IT sikkerhedscertificeringer?

Hvad er værd at samle på og hvad skal man holde sig fra' Det er i hvert fald ikke udvalget der mangler, når man ser på udbuddet af internationale leverandør specifikke eller neutrale certificeringer. Internationale organisationer som (ISC)2, GIAC, ISACA og CompTIA står måske for nogle af de mere kendte, men hvad er egentlig den eller de mest respekterede IT sikkerhedscertificeringer i DK' Hvad kender de til i HR afdelingerne - hvad er værd at bruge sin tid på?

Globalt har det vel længe været CISSP fra (ISC)2, der har været standarden, men er dette stadig tilfældet? Jeg læste, at det fra i år er blevet et krav at ansatte for f.eks. U.S. Cyber Denfenders har en CEH certificering.

Hvad er din mening om disse certificeringer' Hvad er værd at bruge sin tid på og hvad er ikke'

/msh

Kommentarer (15)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jonas Hansen

Normalt hader jeg når folk kommer brasende ligesom mig og vender det hele på hovedet.

Men jeg tror man har mindst ligeså stor mulighed for at blive dygtig af at studere emner på egen hånd. Så jeg finder det en smule tåbeligt at US Cybercrime Defenders ligefrem kræver en bestemt certificering. De går i hvert fald glip af noget hvis de rent faktisk mener det.

Jeg er efterhånden af den opfattelse, at certificering handler mere om løn end det handler om færdigheder. Om ikke andet giver det vel en god introduktion til et emne,

  • 0
  • 0
Robert Larsen

Jeg er fuldstændig enig med dig Jonas, men problemet er, at de, som ansætter, ikke altid er dem, som bedst kan vurdere, hvor meget du faktisk ved om et emne. Derfor kræver mange HR managers, at du har en certificering, og så er det bare surt, at du selv skal punge de 25K ud, eller, hvis du er arbejdsløs, at kommunen skal betale.

  • 0
  • 0
Rene Madsen

Jeg er fuldstændig enig med dig Jonas, men problemet er, at de, som ansætter, ikke altid er dem, som bedst kan vurdere, hvor meget du faktisk ved om et emne.

Det er vel et tegn på at det er de forkert mennesker der sidder med ved ansættelsen af nye folk, når et certifikat på papiret er bedre end reel viden...

  • 0
  • 0
Marc Munk

Jeg har taget et par GIAC kurser. Det kan anbefales.
Det fede ved giac kurserne er de mange muligheder for at tage kurset. Bootcamp, ondemand, self study osv.
Resten kender jeg ikke noget til.

  • 0
  • 0
Hans-Michael Varbæk

Her er en oversigt som Rasmus Petersen fremlagde på et Owasp møde i år:
http://www.owasp.org/images/a/a7/Kurser_og_certificeringer.pdf

Trenden er stadigvæk, at man skal helst være CISSP certificeret rigtig mange steder for at kunne få et arbejde indenfor IT-sikkerhed. (Dette gælder ikke alle steder, men i rigtig mange job opslag står der CISSP-"bling bling".)

CISA, Security+, GIAC (mange af dem), CEH, MCSE, og LPT ser jeg også meget ofte personer har, men det er ikke mange af disse virksomheder mm. som forespørger dette ved jobopslag.

Jeg er selv igang med OSCE (Offensive Security Certified Expert) som er forholdsvist ny, og ikke særligt udbredt men det er en af de certificeringer hvor man bliver prøvet rigtig af på mange punkter.

Selve eksamen er en praktisk del hvor man skal få fat på et proof.txt dokument, som indeholder en md5 hash. Dette gøres ved at man hacker de virtuelle maskiner de har sat op, til at blive kompromiteret under eksamenen.

Under og efter OffSec's certificeringer vil man i hvert fald vide om man har lært noget man kan bruge i praksis efterfølgende, da man kommer virkelig tæt på rigtig Penetration Testing og hacking i den mest virkelige forstand.

