» »

šola In varnost

šola In varnost

pupsi1984 ::

zanima me ali imamo v Sloveniji kje kakšno kvalitetno šolo oz podjetje, ki bi izobraževalo na področju informacijske varnosti? pa ne tako da mi zaračuna par tisoč evrov za certifikat, pa reče da sem strokovnjak, nauči me pa nič...kaj pa v tujini, kje?
samoučenje? kje, kako začeti?

... rad bi se izobrazil na tem področju, vendar bi rad da bi ta izobrazba bila komplementarna izobrazba moji osnovni izobrazbi...

overlord_tm ::

Osnovna izobrazba pa je? Mogoce kak podiplomski studij na kaki univerzi?

Cetrifikate bos v vsakem primeru veliko plcal, imas pa na voljo pomoje RHCSS in CCSP. Microsoft ima verjetno tudi kaj podobnega za svoje sisteme.

Teli trije so pomoje kar priznani certifikati, kako preprosto jih je dobit pa nevem. Cisco na akademskem nivoju je samo ena slaba sala, ampak industrijskega pa naj bi naredilo samo 10% najboljsih (tko, iz glave stevilka)

denial ::

Zanimivo, vendar nekateri največji strokavnjaki za računalniško varnost sploh nimajo nobenega certifikata. Svoje znanje potrjujejo v praksi in ne z raznimi certifikati.

No, v deželici pod Alpami je najbrž še vedno najpomembnejši papir/VIP.
SELECT finger FROM hand WHERE id=3;

pupsi1984 ::

v sloveniji je pač papir prvo kar se pogleda, poleg izkušenj (dejansko so pa prve zveze itak)... jaz osebno papirja ne potrebujem tolko, rad pa bi se naučil... me pa zanima katero literaturo priporočate za osnovni vstop v ta svet?

osnovno znanje pomeni, da bi potreboval prvo neko knjigo ki dobro in za začetek na enostaven način opiše delovanja omrežij... npr.

Zgodovina sprememb…

denial ::

Ne vem na kakšnem nivoju je tvoje znanje o sistemih in omrežjih. Jaz bi na tvojem mestu vsekakor začel pri "osnovah". Torej TCP/IP illustrated (omrežja), Intel software developer manuals (arhitektura), Windows internals (sistemi) ter Linux OS/kernel (sistemi).
SELECT finger FROM hand WHERE id=3;

Zgodovina sprememb…

  • spremenil: denial ()

pupsi1984 ::

ja točno to :-) thx

Zgodovina sprememb…

jkreuztzfeld ::

denial je izjavil:

Zanimivo, vendar nekateri največji strokavnjaki za računalniško varnost sploh nimajo nobenega certifikata. Svoje znanje potrjujejo v praksi in ne z raznimi certifikati.

No, v deželici pod Alpami je najbrž še vedno najpomembnejši papir/VIP.


Do določene mere s tabo strinjam. Pa vendar vendar, če se postavim v vlogo naročnika neke storitve, in moram izbirati med dvema ponudnikoma s podobnimi referencami, dosti raje verjamem nekomu z relevantnim certifikatom (npr. GIAC L5+, CISSP,...), kot nekomu brez.
--
Great minds run in great circles.

jkreuztzfeld ::

@pupsi1984
Informacijska varnost je zelo široko področje. Fino bi bilo, da se že v štartu odločiš približno kaj te zanima. Npr. Bi se ukvarjal z varnostnimi produkti, varnostjo storitev & aplikacij, varnostnimi politikami? Vsako od področij je izjemno obsežno in povsod moraš kljub specializaciji ohrnajati širino znanja. Predvsem pa boš potreboval mnogo potrpljenja, vztrajnosti in časa.
--
Great minds run in great circles.

