De onjuiste certificering kost je vooral tijd

De fout die ICT-professionals het vaakst maken, is niet dat ze te weinig ambitie hebben. Het is dat ze de verkeerde certificering op het verkeerde moment kiezen. Iemand zonder stevige basis in informatiebeveiliging kiest bijvoorbeeld voor OffSec Certified Professional (OSCP) en loopt vast. Een ervaren penetratietester kiest voor Certified Ethical Hacker (CEH) en merkt dat het inhoudelijk te eenvoudig is. Een systeembeheerder met securityambitie kiest voor CompTIA Security+ terwijl hij eigenlijk wil leren denken als een aanvuller. Deze keuzes zijn niet zozeer fout, maar ze zorgen er wel voor dat een leerproces minder efficiënt wordt en iemand langer bezig is om op het niveau te komen waar hij/zij eigenlijk naartoe wilt. Daarom is het veel nuttiger om CEH, OSCP en Security+ te vergelijken op doel, diepgang en resultaat dan op promotieteksten.

Deze drie namen lijken op elkaar omdat ze allemaal over informatiebeveiliging gaan. In werkelijkheid horen ze bij drie verschillende vragen. CompTIA Security+ beantwoordt de vraag: “Begrijp ik de basis van cybersecurity?” CEH beantwoordt: “Begrijp ik ethical hacking als gestructureerd vakgebied en de manier waarop aanvallers denken?” OSCP beantwoordt: “Kan ik onder druk aantonen dat ik technisch in staat ben een realistische penetratietest uit te voeren?” Zodra je die drie vragen uit elkaar trekt, wordt de keuze meestal veel eenvoudiger.

Eerst het korte antwoord

Wat je feitelijk krijgt

CompTIA Security+ is een brede securitycertificering. In het CompTIA Security+ examen krijgen examenkandidaten 90 minuten de tijd (of extra tijd op aanvraag als Engels niet hun moedertaal is) om 90 vragen te beantwoorden. De examenvragen zijn gericht op algemene beveiligingsprincipes, dreigingen, architectuur, operations en program management. Het examenformaat is deels prestatiegericht, maar het doel blijft breed: aantonen dat je de kern van cybersecurity begrijpt. CompTIA noemt het Security+ certificaat expliciet als brede basis voor securityfuncties.

Certified Ethical Hacker (CEH) is een bredere offensieve securitytraining dan veel mensen denken. Het CEH cursusmateriaal omvat 20 modules, 221 labopdrachten en meer dan 550 aanvalstechnieken. In het Certified Ethical Hacker (CEH) examen zijn er 125 vragen die binnen 4 uur beantwoord dienen te worden. Daarbij dien je voor de praktische route richting CEH Master nog een 6 uur durend praktisch examen af te leggen. CEH is daarmee niet alleen theorie, maar ook niet dezelfde soort technische stresstest als OffSec Certified Professional (OSCP). Het doel van de CEH training en de CEH E-Learning is vooral dat je het proces van ethisch hacken leert begrijpen en toepassen in een gestructureerd kader.

OSCP is het meest technisch en het minst vriendelijk voor beginners. OffSec beschrijft het OSCP+ examen als een live network in een private VPN, met 23 uur en 45 minuten om te werken. Daarin draait het om echte uitvoering onder tijdsdruk. In de arbeidsmarkt verklaart juist die examenvorm waarom OSCP zo’n sterke reputatie heeft voor technische penetratietestrollen: je kunt het niet halen op herkenning alleen, je dient jouw vaardigheden aan te tonen.

Kosten en drempel

Op kosten verschillen deze drie certificeringen flink, al veranderen prijsmodellen geregeld.

Moeilijkheid en studiebelasting

Security+ is het meest toegankelijk. Niet “makkelijk” in de zin van vrijblijvend, maar wel haalbaar voor mensen met netwerk- en systeemkennis plus een serieuze studieperiode. CEH is een stap intensiever, omdat de inhoud breder en offensiever is en je meer tooling, aanvalspaden en securitycontext tegelijk moet leren. OSCP staat inhoudelijk en mentaal bovenaan, omdat het examen je dwingt om zelfstandig te presteren. Communitydiscussies rond OSCP en CEH bevestigen dat verschil telkens opnieuw.

Een manier om het praktisch te zien:

• Security+ vraagt vooral begrip en toepassing van de basisprincipes van informatiebeveiliging.
• CEH vraagt begrip van security fundamentals plus inzicht in offensive methodiek.
• OSCP vraagt dat je offensive methodiek zelfstandig kunt uitvoeren onder druk.

Werkgeverswaardering: waar kijken werkgevers nou echt naar?

Werkgeverswaardering is minder zwart-wit dan veel vergelijkingstabellen suggereren. Voor generalistische securityrollen en vroege securitytransities doet Security+ het goed, omdat het een breed en herkenbaar fundament communiceert. Voor ethical-hacking en bredere offensieve awareness scoort CEH sterk op naamherkenning en recruiterfiltering. Voor diep technische pentestrollen is OSCP in veel teams het zwaardere bewijsstuk. Dat zie je terug in publieke jobposts en in communitycommentaar van hiring managers en practitioners.