  • 0
  • 0
Henrik Kramshøj Blogger

Jeg har selv taget CISSP og CEH.

CISSP er en dejlig bred certificering som gør at man taler bedre sammen idenfor IT-sikkerhed. Man tvinges ligeledes til at få set på områder som man måske har undgået - og derfor bliver man en bedre sikkerhedskonsulent. Der er mange som efter et CISSP forløb har et større overblik og derfor er mere effektive og nyttige generelt.

Det er forøvrigt ikke en tilfældighed at jeg siger konsulent, for det er en af de målgrupper som jeg synes CISSP rammer bedst, uanset om man så reelt optræder som konsulent indenfor organisationen man nu er i.

CEH har jeg taget fordi jeg beskæftiger mig med ethical hacking og det er efter min mening en udmærket og internationalt anerkendt certificering. CEH er mere teknisk og detaljefokuseret end eksempelvis CISSP, hvad er Snort kommandolinie option blah osv.

SANS certificeringerne er generelt for dyre i materialer, så dem har jeg ikke taget.

I udlandet er der indimellem en tendens til at man skal være certificeret noget bestemt for eksempelvis at lave pentest.

  • 0
  • 0
Henrik Kramshøj Blogger

Der er ikke noget specielt handson, men nej det er ikke til managers, de skal vælge CISM hvis noget.

CISSP udviklede og benytter Common Body of Knowledge CBK, som binder alt sikkerhedsviden sammen i 10 "domains". Når man gennemgår det har man været hele turen omkring adgangskontrol, kryptologi, risk management osv. osv.

Det betyder at man får sådan en slags aha oplevelser, fordi man ser sikkerhed i et nyt perspektiv - hvis man er som de fleste der ikke af egen vilje har læst på alle områderne tidligere.

Læs mere på:
http://en.wikipedia.org/wiki/Common_Body_of_Knowledge

  • 0
  • 0
Michael Christensen

CISSP er en dejlig bred certificering som gør at man taler bedre sammen idenfor IT-sikkerhed.

Jeg kan give Henrik helt ret i det aspekt. CISSP åbner øjnene for nogle af de mindre omtalte områder af sikkerhed og tvinger dig til at tænke bredt.

Med en CISSP i hånden, så er du klar til at specialicere dig med nogle af de øvrige certificeringer.

Jeg har selv ud over CISSP taget CSSLP (Certified Secure Software Lifecycle Professional)og CPSA (Certified PwC Security Analyst), som er software udviklingsrettet og generel pen.test. Jeg vil senere gå efter CEH som er mere omfattende end CPSA og måske lidt senere en CISM.

Lige nu kigger jeg rent faktisk på CRISK (Certified in Risk and Information Systems Control), som jeg med lidt hovedregning kan merit for via en overgangsordning (grandfathering program) - fordi jeg er så gammel ;-)

Læs mere på:
CSSLP: http://en.wikipedia.org/wiki/Certified_Secure_Software_Lifecycle_Profess...
CPSA: http://www.pwc.com/dk/da/kurser/cpsa.jhtml
CRISK: https://www.isaca.org/Knowledge-Center/Blog/Lists/Posts/Post.aspx?ID=22

Jeg har selv skrevet lidt om mine certs på: http://www.mathx.dk/dotnetnuke/LinkClick.aspx?fileticket=14hLjaLqrVM%3d&.... Det vil sige, hvad jeg mener, der skal til, hvordan man vedligeholder sin certificering osv. osv.

  • 0
  • 0
Hans-Michael Varbæk

Men nu er jeg certificeret OSCE (Offensive Security Certified Expert) og det er helt klart nok det mest udfordrende jeg nogensinde har prøvet. Kurset i sig selv er lærerigt, detaljeret, komprimeret men også omfattende.

Eksamen derimod er hardcore, da man virkelig skal kunne mere end det sædvanlige, så det er med god grund at hvis man består, at man bliver certificeret "Expert" fra Offensive Security.