Isotropic ::

vem, da agenda iz mb nudi neke penetration teste ipd. (varnostna politika), mogoce imajo tudi kaj izobrazevanja... lahko pa njih vprasas, kje so se izobrazevali oz. pogledas na linkedin, ce je kdo iz tam tam prijavljen.
lahko gres h matthaiu na podiplomca. :)

Zgodovina sprememb…

pupsi1984 ::

hmm predvsem se mislim ukvarjat s področje varnostnega meneđmenta... nekak treba vse pomalo poznat ane? ampak najbolj blizu temu so načrtovanje varnostnih politik?

terryww ::

housing -> ethical hacker. poglej si program
It is the night. My body's weak.
I'm on the run. No time to sleep.

denial ::

Ne bi rad bil žaljiv, sam tisti CEH modul pravi, da bom po 5-ih dneh, opravljenem izpitu in 1.950€ postal heker. w00t!? Šnelkurs varjanta. Nimaš kaj komplicirat. Ah, verjetno ne bom ravno najbolj kompetenten, certifikat bom pa le imel. In to je itak napomembnejše.

Primer "ta pravega" tečaja: KLIK. Cena približno ista, ne dobiš certifikata, le znanje.
SELECT finger FROM hand WHERE id=3;

BlueRunner ::

hmm predvsem se mislim ukvarjat s področje varnostnega meneđmenta

Reče se upravljanja z varnostjo. Če želiš opredeliti področje, potem pa rečeš upravljanje informacijske varnosti.

Na šole pozabi, ker takšen prgram ne obstaja. Boš pa ugotovil, da svetovalci v tej branži prihajajo iz dve skupin in imajo posledično dva različna pristopa. V družboslovni skupini so ekonomisti in organizatorji, ki so pri svojem delu zajeli tudi varnostne okvirje kot garant dolgoročne poslovne stabilnosti. V naravoslovni skupini pa so največkrat diplomati rač., elektro in strojnih fakultet, ki so se pri svojem delu začeli več posvečati implementaciji varnosti. Delo teh dveh glavnih skupin se nekoliko prekriva, večinoma pa je primarno delo obeh komplementarno. "Družboslovni" se ukvarjajo z varnostjo od zgoraj navzdol, "naravoslovni" pa se ukvarjajo z varnostjo od spodaj navzgor.

Tipično delo "družboslovcev" tako obsega pripravo izobraževanj in njihovo izvajanje za vodstveni kader, zasnove varnostnih politik, vzpostavitve sistemov za upravljanje z varnostjo, razvoj metrik, ipd. Trenutno tipična naloga tega profila je vpeljava standarda ISO 27000.

Tipično delo "naravoslovcev" obsega izbore arhitekturnih pristopov, razvoj in usklajevanje posameznih internih aktov, usklajevanje informacijsko podprtih procesov, testiranje varnostnih parametrov, izvajanje izobraževanj za tehnično osebje, ipd. Ethical hacking pade v to kategorijo, kot tudi načrtovanje varnostnih barier in podobno.

Tretja veliko manjša skupina pa so revizorji, ki tipično pridejo iz vrst družboslovcev. Pri teh pa se pokaže njihovo poglobljeno vsebinsko znanje o temu kaj naj bi informacijska varnost bila, kako naj se jo bi realiziralo in kako ugotavljati, če se podjetje te problematike loteva uspešno ali ne tako zelo uspešno. Vse to pa ocenjeno iz vidika poslovnih in finančnih tveganj.

jkreuztzfeld ::

Težko bi povedal bolje kot BR.

Po mojem mnenju zelo dobra izobraževanja nudi SANS. Cena je kvaliteti primerna ($3k+ za 5-6 dnevne tečaje brez certifikata). Seveda tudi tu potrebuješ stopnji tečaja primerno predznanje, ter kar precej dodatnega študija za primeren GIAC certifikat.
--
Great minds run in great circles.

pupsi1984 ::

hvala za vse odgovore,

BR je predlagal, da naj bom bolj specifičen, kaj me zanima točno:

- področje planiranja varnostne politike predvsem v organizacijah kot so vojska-NATO standard, policija, obveščevalne službe, privatne varnostne službe, zaščita kritične infrastrukture ... delno tudi privatni sektor, kjer je potrebna visoka stopnja varnosti in tudi varovanja (npr. banke itd)... tu torej predvsem tisti del, ki se tiče upravljanja z informacijsko varnostjo...

- potem pa je tu še drugo področje, ki ima s tem področjem samo posredno povezavo, gre predvsem za dostop in analizo javnih virov (OSINT) in vrednotenje tega... na cobisu nisem našel veliko o tem področju, večinoma so diplomske naloge in časopisni članki, ki vsi bolj filozofirajo kot kaj drugega... na internetu je sicer kar veliko napisano o tem, vendar ne vem kje začeti...

