Hoe te verdiepen in cybersecurity

quote:

Op donderdag 17 december 2020 21:38 schreef stavromulabeta het volgende:

[..]

Mhhh, ik weet niet of ik dat nou zoek. Een zelfbenoemde cybersecurityexpert die in dit boek plagiaat pleegt en ook nog een seniele miljonair onder de plak heeft zitten.

Ook lastig meer te krijgen, dit boek

quote:

Op donderdag 17 december 2020 21:35 schreef spinazieruiker het volgende:
[ afbeelding ]

Training doen. Bij voorkeur de SANS MGT 512
Anders ISC CISM.

quote:

Op donderdag 17 december 2020 21:32 schreef stavromulabeta het volgende:
Ik wil mij graag (beroepsmatig) wat meer verdiepen in cybersecurity en dan wat meer in de organisatorische en procedurele kant. Dus hoe krijg ik een complete productieomgeving cybersecure. Het gaat me dus wat minder om de technische details (welke netwerkarchitectuur, hoeveel firewalls ...) en maar om zachte zaken als dreigingsbeelden, motiven, vertrouwelijkheidsclassificatie, sleutelplannen, fysiek en virtueel toegangsbeleid en configuratiemanagement.

Tot nu toe ben ik op een vrij ad hocerige manier wijzer geworden door met anderen te praten, richtlijnen er bij te pakken en gezond verstand te gebruiken. Maar ik wil me dus wat meer verdiepen. Weet iemand iets van goede (avond)cursussen of boeken die ik kan lezen? De meeste boeken die ik zie gaan diep in op zaken als ping, tcp/ip, stukjes code en allerlei andere technische details terwijl ik eigenlijk meer iets zoek hoe ik het totaalplaatje gemanaged krijg.

CISSP en CISSM zouden een goede kunden zijn ;-) Heel veel informatie in een beperkt niveau. Geeft je een prima basis.

quote:

Op donderdag 17 december 2020 21:48 schreef Chinless het volgende:
Training doen. Bij voorkeur de SANS MGT 512
Anders ISC CISM.

Ze claimen bij de SANS wel weer heel erg veel aan je te gaan leren in een weekje. Klinkt weer als een typische sans cursus volgens mij

quote:

Op donderdag 17 december 2020 21:35 schreef spinazieruiker het volgende:
[ afbeelding ]

quote:

Op donderdag 17 december 2020 22:30 schreef investeerdertje het volgende:

[..]

CISSP en CISSM zouden een goede kunden zijn ;-) Heel veel informatie in een beperkt niveau. Geeft je een prima basis.
[..]

Ze claimen bij de SANS wel weer heel erg veel aan je te gaan leren in een weekje. Klinkt weer als een typische sans cursus volgens mij

CISSP is te inhoudelijk / te technisch. En SANS ben ik wel tevreden over ja. Mag je iets van vinden maar zowel de mgt 512 als vervolg zijn zeer nuttig.

Het komt er in de meeste gevallen op neer, dat je duidelijke keuzes maakt, vastlegt, borgt en kan (extern) controleren, waarom je die keuzes maakt, wie toegang heeft tot de data en wie niet (rollen), privacy (wat sla ik op en wat niet en waarom wel/niet), op welke locatie (NL/EU/niet EU) & in de (public,private) cloud of on-premise, dat leveranciers voldoen aan de normen die je als bedrijf stelt (zit verschil in tussen bijv. Azure/AWS), SLA's & monitoring afgestemd op de vraag vanuit het bedrijf/overheid en welke maatregelen je treft om buitenstanders buiten de deur te houden (2 way auth., isolatie, beveiliging etc.) en bij calamiteiten of je uitwijk mogelijkheden hebt of niet (back up, dubbel uitvoeren etc.).

Het zijn vooral normen, waar cyber security professionals zich mee bezig houden (opleidingen/standaarden) met allemaal afkortingen maar als je erop googelt en al deze kennis op doet, ben je al behoorlijk ver.

ISO: https://www.iso.org/isoiec-27001-information-security.html
CEH
CISSP
CIPP/E
CISA
CIPM
DPO
SSCP
ISMAS
ISFS
GDPR
ISAE 3402
Als je kijkt naar overheidsecurity, BIO: https://www.informatiebev(...)eveiliging-overheid/

Succes ermee!

Maar staan bestuurlijke keuzes omtrent security niet altijd op een technische basis?

quote:

Op vrijdag 18 december 2020 13:32 schreef FlippingCoin het volgende:
Maar staan bestuurlijke keuzes omtrent security niet altijd op een technische basis?

Dit is dus het grote probleem, je bedenkt eerst een solution en daarna ga je kijken of je het passend kan maken aan je eigen eisen.

Je moet eerst een heldere lijn uitzetten, wat voor business waarde je gaat toevoegen, dan kijken wat doet het functioneel en daarna ga je pas zoeken naar technische oplossingen.

In de praktijk gaat het precies andersom of wordt er helemaal niets geregeld.

