Een pad vinden in cybersecurity

Als persoon proberen we af en toe aan oprechte introspectie te doen, als developer is dat niet anders. Af en toe – een tot twee keer per jaar – probeer ik mezelf te confronteren met de weg die mijn loopbaan uitgaat: welke doelen heb ik al bereikt en welke doelen wil ik graag nog realiseren? Het antwoord op die vragen vormt dan weer de basis voor verdere vragen: wat zijn op dit moment mijn sterktes? Wat zijn op dit moment mijn werkpunten? En vooral, welke moet ik uitbuiten en welke moet ik bijschaven?

Een werkpunt voor mij was zonder twijfel (cyber)security. Net zoals vele andere developers ben ik na genoeg altijd wel geconfronteerd geweest met security op de meeste van mijn projecten. Maar dat was altijd beperkt tot het gebruik van tools en libraries die reeds aanwezig waren. Ik heb nog nooit de kans gehad om security in een project van scratch op poten te zetten – laat staan op een bredere, algemenere manier te redeneren over (cyber)security. Als ik me ergens in verdiep, wil ik graag uitvoerig de achtergrond en context bestuderen, daarom dat ik koos voor een cursus met een uitvoerige aanpak: edX Essentials Of Cybersecurity (door UWashingtonX).

Aaron Van Stappen

Senior Java Backend Developer - Java Coach, Juvo

In de vorige blogpost “Verloren lopen in cybersecurity” werd al snel duidelijk dat de titel passend was. Door de evolutie van het internet en andere technologieën is cybersecurity veel complexer geworden. De tijd dat het om een enkel carrièrepad ging, ligt al ver achter ons. Cybersecurity bestaat tegenwoordig uit drie fundamentele domeinen: het technische, het wettelijke, en het beleidsmakende domein. In ieder domein zijn er nog eens verschillende takken en mogelijkheden. Het kan dus snel een kluwen van mogelijkheden worden.

In deze blogpost wil ik proberen om een paar handvatten aan te reiken om zelf een pad te kunnen zoeken door het woud dat cybersecurity is. Zo zullen we een kijkje nemen naar bepaalde certificaten, het NIST en diens uitgewerkte carrièrepaden, en een paar praktische tips en tricks. Gezien de branche waarin we werken, zal het zwaartepunt op het technische aspect liggen.

Certificaten

Omdat er op dit moment geen afstudeerrichting in cybersecurity zelf bestaat, zijn certificaten de belangrijkste bewijzen voor verworven kennis. Net zoals met cloud computing of programmeren is er een resem aan certificaten voor handen. De onderstaande certificaten werden geselecteerd door specialisten. Je kunt ze bekijken als mijlpalen in een cybersecuritycarrière. Merk op dat deze paden – bewust – niet vendorspecifiek zijn.

Het eerste, en ook meest basale, certificaat is het Security+ certificaat. Het werd ontwikkeld en wordt uitgereikt door CompTIA. Het is veruit het meest voorkomende certificaat in de wereld van cybersecurity. Alhoewel het certificaat op beginnersniveau is, wil dat niet per se zeggen dat het makkelijk te behalen is.

Vervolgens hebben we het CISSP of Certified Information System Security Professional. Het werd ontwikkeld en wordt uitgegeven door ISC2. Een vereiste om dit examen te mogen afleggen is dat je minstens vijf jaar ervaring hebt in het beroep. Wat speciaal is aan het certificaat is dat het niet alleen geaccrediteerd werd onder het ANSI ISO/IEC Standard 17024:2003, maar dat het ook formeel werd goedgekeurd door het Amerikaanse Department of Defense, en dat in de UK dit certificaat zelfs werd gelijkgesteld met een masters diploma.

Tot slot is er nog het CISM of Certified Information Security Manager. Het werd ontwikkeld en wordt uitgereikt door ISACA. Het betreft hier een zeer geavanceerd certificaat dat aangeeft dat iemand een expert is in het beroep van cybersecurity. Naast het behalen van dit certificaat wordt er ieder jaar een hercertificering vereist.

Het spreekt voor zich dat er daarbuiten nog meerdere waardevolle certificaten zijn. Bovenstaande zijn vendoronafhankelijke certificaten waarvan bewezen is dat ze een meerwaarde hebben op de arbeidsmarkt.

NIST en carrièrepaden

Zoals vele malen al werd aangehaald, is het werkgebied van cybersecurity een heus kluwen geworden van mogelijkheden in verschillende domeinen. Het Amerikaanse NIST (National Institute of Standards and Technology) heeft er niet enkel voor gezorgd dat heel wat zaken en begrippen werden gestandaardiseerd, zo zal een online zoekopdracht je ook leren dat ze een framework hebben uitgewerkt voor cybersecurity dat geldt als een industry standard. Hetgeen waar wij echter in geïnteresseerd zijn, zijn de carrièrepaden die ze hebben uitgewerkt. Dat brengt ons naadloos bij de website cyberseek. Cyberseek maakt gebruikt van de verschillende paden in het domein van cybersecurity, maar voegt er een interessante, interactieve dimensie aan toe. We zullen ons focussen op twee interessante issues: de mogelijkheid om een carrièrepad te volgen en de mogelijkheid om een grondiger begrip te krijgen van bepaalde functies. Houd er echter rekening mee dat dit gestoeld is op de Amerikaanse realiteit: verloning, interessante geografische gebieden en dergelijke zijn minder relevant voor ons in België, maar als je dat in het achterhoofd houdt, heeft de website nog altijd een grote meerwaarde.

