Alles over veiligheid: waaróm werd Bonifatius vermoord?

Het Cissp-examen is tijdsverspilling, vindt Jon Lasser. Het Certified Information Systems Security Professional examen test volgens de columnist van webzine Security Focus feitenkennis, geen begrip. "Wil je bewijzen dat je een grote hoeveelheid nutteloze feiten en irrelevante gegevens kent, dan is dit examen een goede", schreef hij begin maart.

Zijn het publiceren van examenvragen is verboden) staaft zijn stelling. "Zelfs de meeste bekrompen beveiligingsdeskundige hoeft niet te weten hoeveel berekeningsrondes de des-encryptie doorloopt", schrijft Lasser.
De eerste oefenvragen uit het studieboek van Krutz en Vines 'The Cissp prep guide. Mastering the ten domain of computer security' lijken Lassers zienswijze te staven. Een Cissp-kandidaat moet in zes uur tijd 250 Engelstalige meerkeuzevragen beantwoorden. Daar zitten veel vragen bij die zich beperken tot de feiten, zoals:
Welke van de volgende is geen netwerk-kabel?
a. twisted pair,
b. token ring,
c. fiber optic,
d. coaxial,
Dit roept herinneringen op aan proefwerken. Het lijkt op de bekende geschiedenis-vraag: "Wanneer werd Bonifatius in Dokkum vermoord?" Is het belangrijker te weten wanneer dit gebeurde (in 754), of te begrijpen dat de moord op de Engelse aartsbisschop het verzet symboliseerde - niet van alleen Friezen - tegen de hardhandige christelijke geloofsverspreiding?

Cissp-examen Het Cissp-examen is sinds een jaar in Europa af te leggen; in Noord Amerika sinds 1989. Het Utrechtse Cibit biedt het examen sinds afgelopen najaar aan. Het eerste examen leverde dertien Cissp-titels op, aldus adviseur Lodewijk Nolke. Dit jaar verwacht hij nog eens vijftig geslaagden in te schrijven. Edo Roos Lindgreen, systeemveiligheidsadviseur bij Kpmg en columnist van dit blad, vindt het predikaat geen vereiste voor wie zich in deze richting wil ontwikkelen. Het wordt volgens hem ook nog niet vaak als eis gesteld in personeelsadvertenties. Postdoctorale opleidingen aan de Vrije Universiteit in Amsterdam of de Technische Universiteit Eindhoven, zijn volgens hem net zo goed. "Wij selecteren daarnaast medewerkers op basis van hun bewezen ervaring op het gebied. Ze moeten hun sporen in de praktijk verdiend hebben."

Het is niet zo bar als het lijkt. Er zijn namelijk genoeg opgaven die het begrip van de kandidaat beproeven. Bijvoorbeeld: Welke beschrijft geen toepassing van een audit trail (controle van de logbestanden)?
a. Het geven van informatie over toegevoegde, verwijderde of veranderde data.
b. Het vergaren van informatie zoals wachtwoorden of instellingen van de infrastructuur.
c. Het ondersteunen van de observatie door patronen te herkennen van abnormaal gedrag van gebruikers.
d. De ict-er verantwoordelijke voor de beveiliging in staat stellen een datatransactie te volgen.
Het boek geeft tientallen van dergelijke oefenvragen, voor ieder van de tien onderdelen: toegangscontrolesystemen en -methodologie; veiligheid van toepassingen en systeemontwikkeling; continuïteit van bedrijfsvoering en rampenplanning; cryptografie; wetgeving, onderzoek en ethiek; systeembeveiliging, fysieke veiligheid, veiligheidsarchitectuur en -modellen; veiligheidsmanagementpraktijk; telecommunicatie- en netwerkveiligheid.
De Cissp-kandidaat moet deze thema's doorgronden. De twee auteurs halen daarvoor in ieder hoofdstuk de relevante doelstellingen aan van de organisatie achter Cissp, Isc2. Behalve dan in het hoofdstuk over wetgeving, onderzoek en ethiek. Een ommissie? Een van de weinige dan.
Doelstelling van hoofdstuk 8, 'Continuïteit van bedrijfsvoering en rampenplanning' is dat de kandidaat het verschil tussen de twee begrippen kent. "Het continueren van de bedrijfsvoering moet kunnen worden uitgedrukt in termen van de reikwijdte en doel van een project, analyse van bedrijfsschade, herstelstrategieën, ontwikkeling en uitvoering van herstelplannen. De kandidaat moet daarnaast een rampenplan begrijpen in termen van ontwikkeling, uitvoering en herstel."
Het voorbeeld toont tevens de onleesbaarheid van de Isc2-regels. Dergelijke taal hoeft ict'ers, managers of advocaten, niet af te schrikken. De uitleg van Krutz en Vines is kort en bondig. Ze doen ieder van de tien onderdelen in gemiddeld 35 pagina's uit de doeken. En ze zijn nog te volgen ook.
Zo begint het hoofdstuk over 'veiligheid van toepassingen en systeemontwikkeling' met een opsomming van de zes gebieden die een kandidaat moet begrijpen, van databases tot systemen van kunstmatige intelligentie. Wat is een database, welke hoofdsoorten zijn er, en wat zijn de veiligheidsproblemen? Het is een rijtje dat - eenmaal uit het hoofd geleerd - bij de collega's indruk kan wekken. Maar de essentie van het Cissp-examen is dat het de veiligheidsdeskundige de juiste richting wijst.
 
De antwoorden op de geciteerde meerkeuzevragen: b) token ring, want dat is een methode voor toegang tot een lan, en niet een type bekabeling en b) Auditing moet niet gebruikt worden voor het achterhalen van wachtwoorden.
 
Ronald L. Krutz en Russel Dean Vines
The Cissp Prep Guide, Mastering the Ten Domains of Computer Security
Isbn 0-471-41356-9
Prijs: _ 98,02
 
Gijs Hillenius