Over Pentesten, wordt ook in 1 van die bovenstaande onderwerpen besproken maar gaat vooral om de BIV codering. Aardig voorbeeld: https://www.cip-overheid.(...)lassificatie-1_1.pdf

Het verhaal rondom Vetac/Vecom volg ik niet helemaal maar volgens mij bedoel je legacy koppelen aan nieuwe techniek, dat is altijd een interessante. Het liefste blijf je niet doorbouwen op oude technieken omdat het vaak al bedrijf kritische systemen zijn. Vaak met middleware (bijvoorbeeld een servicebus) haal je de informatie op, die je nodig hebt voor je applicatie met nieuwere technieken. Security technisch blijft dit ook altijd lastig, meestal worden de omgevingen geïsoleerd on premise en is moving to cloud al helemaal geen optie. Is vaak de vraag of de leverancier überhaupt nog het product ondersteund.

quote:

Op vrijdag 18 december 2020 00:54 schreef Chinless het volgende:

[..]

CISSP is te inhoudelijk / te technisch. En SANS ben ik wel tevreden over ja. Mag je iets van vinden maar zowel de mgt 512 als vervolg zijn zeer nuttig.

Ik vond de CISSP juist helemaal niet technisch, Het is vooral veel uit heel veel disciplines

quote:

Op donderdag 17 december 2020 21:32 schreef stavromulabeta het volgende:
Ik wil mij graag (beroepsmatig) wat meer verdiepen in cybersecurity en dan wat meer in de organisatorische en procedurele kant. Dus hoe krijg ik een complete productieomgeving cybersecure. Het gaat me dus wat minder om de technische details (welke netwerkarchitectuur, hoeveel firewalls ...) en maar om zachte zaken als dreigingsbeelden, motiven, vertrouwelijkheidsclassificatie, sleutelplannen, fysiek en virtueel toegangsbeleid en configuratiemanagement.

Tot nu toe ben ik op een vrij ad hocerige manier wijzer geworden door met anderen te praten, richtlijnen er bij te pakken en gezond verstand te gebruiken. Maar ik wil me dus wat meer verdiepen. Weet iemand iets van goede (avond)cursussen of boeken die ik kan lezen? De meeste boeken die ik zie gaan diep in op zaken als ping, tcp/ip, stukjes code en allerlei andere technische details terwijl ik eigenlijk meer iets zoek hoe ik het totaalplaatje gemanaged krijg.

Wat voor een rol zie je voor jezelf in securityland?

quote:

Op vrijdag 18 december 2020 20:11 schreef stavromulabeta het volgende:

[..]

Geen specialistenrol. Ik zit in het projectmanagement (grote infra, industriële automatiseringsprojecten.) Ik merk dat zodra ik iemand inschakel, ik of een enorme techneut krijg die heel goed is in een netwerk ontwerpen maar geen idee heeft dat er ook iets met documentmanagement geregeld moet worden. Of ik krijg iemand die heel diep in de BIO en AVG zit maar zich niet realiseert dat er ook nog zoiets als een onderhoudscontract gaat aankomen. Dan is het wel handig als ik zelf wat kennis heb om de juiste persoon op het juiste moment te laten aanhaken.

Het gaat me er dus vooral om het hele plaatje van cybersecurity te overzien zodat ik weet waar ik rekening mee moet houden en welke specialist ik waarvoor moet inschakelen.

Je wil dus uit de hele grote oceaan net genoeg van weten om het belletje te horen rinkelen en dan de juiste klepel er bij te pakken?

quote:

Op vrijdag 18 december 2020 20:43 schreef stavromulabeta het volgende:

[..]

Precies. En ik vind het onderwerp ook nog interessant genoeg om me er voor de hobby een beetje extra in te verdiepen.

Cissp en cissm. Ja je moet iets van de techniek weten. Maar dit gaat tot aan fysieke beveiliging aan toe. Het is de enige mogelijkheid die allrounder te zijn als je op certificaten leunt.

Je zou kunnen kijken of Cybrary iets voor je is. Veel cursussen, video's en leesvoer wat je via een app of browser kunt volgen

Leuk topic, ik zit doorgaans aan de andere kant van het lijntje, juist een hekel aan alle documentatie er omheen
Op dit moment zit ik bij een bank, dus dan ontkom je doorgaans niet aan dit soort zaken, maar uiteraard hebben we allerlei delivery managers en security officers die dit voor je doen

Overigens is het voor veel zaken wel een gevoel krijgen, neem bijvoorbeeld een PEN test, bij de bank hoor ik: Dit is verplicht voor elk systeem. Echter de systemen waarmee ik werk zijn vaak systemen die niet aan een frontend zijn gekoppelt, daarnaast is veiligheid vaak op netwerk level en wat directe gebruikers toegang uitgesloten.

Kortom een PEN test gaat daar helemaal niets opleveren, in dat geval word het veel interessanter om vast te stellen dat je toegangsbeleid is afgedwongen, je gecertificeerde pipelines gebruikt, en wat dies meer zei

Ook zitten procedures je soms gewoon dwars, een voorbeeld kwam ik laatst tegen, voor een project moeten we bestanden van a naar b verplaatsen, deze vallen in de zwaarste security categorie binnen de bank, en daarmee het project ook. Echter de logging van het proces bevat geen enkele gevoelige data, het is letterlijk : we hebben rekening.csv gekopieerd naar lokatie B. Echter omdat een project maar 1 veiligheidslevel kan hebben dienen we het loggen ook op de meest secure manier te doen waardoor je eigenlijk meer problemen op de hals haalt dan noodzakelijk. Wat dat betreft is het soms wel frustrerend om helemaal aan de regeltjes te moeten voldoen.