BlueRunner ::

Hmm... glede na tvoje želje in znanje, ki ga že imaš, je smiselno, da greš v smeri CISM, ki je na področju upravljanja zelo priznano potrdilo. Ni pa to trajno potrdilo, temveč je vezano na permanentno izobraževanje - vsako leto boš tako moral zbrati dobršnje število ur dodatnega izobraževanja, kar ni poceni. Običajno pa ta strošek krije tvoj delodajalec, oziroma imaš iz naslova svetovalnega dela s tem potrdilom dovolj prihodkov, da si lahko privoščiš obiske teh izobraževanj.

S tem potrdilom pa boš lahko bolj uspešno konkuriral za željeno delo. Na začetku verjetno kot "eden v ekipi, ki pripravlja" s časom in z uspehi pa boš zagotovo napredoval. Dodatna izobraževanja pa ti bo potem omogočal delodajalec (MORS, SOVA, NATO, ...) saj jih je velika večina varnostno občutljivih in do teh vsebin kot civilist preprosto ne prideš.

Kar se tiče zasebnih varnostnih služb, ti jih odsvetujem. Preprosto ne vem niti za eno, ki bi se s to panogo resno ukvarjala, rešitve, ki jih preprodajajo, pa so le marginalno boljše od tistih, ki jih poskušajo razvijati sami. Tukaj preprosti ne vidim perspektive, znanja in možnosti za kakršen koli strokoven razvoj na področju informacijske varnosti. Kolikor informacijska varnost uporablja elemente fizičnega varovanja, se ga tretira izključno kot operativno delo, zasebne varnostne službe pa izključno kot izvajalce nalog in nikoli ne kot "načrtovalce". Preprosto se ta podjetja pri nas niso transformirala, da bi bila sposobna servisirati te potrebe zasebnega sektorja.

Za zasebni sektor pa je delo nekoliko lažje, saj lahko veliko pridobiš tudi s cenejšimi potrdili, ki jih je tudi lažje ohranjati. Tukaj boš lahko na lastne stroške startal že s potrdili o opravljenih tečajih (npr. tečaj za notranjega presojevalca po ISO 27001 so precej poceni, če vidiš, da kdo išče to specifiku, lahko tečaj včasih opraviš še pred prvim razgovorom. Od večjih projektov pa je zelo cenjen CISSP, ki ti odpre vrata v bankah, zavarovalnicah, ...

Kar se pa tiče osint-a, pa se z njim pri nas aktivno ukvarja samo država, ostali pa verjetno ne, ali pa to počno tako tiho, da so se izmaknili še celo pod mojim radarjem. SOVA zagotovo, morda tudi MORS, Policija mislim, da je nekaj razmišljala o temu, vendar ne vem kakšna je bila končna odločitev. Upoštevati moraš, da je to zelo specifična zadeva, zato boš tukaj pri nas težko prodrl in dosegel neko osebno zadovoljstvo, glede na kontekst in občutljvost tega dela, kot ga opravlja država, pa tega znanja ne boš mogel "izvoziti" ne v zasebni sektor, še manj pa v tujino. Po drugi strani pa je morda pri nas v navezi s kakšnim drugim dobaviteljem tovrstnih produktov postaneš prvo podjetje, ki bo to storitev pri nas ponujalo komercialno, pri čemer ne boš samo preprodajalec, temveč boš v tej navezi razvijal tudi znanja v obsegu, ki bo v prihodnje verjetno zelo "marketable".

Od GIAC potrdil ti lahko za tvoj kontekst predlagam management smer (GISP, GSLC, GCPM), pogojno tudi revizijsko (GSNA). Ostalo so poglobljene tehnične stvari, ki nekako ne gredo v smeri tvojih želja.