Figuur 1 laat de verschillende paden zien die door het NIST zijn vastgelegd. Daarnaast is er ook de mogelijkheid om te zien welke rol de mogelijkheid biedt naar een andere rol op een hoger niveau. Je kan kiezen tussen “Roles” en “Skills and Certification”. Het tweede geeft een overzicht over welke dingen je moet kunnen en kennen om aan de slag te kunnen in een bepaalde rol. Voor mij was dit zeer interessant omdat het mogelijk is om te kijken welke mogelijkheden er in de toekomst zijn naar gelang je huidige interesses en skills.

NIST en carrièrepaden

Daarnaast is er ook de mogelijkheid om dieper in te gaan op een bepaalde rol, zoals duidelijk wordt in Figuur 2. Je ziet niet enkel de verloning, maar ook welke functies ermee worden geassocieerd, wat het meest gevraagde opleidingsniveau is, hoeveel vacatures er zijn, … maar wat vooral belangrijk is: welke skills zijn het meest gevraagd zijn, welke certificaten worden verwacht, welke categorieën uit het NIST framework er het meeste aan bod komen, en wat toekomstige skills zouden kunnen zijn. Met deze informatie krijg je een beter zicht over wat de job precies inhoudt, wat je eventueel al in huis hebt en hoe je je nog kan bijschaven, mocht je de job ambiëren.

Cybersecurity Specialist

Zelfkennis is alles

Net zoals met alle andere dingen des levens geldt ook hier hetzelfde devies: zelfkennis is het begin der wijsheid. De volgende vragen kunnen misschien helpen om samen met de bovenvermelde website een beter beeld te krijgen van het pad dat je kan uitgaan binnen cybersecurity. Het antwoord op de volgende vragen is voor iedereen anders, maar ik zal ze toch proberen in te vullen door ze voor mij te beantwoorden.

Waar sta ik?
Momenteel heb ik ongeveer zeven jaar ervaring als software developer. Ik heb dus een grondige kennis van software gerelateerde zaken. Zoals vele andere software ontwikkelaars heb ik security geïmplementeerd in bepaalde applicaties, maar veel verder dan dat kwam het niet.

Wat kan ik al en wat ik nog niet?
Als software ontwikkelaar heb ik een goed zicht over welke aspecten er allemaal komen kijken bij het runnen van verschillende applicaties. Het merendeel van mijn kennis bestaat uit software ontwikkeling, het deployen ervan, en maintenance.
Waar ik echter nog nood aan heb, zijn vooral zaken zoals cryptografie, netwerk(beheer), en verschillende security implementaties (frameworks) kunnen evalueren.

Technische insteek of liever het geheel overschouwen?
Voor mij is dit een moeilijke omdat ik langs de ene kant nood heb aan een goed beeld van het geheel, maar ik hou er anderzijds ook van in de code te zitten. Voor mij zal het antwoord op deze vraag nu nog niet kunnen worden gegeven, maar zal de toekomst dit moeten uitwijzen.

Welke interesses heb je?
Mijn interesses zijn legio, en dan heb ik het enkel over mijn technische interesses. Het zou natuurlijk mooi zijn om mee het beleid te kunnen bepalen en accenten te kunnen leggen die velen ten goede komen. Maar daarnaast wil ik heel graag ook op low level bezig zijn met de code en implementaties. Momenteel ben ik nog niet op het punt in mijn carrière waarop ik al antwoorden moet kunnen voorzien. Het blijft echter wel een belangrijke vraag die ik moet meenemen tijdens mijn zelfontwikkeling.

Je eigen pad zoeken

Zo komt er een einde aan mijn tweedelige blogpost over cybersecurity. We hebben een vlucht genomen over de geschiedenis van cybersecurity, de hacker in detail bekeken, verschillende gevaren geïdentificeerd, en het Systems Thinking framework bekeken, om uiteindelijk dankzij het NIST verschillende paden te vinden binnen cybersecurity. De insteek is altijd geweest om een introductie te doen en eventuele handvatten aan te leveren, maar niet om specifieke zaken in detail te bestuderen. Mijn hoop is dat ik een duidelijk overzicht heb kunnen schetsen van een complex en zeer uitgebreid vakgebied dat zeer verschillende insteken heeft. Een raad die ik nog kan geven: laat je leiden door je eigen interesses en aspiraties, want kennis van cybersecurity is nooit overbodig in ons vakgebied.