kennisgebieden. Er bestaan redelijk wat certificeringen die een indicatie geven van de kennis en kunde van een professional. Je kunt dan denken aan praktische kennis, zoals Offensive Security Certified Professional (OSCP) en Certified Ethical Hacker (CEH), maar ook holistische securitykennis zoals Certified Information Systems Security Professional (CISSP), Certified Information Security Manager (CISM) en Certified Information Security Auditor (CISA). Het behalen van certificeringen helpt om het kennisniveau van cursisten op peil te brengen. Het dagelijks in de praktijk brengen blijft echter lastig.

Gecertificeerd securityprofessional

Al meer dan 10 jaar geef ik specifiek training om gecertificeerd te worden als CISSP. Hier merk ik iedere keer dat men te vaak alleen kennis heeft van een deelgebied van security. De aanvalsvectoren die men kan misbruiken zijn niet altijd netwerkgerelateerd, maar kunnen wel een hele grote impact hebben op de continuïteit van bedrijfsprocessen. Een risico-inventarisatie is dan ook een vereiste om goed inzicht te krijgen. En ook al zijn er vele domeinen waar security een rol speelt, uitstellen van inzicht omdat het te lastig of te complex is, is geen optie.

Kennistekort

Recente studies tonen aan dat er in 2021 meer dan 3,5 miljoen securityprofessionals gezocht worden. Ook zijn er al diverse bedrijven zich bewust van deze kenniskloof, en worden er talentpools opgezet waar men opgeleid wordt en met behulp van een ervaren coach een securityprofessional gaat worden.

Dat neemt niet weg dat binnen een organisatie de vraag blijft bestaan: wil men zelf die kennis opbouwen of toch onderbrengen bij een gerenommeerde partij als Telindus, die al geïnvesteerd heeft in die securityprofessionals?

Security als sluitpost

Security is al jaren een ondergeschikt component in de IT en helaas vaak ook een sluitpost. Het wordt vaak gezien als een verzekering en niet als essentieel hulpmiddel om het bedrijfsproces te bewaken en te faciliteren. Zelfs de regelgeving, zoals de AVG, moet ingezet worden om momentum te genereren, ondanks de ransomwareproblemen van de laatste jaren.

IT-managers en techneuten schatten helaas nog te vaak in dat het beveiligen van de voordeur afdoende is. Maar de oplossing kunnen we allang daar niet meer vinden. Hoe ga je dan bijvoorbeeld om met de mobiele devices en de werkplekken die ambulant zijn? De firewalls zien dit soort devices pas nadat ze daadwerkelijk verkeer genereren door de firewall. Hulp vragen aan een kennisleverancier wordt dan ook vaak pas gedaan na een breach, het zogenaamde ‘put dempen nadat het kalf verdronken is’.

Behoud de regie

Het inzetten van een kennisleverancier met een trackrecord van jaren op managed dienstverlening is dan ook een must, waarbij de klant de regierol houdt. Dit noemen we binnen Telindus ‘outtasking’. Deze samenwerking is zeer belangrijk, aangezien de klant nog beter weet wat belangrijk is binnen hun eigen dienstverlening. Telindus levert deze ‘outtasking’-dienstverlening aan de gezondheidszorg, financiële instellingen, overheid, industrie en service providers.

Wilt u weten wat wij voor u kunnen betekenen met onze security-dienstverlening? Neem contact met ons op.

Geïnteresseerd?

Ron Hehemann
Neem contact op met onze Security- specialist Ron Hehemann

Ron Hehemann is Security Consultant bij Telindus. Ron heeft meer dan 30 jaar internationaal ervaring op het gebied van besturingssystemen, networking, virtualisatie, informatietechnologie en -beveiliging. Als trainer en consultant op het gebied van CISSP, Ethical Hacking en voorheen Foundstone, heeft beveiliging al sinds het begin van de jaren negentig een grote invloed gehad op zijn manier van denken. Het draait nog veel meer om de mindset dat wat jij triviaal vindt voor de kwaadwillende medemens, een ingangspunt is in jouw organisatie. Vandaag de dag zijn er nog veel gebruikers in kleine en grote organisaties die dat bewustzijn ontberen. Men beseft nog te weinig dat imagoschade heel erg moeilijk te herstellen is en veel tijd kost. De associatie die men heeft met goede en matige merknamen kan je zelf invullen. Na werktijd is Ron actief in de sportschool, op de tennisbaan en is hij duikinstructeur.

1 reactie
Plaats een reactie
Desire - 8 augustus 2018

Heel goed artikel, precies de punten waarop te letten zijn aangehaald. Vers vanuit de schoolbanken kan je nooit op het niveau zijn van iemand met jaren ervaring, zelfs met minder (school)papieren. Altijd bij blijven scholen moet, anders blijf je niet bij met de ontwikkelingen en verlies jij je brood ook nog.Desire