Kar se tiče udeležb na različnih konferencah, pa ti jih v tem trenutku odsvetujem. Ne zato, ker iz njih ne bi ničesar odnesel, ampak zato, ker je težko mahati z "udeležbo na konferenci". Mnogo lažje je mahati s potrdili o opravljenih tečajih. To pa pomeni, da potem svoj čas (posledično tudi denar) usmeriš v grajenje reference, konference pa (če ti jih je delodajalec pripravljen plačati) pa obiskuješ bolj poredko. Porabiš čas in energijo, vendar pa v času, ko se na novo pozicioniraš nobenega ne boš imel na pretek. Ko pa boš enkrat "usmerjen" in priznan v svoji smeri, pa se bo to obrnilo na glavo. Tečajev bo samo toliko, kolikor bo nujno potrebno za ohranjanje veljavnosti potrdil, veliko več pa bo udeležb na konferencah, kjer boš zbiral znanje in gradil omrežje poznanstev, ki je (tudi) v tem delu bistveno. Za konference pa nikoli ne podcenjuj lokalnih v Sloveniji, ker se tudi na njih občasno pojavijo priznani strokovnjaki. Če jih imaš možnost poslušati ali srečati za male pare, to vsekakor izkoristi.

pupsi1984 ::

hvala za tako izčrpen odgovor!

cyber_killer ::

@pupsi

Še od mene nekaj. Se strinjam z večino kar so napisali. Jaz bi za začetek šel na izobraževanje Network+, nadaljeval Security+, potem nadaljeval pot preko Ecouncil firme. Šele ko boš imel širok spekter znanj, boš lahko začel z upravljanjem inf. varnosti kot profesionalc.

poweroff ::

Isotropic je izjavil:

lahko gres h matthaiu na podiplomca. :)

Nope. Jaz (oz. bila nas je skupina nekaj ljudi) sem na dveh fakultetah in pri enem podjetju poizkusil s to idejo o podiplomskem študiju informacijske varnosti, imam celo pripravljen predmetnik, literaturo, mednarodno primerljivost,... vendar ni interesa. Vsaj v Sloveniji ne.

Ideja je bila, da je študij bolj "družbosloven", se pravi poznavanje relevantne zakonodaje in standardov, vendar tudi z nekaj malega numerične analize (statistika, itd.), predvsem pa "IT predmeti" ter veliko praktičnega dela. Zlasti na področju implementacije varnostnih sistemov, testiranja in opravljanja digitalno forenzičnih preiskav.

Kar se tiče zasebnih varnostnih služb, ti jih odsvetujem. Preprosto ne vem niti za eno, ki bi se s to panogo resno ukvarjala, rešitve, ki jih preprodajajo, pa so le marginalno boljše od tistih, ki jih poskušajo razvijati sami.

Predvsem pa mnoge delujejo na meji zakona (ali čez), zato delo v takšni službi ni referenca. Za policijo ali pravosodje boš zelo težko delal, če si prej delal za zasebno varnostno službo. Itak pa delajo samo "drobtinice" (manj zahtevna tehnična opravila).

tiho, da so se izmaknili še celo pod mojim radarjem. SOVA zagotovo, morda tudi MORS, Policija mislim, da je nekaj razmišljala o temu, vendar ne vem kakšna je bila končna odločitev.

Da, vendar pri nas SOVA (in še posebej MORS) za moj občutek čisto premalo vlagata v znanje in inovacije. Vlaganje se ustavi nekje pri nakupu nove specialne opreme in izobraževanju za delo z njimi.

Kolega, bivši heker, je recimo v parih letih svojega raziskovanja odkril kako je mogoče hekati klasične telefonske centrale in prevzeti nadzor nad njimi (ter klici). Ne predstavljam si, da bi imel v kakšni SOVI možnosti za pridobivanje takega znanja. Oni pač kupijo "vmesnik" in naučijo ljudi delat z njim. Kar je seveda fino, ampak malo dolgočasno...

