Examens en nog eens examens

Vorig jaar poste ik over mijn examenplannen voor 2020. Helaas heeft de huidige Covid-19 pandemie aardig roet in het eten gegooid. Het idee was om de volgende examens te doen:

• CompTIA Advanced Security Practioner (CASP+) - gehaald
• LPI 303-200 Enterprise Security - gepland voor 20 november - gecanceld vanwege Covid-19
• EXIN Privacy & Data Protection Foundation - niet ingepland
• EXIN Business Continuity Planning - reeds verschoven naar 2021

 Nu het einde van het jaar nadert en er voorlopig geen einde lijkt te komen aan de "tweede golf", zal ik mijn examenplannen moeten bijstellen en kijken naar 2021.

2021: Certificeringen en examens

Onder voorbehoud van de Corona-maatregelen

• LPI 300-200 Enterprise Security
• IAPP CIPP/E (vervangt EXIN Privacy & Data Protection)
• EXIN Business Continuity Planning
• Certified Information Security Auditor (CISA)
• Certified Information Systems Security Practioner (CISSP)

Uiteraard is dit een vol programma, maar ik ben reeds begonnen met het voorbereiden drie van de vijf examens.

Waarom eigenlijk al die Cybersecurity examens?

 Als IT Security Consultant is het belangrijk dat mijn cliënten kunnen vertrouwen op expertise op het terrein van IT-beveiliging. Certificaten zijn een handig en eenvoudig middel om mijn kennis en kunde van Cybersecurity aan te tonen. Bovendien ben je in mijn vakgebied nooit uitgeleerd en door mij voor examens voor te bereiden, leer ik steeds nieuwe zaken.

Uiteraard is mijn IT Security educatie niet beperkt tot het leren van examens en doe ik nog veel meer! Zo volg ik dagelijks meerdere websites, bezoek (in zoverre mogelijk) relevante bijeenkomsten en doe ik mee aan workshops, zoals recentelijk de IntelFence workshop over Zero Trust Networks.

Mijn diensten als IT Security consultant

 Als cybersecurity consultant bij Asomis IT Security biedt ik verschillende diensten aan, waaronder:

• Information Security Risks
• Cyber Security Scans
• Security policies & guidelines opstellen
• Cybersecurity Awareness Training

Meer weten over mijn diensten? Kijk dan hier voor meer informatie.

Wat is een Cybersecurity strategie?

 Als IT-Security consultant help ik organisatie bij het ontwikkelen van een effectieve Cybersecurity strategie. Wat bedoelen we nu eigenlijk met een Cybersecurity strategie? In dit artikel leg ik het uit.

Waarom CISA?

Zoals ik in mijn vorige post schreef heb ik op 8 april j.l. mijn CASP+ behaald. Aangezien je als cybersecurity specialist nooit uitgeleerd ben, heb ik voor de rest van dit jaar nog twee examens in de planning staan. Echter ben ik ook al bezig met de examen planning van 2021. Het eerste examen is eigenlijk een doorschuiving van de oorspronkelijke planning voor dit jaar en zal het EXIN Business Continuity Management Foundation zijn.

Hoewel Business Contuity Management een belangrijk aspect is van mijn IT-Security Consultancy praktijk, wil ik het hier over een ander groot examen hebben. Vorige week is namelijk de CISA Study Guide, Fourth Edition (David L. Cannon e.a.) bij mij bezorgd. Juist, ik wil in 2021 opgaan voor het Certified Information Systems Aditor a.k.a. CISA examen van de ISACA.

Waarom de keuze voor CISA? Om te beginnen stelt CompTIA als voorwaarde voor het behouden van mijn CASP+ certificaat het behalen van een andere (hoger) certificaat en CISA is een van de approved certificeringen. Echter blijft de vraag waarom specifiek CISA en niet een van de andere goedgekeurde mogelijkheden?

De kern van mijn werk als IT-beveiligingsconsultant is ontwikkeling van cybersecurity strategiën en hiervoor is het uitvoeren van information security risk assessments (hier vallen ook Cyber Security Scans en Business Impact Analyses onder) essentieel. Deze assessment is wezen niets anders dan het systematisch in kaart brengen van welke risico's een organisatie loopt op het gebied van IT-beveiliging (zie hier voor wat we eigenlijk verstaan onder het begrip risico). Met andere woorden we willen hiervoor een IT-security audit uitvoeren.

Daarom lijkt het mij logisch om eerst op te gaan voor het CISA examen, alvorens naar andere certificering (zoals CISM of CRISC) te kijken.

CASP+

Gisteren heb ik met succes het Comptia Advanced Security Practioner examen afgelegd en dus mag ik de komende drie jaar CASP+ achter mijn naam zetten. Dat ik dit examen zou halen, is eigenlijk amper verrassend. Zoals ik in een eerdere post heb geschreven, hoort bij de officieële study guide ook een online oefenomgeving. En dinsdagavond was dit hoe ik er voorstond:

Het gaat hier om rechter taartdiagram. In de online omgeving zijn er in totaal 357 oefenvragen. Hiervan had ik er 319 goed (het groene deel) en 38 fout (het rode deel). Ofwel ik had een overall score van 89,36 procent in de examenvoorbereiding. De auteurs van de study guide, Jeff T. Parker en Michael Gregg, adviseren kandidaten om pas voor het CASP+ examen op te gaan bij een 90 procent score. De vermelde tijd, is de totale hoeveelheid tijd die ik heb besteed om alle 357 vragen te beantwoorden.

Afgelopen november schreef ik dat ik dit jaar voor de volgende certificaties wilde opgaan:

• Comptia Advance Security Practioner
• EXIN Privacy & Data Protection Foundation (a.k.a. AVG)
• EXIN Business Continuity Planning Foundation
• LPIC-3 303 Security

Het eerste certificaat is binnen. Mijn intentie is om nummer 2 in augustus of september te doen. In verband met de Covid-19 pandemie en de daaruit volgende beperkingen om examens af te leggen, heb ik besloten om Business Continuity Planning naar 2021 te verschuiven. Het LPI 303 examen staat voor alsnog gepland op 20 november 2020.

Covid-19: Blijf thuis

Het zal u niet ontgaan zijn, maar ook Nederland is in de ban van het Corona-virus (Covid-19). De pandemie blijft maar om zich heen slaan, hoewel er ook lichtpuntjes zijn. Om de situatie beheersbaar te houden, heeft de overheid burgers op geroepen om zoveel mogelijk thuis te blijven, zeg maar een ophokplicht voor mensen.

Voor een startend ondernemer zoals mijzelf, zijn de maatregelen die overheid heeft genomen erg vervelend. Vooral het verbod op alle bijeenkomsten tot 1 juni a.s. hakt er erg in - aangezien dit mijn mogelijkheden om te netwerken met potentiële klanten aanzienlijk beperkt. Niettemin gaat de volksgezondheid voor.

Gelukkig hoef ik mij thuis niet te vervelen. Ik ga, zoals u misschien al weet, binnenkort op voor het CASP+ examen (staat voor begin april, maar moet nog even uitzoeken of dit gegeven de huidige omstandigheden verschoven moet worden). Mij hierop voorbereiden doe ik uiteraard thuis en gezien alle sociale evenementen (hockey, meetups etc.) zijn afgelast, is er eigenlijk ook weinig anders te doen. Op basis van de online voorbereiding, zou ik nu rond 84 procent zitten - zonder veel inspanning. Echter het is mijn streven om met leren boven 90 procent te komen.

Afgezien van de voorbereiding op mijn examen, blijft klantenwerving een topprioriteit. En dat zal meer dan ooit te voren online moeten gebeuren, gegeven dat real live meetings momenteel illegaal zijn. Gisteren heb ik voor het eerst een video-conference gehad, waarop volgende week een vervolg gaat komen. Eerlijk gezegd beviel mij dit wel goed.

En daarom heb ik besloten om vanaf volgende week een online cyber security spreekuur via Skype te gaan houden. Dit zal zijn op donderdag 2 april zijn, tussen 9:30 en 11:30. Dit spreekuur is bedoeld voor MKB-ers die vragen hebben over hun ICT-beveiliging. Deelname is gratis, wel graag van te voren aanmelden via de mail (is te vinden op mijn blogspot-profiel).

Zo kunnen we door blijven werken vanuit huis!

Vrijwilligerswerk

Naast mijn belangstelling voor Linux en IT-security, ben ik sinds het najaar van 2017 actief als vrijwilliger bij Humanitas Breda binnen het project Thuisadministratie. In deze rol help ik mensen om weer overzicht te krijgen in hun persoonlijke financieën en daarmee ook meer regie over hun eigen leven. Aangezien iedere deelnemer (zo noemen wij onze "klanten") zijn of haar eigen problematiek heeft, moeten ik en mijn mede-vrijwilligers maatwerk bieden.

Als vrijwilliger Thuisadministratie is de allerbelangrijkste vaardigheid die ik nodig heb is het vermogen om te goed luisteren naar mijn deelnemers. Alleen op deze wijze kan ik er achter komen welke specieke behoeftes mijn deelnemer heeft en dus wat de problemen hij of zij mee te kampen heeft. Het is zeker niet de bedoeling dat wij onze eigen denkwijze aan de deelnemers opleggen. Wij laten de mensen die wij ondersteunen in hun waarde.

Uiteraard dien ik als vrijwilliger ervoor te zorgen dat mijn deelnemer mij relevante informatie verschaft. Gelukkig geeft Humanitas haar vrijwilligers een gedegen training, waarbij gesprekstechniek is inbegrepen. Enkele aspecten hiervan zijn o.a. het stellen van de juiste vragen en welke houding je inneemt tegenover de deelnemer.

Onze deelnemers hebben niet zelden al een geschiedenis van (financiële) problemen en die kunnen we dus niet in één keer op lossen. Doorgaans duren onze begeleidingstrajecten dan ook enkele maanden. Geduld maar ook discipline zijn dan ook belangrijke eigenschappen die ik bezit. En laten we niet vergeten, punctualiteit. Als vrijwilliger heb ik natuurlijk een voorbeeldfunctie voor mijn deelnemers en dus moet ik het toonbeeld van betrouwbaarheid zijn.

Gelukkig voor mij, zijn mijn deelnemers - waarop ik vanwege hun privacy niet verder op zal ingaan - zeer tevreden over de manier waarop ik hen ondersteun. Juist vanwege mijn open en begripvolle houding, geniet ik het vertrouwen van mijn deelnemers. Deze positieve feedback is een van die factoren die mij motiveren om vooral door te gaan als vrijwilliger bij Humanitas.

De ervaring die ik de afgelopen tweeënhalf jaar heb op gedaan als vrijwilliger Thuisadministratie beschouw ik als een waardevolle aanvulling om mijn vakinhoudelijke kennis voor mijn werk als IT-beveiligingsconsultant. In beide functies wil ik mensen helpen. In de eerste rol door mensen overzicht in hun persoonlijke administratie (terug) te geven, in de laatste door organisaties inzicht te geven in welke risico's zij lopen. Op basis hiervan kan ik mijn cliënten helpen een effectieve security strategie te ontwikkelen.