#04
De waarde van security-certificeringen
Een vastberaden hacker komt heel ver
Belang van secure programming neemt toe
“COMPUTRAIN BIEDT EEN COMPLEET ORACLE-PAKKET.” MARGREET DAM, AJILON YOUNG PROFESSIONALS
September 2016
DE VISIE VAN... Computrain werkt samen met alle belangrijke vendoren in Nederland. Hierdoor zijn onze trainingen altijd up-to-date. Hoe kijken onze partners naar actuele thema’s in IT? In deze editie komt Wim de Haas van Oracle aan het woord. Internet of Things “Internet of Things betekent een grote stap vooruit voor de IT en voor het grote publiek. IoT-technologie wordt onder meer rechtstreeks geïmplementeerd in auto’s, woningen en werkomgevingen. Met name de medische technologie zal een belangrijke rol spelen. Dit is bij uitstek de branche waarbinnen veiligheidsvoorschriften voor gegevens en functionaliteit een centrale rol innemen. Veiligheidsaspecten zijn veel complexer dan de bestaande technische realisatie van Internet of Things. Oracle biedt naast technologische en aan veiligheid gerelateerde stacks passende trainingen om te zorgen dat werkzaamheden soepel verlopen en waterdicht zijn.”
Big data “Big data is een zeer controversieel onderwerp: consumenten vrezen misbruik, bedrijven zijn onzeker over de juiste toepassing. Het grootste risico voor bedrijven is dat data niet volledig worden begrepen. Het analyseren van uit allerlei bronnen afkomstige gegevens in verschillende formaten om tot coherente beslissingen te komen geeft de rol van data scientist een nog niet eerder ervaren dimensie. Met specifiek op Big data afgestemde training kunnen Oracle-tools tijdens de gehele levenscyclus van gegevens betrouwbaar en verantwoord worden ingezet.”
Enterprise Mobility “Met meer dan 130.000 werknemers kan Oracle zichzelf uiterst mobiel noemen. Weinig andere bedrijven hebben zo vasthoudend geïnvesteerd in een decentrale, mobiele samenwerking. Het functioneel beschikbaar stellen van technologieën die BYOD (bring your own device), CYOD (choose your own device) en vergelijkbare ontwikkelingen mogelijk maken, vormt een deel van de oplossing. Het uitwerken van concepten moet een overkoepelende rol innemen. Digitale en klassikale trainingen moeten hiervoor zorgen.”
“Internet of Things betekent een grote stap vooruit voor de IT en voor het grote publiek.” Wim de Haas, Sales Consulting Director Oracle University EMEA 02
THEMA
Cloud “In de afgelopen jaren heeft geen enkel bedrijf zo snel en constant aan de vraag van klanten op het gebied van cloudoplossingen voldaan als Oracle. Het portfolio van Oracle doorkruist het volledige spectrum. Alle hardware- en softwaretechnologieën hebben zich on-premise bewezen en zullen dat succes in de cloud voortzetten. Door cloudoplossingen breed in te zetten zullen conventionele functiebeschrijvingen binnen de IT transformeren. Systeemintegratie zal steeds belangrijker worden, omdat bedrijfsprocessen vanuit toepassingen ter plaatse met de cloud en tussen cloudtoepassingen moeten communiceren.”
REDACTIONEEL
De visie van Wim de Haas, Oracle
Vandaag de dag is de norm ‘being connected’, altijd en overal. Mobile devices en wireless netwerken zijn in onze economie en maatschappij niet meer weg te denken. De voortdurende stroom aan veranderingen in het IT-vakgebied biedt vele nieuwe mogelijkheden, gemakkelijkere manie-
News
ren van communiceren en samenwerken. Nieuwe technologieën zorgen voor verbeteringen in bedrijfsprocessen en nieuwe producten. Deze ontwikkeling en flexibiliteit brengt ook issues met zich mee, zoals bijvoorbeeld Security.
In deze Update staat het thema Security dan ook centraal. We benoemen een aantal trends en
De waarde van security-certificeringen
ontwikkelingen op het gebied van IT Security. Welke gevolgen heeft het voor IT-beheerders en waarom is het belangrijk dat developers alles weten op het gebied van Secure Programming? Security raakt niet alleen IT, iedereen heeft met security te maken; van gebruikers die werken met vertrouwelijke data tot aan het management dat ervoor moet zorgen dat de onderneming voldoet aan de securityeisen. We geven diverse voorbeelden uit de praktijk en geven aan op welke
Een vastberaden hacker komt heel ver
wijze het aanbod van Computrain daarin bijdraagt voor de gebruiker, professional en manager. Zorg dat uw kennis up-to-date blijft.
We belichten in deze Update ook de veranderingen in het Oracle/Java-portfolio. Oracle biedt nieuwe productrainingen, werkvormen en certificeringen voor de Oracle-professional. Vanzelf-
Expert Paula Januszkiewicz over ransomware
sprekend biedt Computrain, als official Oracle Authorized Education Reseller, het vernieuwde aanbod in samenwerking met Oracle Nederland aan.
Ik wens u veel leesplezier en hoop u binnenkort te mogen begroeten voor een update.
Leo Demont
Directeur Computrain
Bedrijven moeten eerst hun kroonjuwelen beveiligen
Belang van secure programming neemt toe
“Computrain biedt een compleet Oracle-pakket.”
Date
COLOFON Update is een uitgave van Computrain en verschijnt 4 keer per jaar Redactieraad: Leo Demont, Patrick Kersten, Sjon Post, Bert Kortenoeven Bladmanager: Ruud den Rooijen Redactie: Leo Demont, Paula Januszkiewicz, Bert Kortenoeven, Sjon Post, Marcel van Stigt, Martin Vliem, Rob Ziere Eindredactie: Hans Hurkmans Vormgeving: Lucien Degens Fotografie: Raphaël Drent, Richard Rood Drukwerk: Muller Visual Suggesties voor Update: Mail naar communicatie@computrain.nl. Aanmelden voor Update: Bezoek onze website computrain.nl/nieuwsbrief.
INHOUD
03
NEWS
Cedeo-erkenning Computrain verlengd
Computrain mag het keurmerk Cedeo-erkend ook de komende twee jaar weer voeren. De erkenning is verlengd dankzij het positieve resultaat van een klanttevredenheidsonderzoek en geldt zowel voor de Open Bedrijfsopleidingen als voor de Maatwerk Bedrijfsopleidingen.
Vier criteria zijn beoordeeld: klanttevredenheid, kwaliteit, continuïteit en bedrijfsgerichtheid. Op alle onderdelen gaf het merendeel van de referenten aan ‘tevreden’ of ‘zeer tevreden’ te zijn.
Cedeo verleent erkenningen om bedrijven en organisaties te helpen bij hun zoektocht naar een geschikt opleidingsinstituut. Op de site van Cedeo kunnen ze zien welke instituten zijn erkend.
WPC 2016 in Toronto – Computrain was erbij In Toronto, Canada, vond in juli de Microsoft Worldwide Partner Conference (WPC) plaats. Computrain was aanwezig en kijkt terug op het zeer geslaagde evenement. WPC 2016 was met 20.000 deelnemers volledig uitverkocht. Zij lieten zich bijpraten over de laatste stand van zaken.
Microsoft presenteerde enkele nieuwe ontwikkelingen: •
Dynamics 365 wordt komende herfst gelanceerd. Hiermee zitten de huidige ERP en CRM samen in één cloud-service, met nieuwe toegevoegde apps om specifieke businessfuncties beter te ondersteunen.
•
Microsoft AppSource wordt een nieuwe bron van line-of-business SaaS apps van Microsoft en Microsoftpartners.
•
•
Windows 10 verschijnt later dit jaar in een abonnementsmodel en komt in twee versies beschikbaar.
Net als in 2015 in Orlando, sponsorde Computrain ook dit jaar de oranje
Onder de naam Microsoft Professional Degree wil Microsoft een reeks nieuwe
shirts van de Nederlandse WPC-deelnemers. Naast de oranje shirts had
opleidingen opzetten.
Computrain voor alle deelnemers nog een speciale aanbieding: een gratis MOC on Demand-demo.
04
WO
RD JI J de be s te IT DE - P RO
Kijk voor nog meer nieuws op computrain.nl of volg ons op:
VELO
of
PER e
van d
were ld
?
Doe m ee m et LL PA de N B at tl ed er e 20 la nd 16 en se vo w in o rro o .a . nd es ee n va n M ic ro de so ft B an d 2!
COM
PUTR
Do e
mee
AIN.N
via:
L/LLP
ABA
W in jij in te rn d e vo o rr o nd at io na le fi na es en d aa M ic ro rn a d le ? D so ft e an g Ig ni te a jij 2 0 17 na ar in d e US!
Subsidie voor IT-opleidingen
TTLE
Robbie Lange en Paul Hooijenga winnen voorrondes LLPA Battle Robbie Lange (TenneT TSO) en Paul Hooijenga (Sanoma) zijn de win-
Naast de UWV-regeling voor 50-plussers om
naars van de Nederlandse voorrondes van de LLPA Battle. Lange werd
een opleiding met subsidie te volgen, is er nu
beste IT Pro, Hooijenga beste Developer.
een opleidingsvoucher van € 2.500 beschikbaar voor een bredere groep werkzoekenden en
Als prijs hebben de twee een Microsoft Band 2 en een 5-daagse
medewerkers die werkloos dreigen te raken. Zij
MOC-cursus gewonnen. Daarnaast vertegenwoordigen ze Nederland
kunnen daarvoor in aanmerking komen als zij
29 september in de internationale finale van de LLPA Battle. De win-
zich laten (om)scholen in de richting van een
naars daarvan mogen op reis naar de Microsoft Ignite 2017 in de US.
zogenaamd ‘kansberoep’.
Computrain heeft de LLPA Battle drie jaar geleden ontwikkeld. Het evenement heeft de laatste jaren een wereldwijd vervolg gekregen.
De overheid ziet diverse IT-functies als ‘kansbe-
Dit jaar vonden de voorronden van de LLPA Battle plaats in 18 landen.
roep’. Wie een opleiding wil volgen om in het IT-vakgebied een baan te vinden kan mogelijk profiteren van deze aantrekkelijke korting. Als prominent IT-opleider kan Computrain daarin een rol spelen. Het biedt een groot aantal
Upgraden naar Windows Server 2016
trainingen die onder deze subsidieregeling vallen.
Heeft u al ervaring met Windows Server 2012, maar wilt u upgraden naar Windows Server 2016? Dan is de training Upgrading Your Skills to MCSA: Windows Server 2016 (MOC20743) ideaal om uw kennis up-to-date te
Trainingen •
brengen en de nieuwe functies en functionaliteiten van Windows Server 2016 te leren.
Training Red Hat System Administration I (RH124)
Deze training sluit perfect aan op uw praktijksituatie. U ontvangt de officiële, digitale, Engelstalige Microsoft
•
Training Red Hat System Administration
Official Courseware (MOC). Daarnaast levert alléén Computrain zelf ontwikkelde, aanvullende uitgebreide
II (RH134)
courseware en verbeterde labguides - en bijbehorende geoptimaliseerde praktijklabs. Dit wordt allemaal zeer
•
Training Interconnecting Cisco Network
regelmatig geactualiseerd. Dat maakt de training nog relevanter en waardevoller.
Devices Part 1 (ICND1)
Naast deze upgradetraining biedt Computrain ook de andere Windows Server 2016-trainingen aan met zelf
Training Citrix Netscaler for Apps and
ontwikkelde extra courseware, verbeterde labguides in kleurenprint en geoptimaliseerde praktijklabs. Voor
•
Desktops (CNS-222)
actuele en geoptimaliseerde Windows Server 2016 trainingen moet u dus bij Computrain zijn.
•
Training CompTIA A+
•
Upgrading Your Skills to Windows Server 2016 (MOC20743)
•
Training Programming in HTML5 with
•
Installation, storage and compute with Windows Server 2016 (MOC20740)
JavaScript and CSS3 (MOC20480)
•
Networking with Windows Server 2016 (MOC20741)
Training Programming in C#
•
Identity with Windows Server 2016 (MOC20742)
•
(MOC20483) •
Training Java SE 8 Fundamentals
Heeft uw organisatie de beschikking over SA training Vouchers?
•
Cursus TOGAF® 9.1 Level 1
Dan kunt u die natuurlijk ook voor al deze trainingen inzetten.
NEWS
05
De waarde van security-certificeringen IT-professionals die in het vakgebied security werken moeten hun kennis en ervaring kunnen aantonen. Dat is beslist gunstig voor hun carrière. Maar dat niet alleen. Willen ze als consultant in aanmerking komen voor opdrachten, dan zullen ze in veel gevallen aan specifieke certificeringen moeten voldoen. Het aantonen van kennis en ervaring, kortweg
Business continuity
van deze certificeringen op hun CV. De genoemde
certificering, is voor de IT-pro binnen het werkveld
Voor de organisatie zelf zijn de ‘business needs’ be-
certificeringen zijn gebaseerd op de Amerikaan-
security van wezenlijk belang. Niet alleen voor de
palend. Het punt waar ‘business needs’ en security
se wet- en regelgeving en cultuur (‘one size fits
eigen groeikansen in hun carrière, maar ook om als
samenkomen, is business continuity: het is essenti-
all’). Bovendien zijn ze vooral gericht op kennis
consultant sowieso in aanmerking te komen voor
eel voor een organisatie dat zij blijft functioneren
(het weten) en minder op het kunnen (het toe-
opdrachten waar specifieke certificeringen vereist
bij calamiteiten en dat daarmee business continuity
passen). En ten slotte zijn dit op zichzelf staande
zijn. Daarom heeft Computrain zijn security-port-
wordt gewaarborgd. Een organisatie eist daarom
certificeringen, zonder duidelijk groeipad. Het zijn
folio uitgebreid met 10 nieuwe trainingen. Deze
aantoonbare kennis en ervaring, ook op dit ge-
medior-certificeringen zonder een junior- en seni-
staan vermeld onder dit artikel.
bied. Naast de IT-pro en de organisatie, vraagt ook
orniveau.
de klant naar certificeringen. Denk hierbij aan de Binnen security is het een voorwaarde dat de
bescherming van de persoonsgegevens en privacy.
SECO: Europese tegenhanger
IT-professional aantoonbare kennis en ervaring
Sinds de Meldplicht Datalekken is dit alleen maar
Er is nu een Europese tegenhanger van de Ame-
heeft op het gebied van bijvoorbeeld privacy (Wet
belangrijker geworden (zie ons artikel in Update
rikaans georiënteerde certificeringen: het SECO
Bescherming Persoonsgegevens), Informatiebevei-
nr. 2).
Cyber Security & Governance Programma (zie ka-
liging (CISSP®) of IT-security (CEH). Aan de andere
der). De SECO-certificeringen zijn gebaseerd op de
kant eist de organisatie professioneel en gecertifi-
Amerikaanse certificeringen
Europese wet- en regelgeving. Er worden 7 certi-
ceerd personeel. Zij richt daar ook haar functiehuis
In de security-certificeringsmarkt zijn op dit mo-
ficeringsprogramma’s/tracks aangeboden die zijn
op in en beoordeelt de IT-pro op relevante certifi-
ment
bepalend.
gebaseerd op het e-CF. Elk programma bestaat uit
ceringen.
De bekendste zijn CISSP® van (ISC)2®, CISM® van
een groeipad: van Foundation (weten), Practitio-
ISACA en CEH van EC-Council. In vacatures wordt
ner (praktische vaardigheden), Expert (ontwerp)
met name gevraagd naar IT-pro’s met minstens één
en uiteindelijk de titel Certified Officer (ervaring is
Amerikaanse
certificeringen
®
06
(IT) Manager
SECO-Institute: Het Europese antwoord op de Amerikaanse security-certificeringen.
• IT Risk Management • IT Security Management • Business Continuity Foundation
Met een strategisch Gebruiker
partnership tussen
• Security Awareness • Privacy & Data Protection Foundation
EXIN en Security Academy Nederland is een internationaal erkend Cyber Security & Governance certificeringsprogramma ontwikkeld dat oplossingen biedt van beginner- tot seniorniveau, gericht op een specifieke rol/ functie in een
Developer
organisatie.
• EC-Council Certified Secure Programmer (ECSP .Net 312-93) • EC-Council Certified Secure Programmer (ECSP Java 312-94)
Het programma is ondergebracht bij het SECOInstitute en biedt certificeringen aan op het gebied van information-security, IT-security, (IT) Security Professional • • • • • • • • •
Certified Ethical Hacker (CEH) Version 9 EC-COUNCIL CERTIFIED SECURITY ANALYST (ECSA) Certified In Risk and Information Systems Control (CRISC®) Certified Information Security Manager (CISM®) Certified Information Systems Auditor (CISA®) Certified Information Systems Security Professional (CISSP) Certified Cloud Security Practitioner (CCSP®) RESILIA Foundation RESILIA Practitioner
business continuity en crisismanagement.
Vincent Jentjens, oprichter SECO-Institute: “Als (aankomend) security- of continuityprofessional wil je jezelf verder ontwikkelen en je kennis en ervaring kunnen aantonen met een passende certificering. Als alternatief voor de meer theoretische en op de Amerikaanse markt georiënteerde certificeringen hebben wij een certificeringsmodel dat goed aansluit op de behoefte aan praktijkgerichtheid en de Europese
de voorwaarde voor deze titel). Computrain biedt
Trainingen
markt. Door deze internationaal erkende
Amerikaans georiënteerde trainingen en omarmt
•
Resilia™ Foundation
certificering vanuit het SECO-Institute aan te
daarnaast de op de Nederlandse praktijk gerich-
•
Resilia™ Practitioner
bieden, gericht op een specifiek werkgebied
te certificeringen. Om die reden gaat Computrain
•
Information Security Management
én op het juiste niveau, ondersteunen wij de
voor Gemeenten
verdere ontwikkeling van deze veelgevraagde
samenwerken met SECO. Computrain verzorgt samen met Security Academy de trainingen. EXIN
•
Security Awareness
expertise. Wij zijn blij dat een grote opleider als
neemt de examens af, SECO geeft de certificerin-
•
Privacy & Data Protection Foundation
Computrain ook de meerwaarde van het SECO-
gen en titels uit. Zo worden de verantwoordelijk-
•
Business Continuity Foundation
programma onderkent.”
heden en belangen ook duidelijk gescheiden.
•
Certified Information Systems Auditor
•
Certified Information Security Manager
•
Certified in Risk and Information
Certificeringen zijn van wezenlijk belang. Daarom
Systems Control
sluit Computrain met zijn trainingen aan op de veel gevraagde Amerikaans georiënteerde certificerin-
www.seco-institute.org
•
Certified Cloud Security Practitioner
gen én op de Europese certificeringen van SECO.
Bert Kortenoeven Programmamanager
07
Een vastberaden hacker komt heel ver Wees bewust, verdiep je in de risico’s en neem maatregelen. Dat drukt Rob Ziere, specialist en kerndocent security van Computrain, de consument op het hart om internetcriminelen te weren. De digitale deur staat te vaak nog wijd open. Ziere belicht in dit artikel de gevaren en geeft tips om schade te voorkomen. Informatie op computers van consumenten kan een aantrekkelijke prooi zijn voor internetcriminelen. Denk bijvoorbeeld aan fraude met je bankrekening. Zeker als de beveiliging slecht is geregeld. Rob Ziere: “Als consument moet je je afvragen: wat staat er op mijn laptop of computer? Wat kan er op straat komen te liggen? Een hacker die vermoedt dat er iets waardevols te halen is, komt gemakkelijk binnen op een slecht beveiligde PC.” Downloads, mails en social media bieden vaak ingangen voor hackers. Links of plaatjes in Facebook-berichten kunnen kwaad-
Tot overmaat van ramp wordt het gilde van hackers steeds
aardig zijn. Hoe goed ken je je Facebook-contacten? Kun je ze
professioneler. Phishing mails en fake-sites zijn tegenwoordig
allemaal 100% vertrouwen? Economische spionage is een risico
nauwelijks nog van echt te onderscheiden.
als je informatie van je werkgever op je smartphone of PC hebt. Je LinkedIn-profiel kan informatie onthullen die maakt dat de cy-
Overbodige rechten
berspion zich vergenoegd in de handen wrijft en verder speurt.
Welke kant gaat het op? Ziere: “Ik zie een groeiend risico in de
Ziere: “Een vastberaden hacker komt heel ver.”
smartphone apps. Die geef je bij installatie allerlei rechten op je smartphone, maar vraag je bijvoorbeeld eens af waarom die
Veel cryptolockers actief
‘gratis’ app toegang moet hebben tot je microfoon, camera en
“Virussen kun je ook in jpg-bestanden verstoppen”, vervolgt hij.
al je bestanden, waaronder je foto’s? En wie heeft ‘m eigenlijk
“Of ze worden versleuteld. Zo zijn ze onherkenbaar voor je vi-
gemaakt? ‘Leveranciers’ van apps kunnen kwaadaardige bedoe-
russcanner en dus komen ze door die beveiliging heen. Of er
lingen hebben en misbruik maken van die overbodige rechten.
wordt een besmette USB-stick op een parkeerplaats gelegd. Wie
Hetzelfde geldt voor freeware op je laptop of PC. Wees daarom
‘m bekijkt haalt een virus binnen. Nooit doen dus! Een recente
voorzichtig met freeware. Vraag jezelf af: waarom gratis?. En
plaag wordt gevormd door cryptolockers: virussen die alle data
denk tweemaal na voordat je installeert.”
op je PC versleutelen. Alleen tegen betaling van een flink bedrag
08
– meestal enkele honderden Euro’s – krijg je weer toegang tot je
Rob Ziere is oprichter en eigenaar van Right Level ICT Consultancy,
bestanden.
gespecialiseerd in ICT-beheer en Security voor Nederlandse organisaties
Checklist voor smartphone en computer Installeer een virusscanner en firewall
Maak regelmatig back-ups ebruik sterke wachtwoorden, verander ze G regelmatig, gebruik een passwordmanager (Bv KeePass, Dashlane, Lastpass)
Gebruik voor je mail ‘two factor authenticatie’ (extra pincode). Onder andere Google biedt dat
I nstalleer altijd de laatste security updates en installeer één keer per jaar opnieuw je Operating System aak voor dagelijks gebruik een tweede user account met M uitsluitend gebruikersrechten Stel je browser zo in dat bij afsluiten de cookies automatisch worden verwijderd
Versleutel gevoelige documenten op je computer (Bijvoorbeeld 7-ZIP, Bitlocker, VeraCrypt)
Wees voorzichtig met freeware en ‘gratis’ apps, kijk welke rechten ze vragen
Trainingen • • •
Security Awareness ISO 27001 Foundation ISO 27001 Lead Implementer
• • •
ISO 27001 Lead Auditor IT Risk Management IT Security Management
09
Expert Paula Januszkiewicz over ransomware Hi security passionate! Ontwikkelaars van ransomware zijn niet op je gegevens uit. Ze zijn voornamelijk begaan met hun eigen portemonnee. Doorgaans proberen ze het voor jou onmogelijk te maken om je eigen gegevens te gebruiken en tegelijkertijd bieden ze je de mogelijkheid om, tegen betaling, het probleem op te lossen. En zolang mensen betalen, zullen er ook mensen zijn die jouw gegevens versleutelen en vriendelijk om geld vragen. De bedragen die mensen betalen zijn ongehoord en treurig. Volgens CNN is in het eerste kwartaal van 2016, 209 miljoen dollar betaald. Tegenwoordig proberen ontwikkelaars niet eens om de bestaande ransomware bestand te maken tegen volledige verwijdering. Iedere ervaren computergebruiker zou de malware zelf kunnen verwijderen.
Waarom is ransomware dan gevaarlijk? Ransomware versleutelt je gegevens in plaats van ze daadwerkelijk te verwijderen. Het coderingsproces bestaat tegenwoordig uit geavanceerde, asymmetrische versleutelingsalgoritmen. Asymmetrisch betekent dat er altijd sprake is van een tweetal sleutels: één voor encryptie en één voor decryptie. In het verleden was nog wel eens sprake van ‘slecht’ ontworpen malware. Tegenwoordig is, als je gegevens zijn versleuteld, de enige mogelijkheid tot ontgrendeling van deze gegevens, te betalen voor de decryptiecode. Hoe dieper je de donkere krochten van het internet doorzoekt naar een andere oplossing, hoe groter het risico dat je computer geïnfecteerd raakt met andere malware.
Maar wat dan te doen? Een ding weten we zeker: er komt meer ransomware. Je moet je gegevens op een andere manier beschermen. Mijn advies is de volgende drie stappen te hanteren om te voorkomen dat je geïnfecteerd wordt: Bekijk ten eerste je back-upstrategie opnieuw en kies er één die overeenkomt met de waarde van je gegevens, voer op stelselmatige basis back-ups uit en sla deze op afzonderlijke media op. Zorg er ten tweede voor dat er geen onbekende codes worden uitgevoerd. Zorg tot slot voor een Security Awareness-programma voor de medewerkers en breng dit in lijn met de securitystrategie van het bedrijf.
Trainingen • Upgrading your Skills to Windows Server 2016 MCSA (MOC20743)
Stay safe!
• Securing Windows Server 2016 (MOC20744) • Security Awareness
10
Paula Januszkiewicz
• Privacy & Data Protection Foundation
(CQURE CEO, Security Expert, MVP, nr. 1 Microsoft Ignite speaker)
• Certified Ethical Hacker (CEH) Version 9
Bedrijven moeten eerst hun kroonjuwelen beveiligen In het bedrijfsleven liggen veel IT-bedreigingen op de loer. Genoeg reden voor bezorgdheid. Immers, IT-systemen worden steeds belangrijker en daarmee neemt ook de afhankelijkheid daarvan toe. Hoe kunnen bedrijven zich het beste tegen de risico’s wapenen? Martin Vliem, Security Officer van Microsoft Nederland, geeft concrete adviezen om hen op het juiste spoor te zetten. De vier grootste bedreigingen die het bedrijfsleven
Leren van het verleden
moet vrezen? Er zijn verschillende rapporten over
Vooral leren van het verleden verdient aanbeveling.
verschenen en daarin worden ze unaniem genoemd:
Hackers herhalen volgens Vliem vaak dezelfde succes-
slordig gebruik van wachtwoorden, phishing, slechte
volle aanvallen, zij het met een kleine twist. “Hackers
configuratie en gaten in software die er al lang zitten
kiezen de weg van de minste weerstand en je moet
en die niet zijn gedicht terwijl een lapmiddel al lang
het ze niet gemakkelijk maken. Voor bedrijven moet
beschikbaar was. Besteed daar aandacht aan en je
een goed stuk data-gedreven risicomanagement de
voorkomt een hoop onheil.
basis zijn. Een deel kun je zelf doen, voor het andere deel zoek je hulp – bijvoorbeeld bij je cloud-leveran-
Beperkt budget
cier. Het advies dat ik letterlijk geef: neem een A4’tje
Trainingen
Het hoeft dus niet zo ingewikkeld te zijn om be-
en schrijf op wat voor jou de belangrijkste bedrijfsge-
• Professional Cloud Security Manager
drijfsbestanden beter te beschermen. Waarom ge-
gevens of processen zijn. Vouw het tot een A5’je en
• Certified Cloud Security Practitioner (CCSP)
beurt dat dan niet? Vliem: “Security-teams krijgen
doe dat nog eens. Vouw hem nog een keer dubbel en
• Certified Information Systems Security Professional
veel informatie binnen. Onder meer uit het nieuws.
herhaal het. En daarna nog een keer. Wat overblijft
Zero days en cryptolockers worden nu genoemd en
zijn echt de belangrijkste onderdelen die je wilt be-
• IT Security Management
daar reageren ze op. Ook beschikken ze vaak over
veiligen. Begin met je kroonjuwelen.”
• Certified Information Security Manager (CISM)
(CISSP)
een beperkt budget en dat verdelen ze over het hele IT-landschap. Maar verdienen die onderdelen wel evenveel aandacht? Dé vraag moet zijn: wat zijn onze kroonjuwelen?”
Martin Vliem
Security Officer Microsoft Nederland
11
Belang van secure programming neemt toe Mede door de toenemende digitalisering neemt de impact van een applicatie die kwetsbaar is, en daardoor gehackt wordt, exponentieel toe. Organisaties worden zich bewuster van deze gevaren en nemen maatregelen. Secure programming levert daarmee een belangrijke bijdrage aan het verbeteren van de kwaliteit, robuustheid en veiligheid van een applicatie. Door de principes toe te passen worden de belangen van de organisatie ĂŠn van haar klanten beschermd. (Web)applicaties zijn complexer geworden. Appli-
Gevoeliger voor hack-aanvallen
voerd. Het is van belang om niet alleen per laag
caties bestaan uit zeer veel componenten (onder-
Elke developer moet weten welke stappen belang-
controles in te bouwen, maar om deze stappen
delen) die op verschillende lagen worden uitge-
rijk zijn om een code te schrijven die bijdraagt aan
binnen de totale keten goed in te richten. Ook die-
voerd. Ook werken er veelal meerdere developers
een robuust en veilig geheel. Een slordig ontwik-
nen richtlijnen gehanteerd te worden vanuit best
(ontwikkelaars) in teams aan een deel van een
kelde applicatie is gevoeliger voor hack-aanvallen
practices, zoals de levensduur en complexiteit van
applicatie. Hierdoor wordt het moeilijker om alle
dan een applicatie die volgens secure coding-prin-
een wachtwoord, gegevensvalidaties zodat alleen
fouten die zich tijdens het ontwikkelen kunnen
cipes is ontwikkeld. Kwetsbare software voldoet
vooraf gedefinieerde waarden ingevoerd mogen
voordoen inzichtelijk te maken en op te lossen. Dit
hier niet aan en is gevoelig voor illegal operations.
worden en het beperken van de rechten van een
overzicht is echter van belang om een veilige en
Dit houdt in dat er functies uitgevoerd kunnen
gebruiker, op elke niveau binnen de applicatie.
robuuste applicatie te maken. In de praktijk blijkt
worden die niet zijn meegenomen in het ontwerp
dit moeilijk te zijn. Dit wordt onderstreept door de
van de applicatie.
Naast deze ontwerpprincipes, dienen de secure
vele lekken en fouten in applicaties en platformen
12
Source code
die dagelijks ontdekt worden. Een instantie die
Controles inbouwen
programming-principes leidend te zijn voor het
zich hiermee bezighoudt is The Open Web Appli-
De eerste stap om secure programming toe te pas-
ontwikkelen van de source code (programmatuur).
cation Security Project (OWASP). Deze non-profit
sen is rekening houden met deze principes tijdens
Dit begint bij het vereenvoudigen van de opzet en
organisatie brengt alle kwetsbaarheden in kaart
het ontwerpen van een applicatie. Moderne ap-
structuur van de source code en het toepassen van
en publiceert deze zodat er snel maatregelen ge-
plicaties zijn veelal multi-tiered; ze zijn uit verschil-
uniformiteit. Sommige ontwikkelaars maken appli-
nomen kunnen worden.
lende componenten (lagen) opgebouwd en uitge-
catieonderdelen onnodig complex. Dit verhoogt de
kans op fouten die kunnen leiden tot kwetsbaarheden binnen andere applicatiecomponenten. Hoe beter de source code ontwikkeld en getest wordt,
Java- en Oracle-trainingen nu te volgen via Computrain Connected
hoe minder groot het risico dat een fout leidt tot een opening in een van de andere applicatielagen.
Computrain Connected biedt u al enkele jaren de mogelijkheid om Microsoft trainingen
Sjon Post
een klassikale training. U staat rechtstreeks in contact met zowel de trainer als de overige
bij te wonen op een door u gewenste locatie. U volgt de training alsof u deelneemt aan
Programmamanager Business IT
deelnemers via een audio- en HD-video-opstelling.
Trainingen
volgen uit met diverse Java- en Oracle-trainingen. U kunt onder andere de Java SE8 Fun-
Computrain breidt haar portfolio aan trainingen die u via Computrain connected kunt
• EC-Council Certified Secure Programmer (ECSP .Net 312-93) • EC-Council Certified Secure Programmer
damentals en Programming en de Oracle Database 12c: New Features for Administrators via Computrain Connected volgen op de locatie die u het beste uitkomt. Kijk voor verder informatie op de Computrain-website bij deze trainingen.
(ECSP Java 312-94)
computrain.nl/..
13
“Computrain biedt een compleet Oracle-pakket.” Drie jonge IT’ers zijn via een traineeship van Ajilon Young Professionals aan de slag gegaan bij een van de ministeries. Ze beschikten al over de juiste competenties, maar hadden nog niet de vereiste opleiding gevolgd. Daarin voorziet een Oracle-traject van Computrain. Het drietal volgt ter plekke e-learninglessen en doet zo de benodigde kennis op. Ajilon Young Professionals, onderdeel van moederbedrijf Adecco, is gespecialiseerd in jong talent. In opdracht van bedrijven zoekt Ajilon geschikte kandidaten voor vacatures op het gebied van engineering & technology, informatiemanagement, finance, sales en IT. “Wij selecteren jonge mensen die aan het begin van hun carrière staan,“ vertelt fieldmanager Margreet Dam. “We kijken anders naar cv’s. Een studiekeuze is belangrijk, maar niet doorslaggevend. Het gaat veel meer om het werk- en denkniveau, de manier van verbanden leggen en oplossingen bedenken, in combinatie met de juiste drive en motivatie. De kandidaten worden intensief getest en we voeren meerdere gesprekken. Wordt een kandidaat geschikt bevonden, dan volgt die bij het bedrijf een traineeship van twee jaar.”
Passende studie Het traineeship bestaat uit een persoonlijk ontwikkelingstraject, begeleiding ‘on the job’ en een vakinhoudelijke opleiding. Het doel van Ajilon is jonge mensen snel inzetbaar te krijgen in hun nieuwe rol bij de opdrachtgevers. De vakinhoudelijke opleiding is dus heel belangrijk. Voor het vervullen van de vacante functie is immers kennis vereist die nog niet aanwezig is. Een goed voorbeeld vormt het drietal - één technisch applicatiebeheerder en twee functioneel applicatiebeheerders - dat bij een ministerie een traineeship volgt. Zij moesten binnen een Oracle-traject worden opgeleid en Ajilon heeft dat ingekocht bij Computrain.
Leren vanaf het scherm Margreet: “Computrain heeft ons geadviseerd de drie trainees niet naar school te sturen, maar ze een e-learning-opleiding aan te bieden: leren bij het bedrijf vanaf het scherm en met een koptelefoon op. Daar hebben we voor gekozen. De drie studeren een halve dag en wat ze leren brengen ze meteen in praktijk. Het traject loopt nu een halfjaar en het gaat super goed. Ze kunnen flexibel en praktijkgericht studeren. Computrain biedt bovendien een compleet Oracle-pakket. Het is heel efficiënt dat we alles onder kunnen brengen bij één opleidingspartner.” Margreet Dam, Ajilon Young Professionals
14
GEBRUIK
DATE 23-nov
SQL Fundamentals
28-nov
Developing Microsoft Azure Solutions (MOC20532)
20-sep
Illustrator Advanced
21-sep
Word Advanced: Mailings Verzorgen
22-sep
Word Advanced: Werken met lange, complexe documenten
27-sep
Excel Expert: Analyse en Rapportage
27-sep
Word Advanced: Documenten indelen en tabellen
3-okt
Java EE 6: Develop Web Applications with JSF
30-sep
Outlook Tips & Tricks voor ervaren gebruikers
3-okt
Programming in HTML5 with JavaScript and CSS3 (MOC20480)
Excel Basis
5-okt
Introductie tot het programmeren in Visual Basic for Applications (VBA)
12-okt
Excel Advanced: Formules en functies
5-okt
Professional Cloud Developer
13-okt
SharePoint 2013 Content Management Fundamentals
17-okt
Introduction to Azure for Developers (MOC10978)
17-okt
Excel Advanced: Lijsten en tabellen
17-okt
Java EE 6: Develop Web Services with JAX-WS & JAX-RS
Microsoft Project 2013
19-okt
Advanced Programming in C++
26-okt
SharePoint 2013 Content Management Advanced
24-okt
Developing ASP.NET MVC 4 Web Applications (MOC20486)
27-okt
Photoshop Basis
31-okt
Programmeren in C++
Word Basis II
31-okt
Python Programming
6-okt
25-okt
28-okt
7-dec
AWS Technical Essentials
DEVELOPMENT
Access Advanced: Data analyseren en macro's
7-nov
Developing Windows Azure and Web Services (MOC20487)
2-nov
Excel voor Financials
7-nov
JavaScript Fundamentals
2-nov
SharePoint 2013 Workflow
22-nov
Programmeren in Excel met VBA
4-nov
Powerpoint Advanced: Dynamische Presentaties en Animaties
28-nov
Functioneel Ontwerp
8-nov
InDesign Basis
9-nov
Excel Expert: Formulieren en sjablonen
9-nov
SharePoint 2013 Social Media
2-nov
10-nov
Excel Advanced: Koppelingen en macro's
15-nov
InDesign Advanced
BUSINESS IT 26-sep
Information Security Management voor Gemeenten
27-sep
BISL® Foundation
29-sep
RESILIA™ Practitioner
6-okt
PRINCE2® Foundation
22-nov
Access Advanced: Formulieren en rapporten
24-nov
Microsoft OneNote 2013
17-okt
Certified Ethical Hacker (CEH) Version 9
Outlook Advanced: Efficiënter en georganiseerder werken
17-okt
Professional Cloud Service Manager
18-okt
PRINCE2® Practitioner
20-okt
Big Data Fundamentals
Deploying and Managing Windows 10 Using Enterprise Services (MOC20697-2)
24-okt
Certified Cloud Security Practitioner (CCSP®)
24-okt
Certified Information Systems Security Professional (CISSP)
10-okt
Administering Windows Server 2012 (MOC20411)
24-okt
ISO 27001 Lead Auditor
10-okt
Architecting on AWS
26-okt
COBIT® Foundation
10-okt
Designing Self-Service Business Intelligence and Big Data Solutions (MOC20467)
26-okt
Professional Cloud Security Manager
17-okt
Administering System Center 2012 Configuration Manager (MOC10747)
24-okt
Interconnecting Cisco Network Devices - Part 1 (ICND1)
14-nov
Security Awareness
24-okt
Red Hat System Administration II (RH134)
15-nov
Business Process Management
31-okt
CompTIA Security+
22-nov
Functioneel Beheer
31-okt
Installing and Configuring Windows 10 (MOC20697-1)
25-nov
ISO 27001 Foundation
7-nov
Upgrading Your Skills to MCSA: Windows Server 2016 (MOC20743)
30-nov
Agile Project Management™ Foundation, (versie 2.0) inclusief examen
7-nov
Red Hat System Administration I (RH124)
29-nov
BEHEER 3-okt
2-nov
RESILIA™ Foundation
3-nov
Masterclass IT voor niet IT-managers
1-dec
Agile Scrum Foundation
14-nov
Installing and Configuring Windows Server 2012 (MOC20410)
14-nov
Microsoft Azure Fundamentals (MOC10979)
Computrain biedt een aanbod aan van ruim 850 trainingen en
14-nov
Server Virtualization with Windows Server Hyper-V and System Center (MOC20409)
opleidingen op het gebied van Gebruik, Beheer, Development en
21-nov
Interconnecting Cisco Network Devices - Part 2 (ICND2)
Business IT. Bekijk ons totale aanbod op computrain.nl.
DATE
15
ONZE NIEUWE BASISTRAINING SECURITY AWARENESS VOLGEN? Schrijf u vóór 1 december in en ontvang 25% korting
U KR
Wat biedt deze praktische training? • U leert hoe u veilig omgaat met bedrijfsgegevens • U wordt bewust van de IT-bedreigingen • U krijgt inzicht in wet- en regelgeving • U leert het belang van awareness kennen • U leert welke maatregelen u tegen hack-aanvallen kunt nemen
I J GT
25% KOR TI NG OP D ET OTA ALP
• U doet kennis op over de meest actuele ontwikkelingen • U kunt de training afsluiten met een officieel examen
SCHRIJF U VOOR 1 DECEMBER IN VIA WWW.COMPUTRAIN.NL MET ACTIECODE SC16
RIJS