Kar se tiče udeležb na različnih konferencah, pa ti jih v tem trenutku odsvetujem. Ne zato, ker iz njih ne bi ničesar odnesel, ampak zato, ker je težko mahati z "udeležbo na konferenci". Mnogo lažje je mahati s potrdili o opravljenih

Da, in to velja celo če na konferenci predavaš, ne zgolj poslušaš. Vsekakor pa se vedno splača skušati pripraviti kakšen zanimiv prispevek in ga kje predstaviti - če ne zaradi drugega, zaradi mreženja.
sudo poweroff

Vice ::

Hmm kolikor vem je bil program Inf. varnosti pri nas cca. 1 leto, če se ne motim na miličniški, tudi sam program je bil zelo obetaven in je še mene takrat pritegnil, vendar ker bi bla ta sprememba takrat zame prevelik finančni zalogaj sem to opustil. V glavi imam ceno enega letnika okoli takratnih miljon tolarjev oz. malenkost več. Je bilo pa to cca. 5 let nazaj, program sem zasledil preko neta, vendar vem da ga v enem letu ni bilo več, verjetno iz istega razlog kot je to omenil Matthai.

Vendar glede na trenutno stanje bi znalo to danes biti bolj interesantno. Nista samo Sova in Mors ki potrebujeta takšen kader :)

poweroff ::

Ja, FVV ima še ta program oz. novega. Vendar so ga obrnili nekoliko po svoje. Po moje kakšnega uspeha ne bo.
sudo poweroff

tiran2000 ::

http://www.fvv.uni-mb.si/izobrazevanje/...

mnenje računalničarjev glede perspektive tega programa? se splača it to študirat??? mislim glede zaposlitve...

cyber_killer ::

Sami teoretiki...jaoo informacijska varnost pol pa nek managment...bs...če hočeš bit stručko v na področju sekjuritija pol morš znat vse...

tiran2000 ::

sej to ma kao tud feri drgač? ka pol študirat it? sej a ni tko da na računalniškem faksu tud bore malo potegneš od prakse??? kolkr sm gledu predmetnik ni takorekoč nič veze z varnostjo... pa še sama matematika je bojda... to mi ne diši lih (sej ni problem, da kašn predmet ali dva, sam da pa da bom gulu matematiko cel faks, ki mi pol 90% ni potrebna ...)... opcije ki jih vidim od informatike so še: upravna informatika, poslovna informatika, družboslovna inf., informatika v sodobni družbi, org in menedžment informacijskih sistemov, Informatika in tehnologije komuniciranja...pol sta pa tu seveda še feri in fri kar se računalništva tiče... nič od tega ni približno temu kar bi jaz študiral... je mogoč na hrvaškem, italiji ali avstriji kej? edino na norveškem sem najdu en tak program do zdej... pa britaniji, kjer zarad šolnin ne pride v poštev...

Zgodovina sprememb…

poweroff ::

Hlod, svetujem ti, da greš kar v službo. Študij ni zate. Glede na odnos, ki ga kažeš. Žal ima tak odnos večina slovenskee študentarije, zato pa je tako v naši državi...

Fant, študij je predvsem garanje. Trdo delo, ki ti da vstopnico za naprej. Ne garancijo - vstopnico.

Glede tega študija na FVV... žal je res čisto preveč teoretski.
sudo poweroff

overlord_tm ::

Mislim, te usmeritve so bolj studiji, kjer bos potem napravljen v obleko in kravato direktorjenm prodajal meglo od varnosti. Ne dajo ti pa dovolj podlage da bi lahko potem deloval kot "security researcher" in dejansko sam odkrival nove varnostne pomankljivosti. Za to bos rabil veliko vec programiranja in matematike kot imajo oni v predmetniku. Niti si ne predstavljam kako lahko ucitjo kriptografijo ljudi, ki razen srednjesolske matematike niso imeli nic drugega.

Drugace je predvsem odvisno od lastne angaziranosti in verjemi, se hvalezen bos da te faks nadrka teorijo, ker prakso se vsak z veseljem doma uci, da se pa spravis za knjige un se ucis teorijo sam od sebe je pa bolj redek dogodek. Ampak pomaga, ponavadi obstaja ena teorija in miljon praks ki jo uporablja. In ce bos znal to teorijo, potem se bos vsako od teh praks z lahkoto naucil. Ce ne znas teorije, bo vsaka praksa kot da se ucis od zacetka.

tiran2000 ::

mathei končal sem tri fakultete... tko da mislim, da odgovor ni na mestu... rad bi pač šel v to smer kot pupsi in ne vem kam it, oz kje začet da bi se začel ukvarjat s to smerjo, oziroma da bi me ko bi želel delati na tem področju sploh kdo jemal resno... brez fakultete te pač ne...