Kurset, eksamen og efterfølgende certificeringen (hvis man består) kan varmt anbefales til alle, men hvis man ikke er så skarp i den praktiske del af IT-sikkerhed med at udvikle buffer overflow exploits og lignende, bør man nok vente lidt og studere den type angreb mere samt andet (herunder også Web Application Security), eller begynde med OSCP som også er udfordrende, selvom jeg begyndte med OSCE og overvejer at tage OSCP nu, den helt omvendte vej af hvad man plejer :-)

  • 0
  • 0
Lasse Svendsen

Der er ingen i Danmark. du skal du over sundet.
Den civil-ingeniør udd. på Aalborg universitet har de nedlagt. de har dog lavet et spor som henvender sig lidt til IT-sikkerhed, men synes ikke den er ligeså specifik som den før.

  • 0
  • 0
Casper Jensen

Helt præcist hvad mener de med det?

Indsætter fra hjemmesiden:

Access Control – a collection of mechanisms that work together to create security architecture to protect the assets of the information system.
Concepts/methodologies/techniques
Effectiveness
Attacks

Telecommunications and Network Security – discusses network structures, transmission methods, transport formats and security measures used to provide availability, integrity and confidentiality.
Network architecture and design
Communication channels
Network components
Network attacks

Information Security Governance and Risk Management – the identification of an organization’s information assets and the development, documentation and implementation of policies, standards, procedures and guidelines.
Security governance and policy
Information classification/ownership
Contractual agreements and procurement processes
Risk management concepts
Personnel security
Security education, training and awareness
Certification and accreditation

Software Development Security – refers to the controls that are included within systems and applications software and the steps used in their development.
Systems development life cycle (SDLC)
Application environment and security controls
Effectiveness of application security

Cryptography – the principles, means and methods of disguising information to ensure its integrity, confidentiality and authenticity.
Encryption concepts
Digital signatures
Cryptanalytic attacks
Public Key Infrastructure (PKI)
Information hiding alternatives

Security Architecture and Design – contains the concepts, principles, structures and standards used to design, implement, monitor, and secure, operating systems, equipment, networks, applications, and those controls used to enforce various levels of confidentiality, integrity and availability.
Fundamental concepts of security models
Capabilities of information systems (e.g. memory protection, virtualization)
Countermeasure principles
Vulnerabilities and threats (e.g. cloud computing, aggregation, data flow control)

Security Operations – used to identify the controls over hardware, media and the operators with access privileges to any of these resources.
Resource protection
Incident response
Attack prevention and response
Patch and vulnerability management

Business Continuity and Disaster Recovery Planning – addresses the preservation of the business in the face of major disruptions to normal business operations.
Business impact analysis
Recovery strategy
Disaster recovery process
Provide training

Legal, Regulations, Investigations and Compliance – addresses computer crime laws and regulations; the investigative measures and techniques which can be used to determine if a crime has been committed and methods to gather evidence.
Legal issues
Investigations
Forensic procedures
Compliance requirements/procedures

Physical (Environmental) Security – addresses the threats, vulnerabilities and countermeasures that can be utilized to physically protect an enterprise’s resources and sensitive information.
Site/facility design considerations
Perimeter security
Internal security
Facilities security

The CISSP candidate must have at least 5 years of experience in two or more of the above domains. Download the Candidate Information Bulletin (CIB) for more information.**

Jeg er usikker på i hvor stort et omfang de mener diverse område?
Access controle - Jeg har da sat AD op for flere kunder som konsulent, konfigurerede firewalls og sat VPN op i størrer og mindre organisationer. Men er det nok? hvor dybt skal det have været? eller er det lige meget?

Hvis det ikke stikker dybere så kan man jo nemt ha rørt mindst 2 punkter.. jeg har bare det her indtryk af CISSP er noget for eliten og ikke noget man starter med inde for IT sikkerhed. Når jeg læser her for jeg så indtrykket af det måske ikke er rigtigt, men mere et godt sted at starte for en nybegynder..

Kan nogen uddybe, hvis det her stadig bliver læst :)

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize