IT Security oktatás, igazolás

Security-all

Sziasztok!

Egy cégtől megkerestek, hogy oktatást kellene tartanom Cybersecurity témakörben, amiről állítanék ki egy igazolást. Milyen tanúsítvánnyal kell rendelkeznie a cégemnek, hogy ezt megtehessem? 

  • 836 megtekintés

( KoGa v | 2025. 05. 29., cs – 17:40 )

Szeritem a válasz attól függ, te milyen igazolást szeretnél kiállítani. Ha valamilyen szakmai szervezet által elfogadottat, ott általában megvannak az adott szervezet elvárásai a kiállítóval szemben.

( peterdif | 2025. 05. 29., cs – 17:50 )

Szerkesztve: 2025. 05. 29., cs – 17:58

Ha a saját céged nevében adod, akkor semmi sem kell, rajzolsz valamit és ráíród, hogy XY itt volt és végighalgatott - "Jézusszíve BT.".

Ha egy másik pl. nemzetközi cég anyagát tolod le - mint hivatalos, vizsgázott, akkreditált oktatójuk -, akkor a szerződésed szerint az ő nevükben tudsz igazolást/certet kiadni.

Az hogy az ügyfélnek melyik kell/mi a "jobb", azt meg esete válogatja....

Ha elég, hogy átadd a saját tudásod/tapasztalatod egy részét és az IT-s meg kitehesse a falra és meg legyen az érzés, hogy a pogácsa mellé papírt is kapott, teljesen jó az első, de ezt a CV-jébe biztos nem tudja/fogja beletenni ill a cég sem biztos hogy mindenhol fel tudja majd használni - ha pl neki kell egy cert megszerzéséhez, hogy "legyen" egy ilyen oktatás.

Körbe kell járni a konkrét esetet...

Az én IBF-em sokat nem fog átadni, viszont a múltkor szomorítottak el, hogy mostmár kötelezően fognak látogatni is. 

Amúgy kíváncsi vagyok, hogy mivel foglalkozik egy IBF a számlázáson kívül.

Mert nálam az ITsec wazuh/zeek/suricata logok elemzéséből áll (szerintem ez lenne egy IBF feladata :)) nem pedig a papersec (ami biztos hasznos, mármint az excel táblák, csak épp semmitől sem védenek :))

Olyat kell választani aki rutinos/tapasztalt - bár az meg nem fog ilyenre beülni nagyon. :-)

Szerintem pont a papírozás, folyamatszervezés, oktatás és a biztonsági keretrendszer(NIS2, ISO,...) kialakítása/üzemeletetése és az auditok koordinálása egy IBF feladata, nem a operatív logturkálás.

Az egy junior secu analyst feladata - nem megbántva senkit, - de erősen a monkeywork részre a dolognak. A secu nem erről szól, főleg ha össz-vissz 1 ember van erre egy cégnél és kb.csak a megfelelés miatt.

Szerk:

Egy jó IBF hozzáadott értéke ott lesz, hogy gyorsan leveszi mi a helyzet, hol vannak eltérések a követelmények /best practice-ektől és a cég valóban fontos értékeinek megvédésében és  a management felé ezt megfelelően artiukálni is tudja, priorizál és az esetenként szük erőforrást úgy használja fel, hogy a valós védelem/megfelelés tetkintetében az optimumot hozza ki az egészből - a céget közben nem "agyonnyomva".

+ ha jön az auditor, akkor bábozik nekik (ez is külön "skill", bárkit nem érdemes odaküldeni, mert abból baj lehet). Ez az IBF.

Aztán ha tényleg komolyan akar a cég foglalkozni a secuval, akkor egy dedikált team-et húz fel/kiszervezi, mert a napi üzemeltetési, monkeywork részét is valakinek/kiknek csinálni is kell. Ehhez egy jó IBF túllövés.

Engem nem bántasz meg. :)

Képzelj el egy rendszert (szerintem nem csak nálunk ilyen) ahol van egy IBF-ed (aki néha beküld egy számlát) , meg egy szem nyomorult IT-sod aki csinálja a felhasználói támogatást (ebbe olyat képzelj bele, hogy olyanért is felhívnak, hogy ők csak az utolsó oldalt szeretnék a word dokumentumból kinyomtatni, vagy hogy ide be kellene szúrni az excelbe egy oszlopot, vagy el kellene küldeni egy emailt) , a rendszeradminisztrációt, a logturkálást, és közben még szaladgál néhány  intézmény közt is IT-st játszani úgy, hogy semmihez semmilyen jogosultsága nincs ott.

Értem én úgy ez úgy van kitalálva, hogy az IBF ezekszerint csak papírozik, de tök feleslegesen papírozik ha adhoc hiányoznak a feltételek a papírozásához. :P

100%ban tisztában vagyok a helyzettel (jó pár helyre hívtak engem is - de nem vállaltam, főleg úgy, hogy one-man-show lett volna egy olyan cégeknél ahol nincs/nem volt erőforrás erre és igazából ezután se lesz (pl 3 fős tehenészet)

Azért van IBF, mert kell hogy legyen - küldi a számlát - ennyit kértek tőle/tud/akar nyújtani.

Ötlete lehet hogy lenne, de a cég nem tudja "kiszolgálni", mert ha eddig sem foglalkozott dedikáltan a secuval, most sem fog (akar/tud).

1000 oka lehet ennek. Az is lehet, hogy pont így jó. (pl. NIS2 túllövései)

De ha megfelelési szempontból nézzük és 1 émbert húznak be rá az papírozni fog, mert az audior ezt fogja elsőnek keresni, a többit könnyű/könnyebb "kidumálni". Védeni nem fog semmitől, de ha ez a setup, akkor nem is akar a cég + védelmet.

Szerintem....

Ez IBTV alá tartozik. A NIS2-be még bele se néztem mondjuk az se biztos , hogy vonatkozik ránk.

Már a múltkor azért is volt sírás, hogy miért zár le a gép 15 perc után. Amúgy ez is lehetne az IBF feladata , hogy elmagyarázza, mert nekem már nincs hozzá türelmem. :D

Ott annyival jobb a helyzet, hogy van valami szakmai követelmény az IBF-re. 

Így max lusta vagy demotivált lesz, de nem feltétlenül tök hülye hozzá. :-)

 

NIS2-nél jelenleg még "bárki" lehet, akinek nincs az adott szervezetben vezetői vagy IT-s sapkája vagy külsős.

Így aztán el tudod képzelni kik (is) csinálják. Több ügyfél párhuzamosan, a papírozás copy-paste....valós secu + IT üzemeltetési tapasztalat kb 0. Ebből lesznek hatékony és hatásos folyamatok. :-)

Azt ha jól rémlik ott ki lehet/vagy ki lehetett váltani NKE-s bohóckodással és (x év irreveláns tapasztalattal), egyszer én is vettem fel probonon ilyen "Éves továbbképzés az elektronikus információs rendszer biztonságáért felelős személy számára", de utána rájöttem, hogyha jogász akartam volna lenni akkor jogi egyetemre megyek (informatikusként hasznosítható tartalom vajmi kevés volt benne.).

Ez IBTV alá tartozik. A NIS2-be még bele se néztem mondjuk az se biztos , hogy vonatkozik ránk.

El kell, hogy szomorítsalak, az IBTV már nem hatályos 2024.12.31. óta. Csak a 2024. évi LXIX. törvény Magyarország kiberbiztonságáról szóló van, ami valójában a korábbi Kibertantv és az IBTV egybegyúrva, mondván így csak egy helyen kell keresni. Csak így meg bogarászhatja az ember az adott szakasz elején, hogy ez most az állami vagy a gazdasági szektor szereplőire vonatkozik. Jó olvasgatást ;)

( wince | 2025. 05. 29., cs – 18:04 )

Olyan dolgot nem írhatsz rá amit felsőfokú szakképzésben, felnőttképzésben, főiskolán, egyetemen adnak, nem lehet diploma, oklevél, bizonyítvány felirat rajta.