Zgodovina sprememb…

poweroff ::

O, a res?

Katere tri pa?
sudo poweroff

jype ::

Hlod1984> končal sem tri fakultete...

In še vedno ne znaš visokošolske matematike? Ti gre na živce?

Potem ne boš dober. Za karkoli pametnega delat na tem področju moraš podrobno poznat računalniške arhitekture in sisteme na zelo nizkem nivoju. Biti moraš hkrati dober programer, dober matematik, pomaga pa tudi da si dober hardveraš (ne da znaš sestavljat PCje - da znaš narisat svoj CPU, recimo).

tiran2000 ::

ok. kaj je s tujino? pozna kdo kaj?

poweroff ::

Če si res končal tri fakultete, potem verjetno zelo dobro poznaš možnosti študija v tujini. Ampak po moje samo nabijaš.

Najprej sploh povej katero področje te zanima. Informacijska varnost - ampak kaj. Bi bil raziskovalec na tem področju, bi rad delal kot svetovalec in notranji presojevalec za ISO/BS standarde? Morda digitalni forenzik? Vodja IT sec področja...?
sudo poweroff

tiran2000 ::

lej matthai ni se mi treba zagovarjat kaj sem študiral res... če ne verjameš pač ne... ni to moj problem :-) pa brez zamire...

za študij v tujini sem se začel zanimati šele predkratkim, saj sem prej bil zaposlen kot učitelj, oz. sem hkrati končeval tretjo fakulteto (v bistvu magisterij-samo bolonjski zato pravim fakulteta), zato ni bilo časa. V bistvu sem ugotovil, da v moji branži ni nobene perspektive glede napredovanja (ker je trenutno vse totalno zasičeno), dela in zaposlitve, zato sem se nameraval preusmeriti v druge vode.. Hardcore tehnik pa nisem ne, nevsezadnje sem zadnje matematične predmete poslušal 7 let nazaj, če odštejem ne prave matematične predmete kot so statistika, multivariatne metode, prostorska informatika in podobne zadeve... zanimalo me bi predvsem v smeri (tudi zato ker sem pedagog) kot je že bilo omenjeno za pupsija "tako obsega pripravo izobraževanj in njihovo izvajanje za vodstveni kader, zasnove varnostnih politik, vzpostavitve sistemov za upravljanje z varnostjo, razvoj metrik, ipd. Trenutno tipična naloga tega profila je vpeljava standarda ISO 27000." FVV faks se mi je zato zdel primeren v tej smeri... zato sem spraševal... v bistvu mi formalna izobrazba ne pomeni veliko, hkrati pa se mi tudi ne sanja kje začeti sploh na tem področju... za certifikate ki jih omenjate zgoraj za pupsija pa jaz enostavno nimam denarja, da bi si jih lahko privoščil... fvv, feri, fri... bi pa bil pač zastonj...

poweroff ::

Znanje se da dobiti zastonj, certifikati pa res nekaj stanejo. Ampak certifikati niso tako pomembni. Moj nasvet bi bil naslednji... pojdi čez tematiko, ki jo pokriva izobraževanje Certified Ethical Hacker. Začni spremljati infosec bloge. Recimo Schneierja, Rossa Andersona, Freedom to Tinker blog... preglej in preposlušaj si predvanja iz CCC, BlackHat, SmooCon, itd...

Potem si izberi kakšno temo, jo obdelaj in napiši članek ali naredi predstavitev za Infosek konferenco. Tam boš dobil stike, se dogovoril za kakšno poslovno sodelovanje, potem pa dalje.
sudo poweroff


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Študij informatike - VŠ

Oddelek: Šola
253700 (3202) PrihajaNodi
»

Šifriranje skoraj ni ovira za NSA in GCHQ (strani: 1 2 )

Oddelek: Novice / NWO
6145520 (40045) trizob
»

Mnenje o tem podiplomskem studiju

Oddelek: Šola
51387 (998) tiran2000
»

Informacijska varnost 101

Oddelek: Informacijska varnost
5743 (587) Matija82
»

ISO 27001, oddaljeni dostop in RDS

Oddelek: Informacijska varnost
122217 (1988) BlueRunner

Več podobnih tem