Belangrijker nog: de betekenis van een certificering verschilt per vacature. In een SOC-, analyst- of bredere cyberfunctie zal CEH vaak prima resoneren, juist omdat de rol baat heeft bij aanvaller-denken maar niet per se vraagt om diep red-teamvakmanschap. In een gespecialiseerde consultancypentestrol wil men eerder zien dat je hands-on gedisciplineerd kunt werken en rapporteren; daar wint OSCP vaker terrein. Het is dus niet “welke certificering is algemeen beter?”, maar “welke certificering sluit beter aan op de functie waar jij naartoe wilt?”

Waar CEH tussen Security+ en OSCP in zit

En precies daar ligt de strategische kracht van CEH. CEH is de meest logische keuze voor professionals die niet meer op pure basis zitten, maar ook nog niet klaar zijn voor een zeer zware hands-on toets zoals OSCP.

Hierbij kun je denken aan:

1. Netwerkbeheerders die security serieuzer willen oppakken.
2. Systeembeheerders die naar offensive security willen bewegen.
3. SOC-analisten die aanvallers beter willen leren begrijpen.
4. Securityconsultants die hun offensive vocabulaire en methodiek willen verbreden.
5. ICT’ers die in vacatures vaker een ethical-hackingcertificering zien terugkomen.

De CEH zelfstudie past precies op dat profiel. De pagina noemt onder meer cybersecurityspecialisten, netwerkbeheerders, SOC-analisten en consultants als doelgroep. Het pakket bevat het officiële materiaal en de examenvoucher, met een jaar toegang en een duidelijke zelfstudiestructuur. Dat maakt CEH voor deze groep vaak een logischere keuze dan OSCP, dat je eerder “inhoudelijk verdient” nadat je fundament en discipline al staan.

Wanneer Security+ slimmer is dan CEH

Security+ is slimmer dan CEH als je nog moeite hebt met securitytaal, risk concepts, architecture, core operations en governance. Als je nog niet goed weet wat IAM, incident response, zero trust, basic security controls en vulnerability management inhouden, is direct naar CEH soms te vroeg. Je kunt dan wel offensive termen leren, maar zonder stevig fundament blijft de kennis fragiel. Security+ biedt juist een brede, leverancierneutrale ingang in moderne cybersecurity.

Ook wanneer je niet per se richting pentesting wilt, kan Security+ de betere keuze zijn. Voor security operations, governance, brede engineering- of overgangsrollen is Security+ soms rationeel sterker, simpelweg omdat het minder niche is. In die gevallen kun je CEH later alsnog toevoegen als de aanvallerkant relevanter wordt.

Wanneer OSCP slimmer is dan CEH

OSCP is slimmer dan CEH wanneer jij al zeker weet dat je technische pentesting wilt doen en wanneer je basis sterk genoeg is om een hands-on traject te dragen. Als je al gewend bent aan Linux, scripting, enumeration, webapp-begrip en privilege-escalation-denken, dan levert OSCP sneller geloofwaardigheid op in specialistische offensive-securityomgevingen. Dat is precies waarom het certificaat zo vaak terugkomt als referentiepunt in vergelijkingsdiscussies.

Maar daar hoort een waarschuwing bij: OSCP is geen slimme keuze alleen omdat het “meer prestige” heeft. Prestige zonder basis levert zelden snelheid op. Sterker nog, het kan juist zorgen voor uitstelgedrag, demotivatie en veel losse kennis zonder samenhang. Daarom is het in veel carrières verstandiger om eerst een tussenstap zoals CEH of bijvoorbeeld eJPT/PNPT te gebruiken, afhankelijk van jouw leerstijl en doel.

Een praktische beslisboom

Kies Security+ als…

je nog breed in security wilt landen, nog geen sterke securitybasis hebt, of nog niet zeker weet of offensive security jouw richting is. Je wilt eerst grip krijgen op het vakgebied als geheel.

Kies CEH als…

je al een basis in IT of security hebt en een brede, gestructureerde ethical-hackingroute wilt die goed werkt voor employer visibility, aanvaller-denken en doorgroei richting securityspecialisatie.

Kies OSCP als…

je al redelijk technisch bent, bewust richting pentesting of red teaming wilt, en bereid bent om zelfstandige praktijk onder hoge druk te bewijzen.

Advies

Voor de Nederlandse ICT-professionals die serieus willen doorgroeien, vaak naast werk studeren en behoefte hebben aan een duidelijke route, is CEH vaak de beste middenstap. Niet omdat OSCP geen goede certificering is, maar omdat OSCP voor veel mensen te vroeg komt. Niet omdat Security+ niet nuttig is, maar omdat Security+ voor professionals met offensive ambities soms te breed blijft. CEH sluit precies aan waar de meeste twijfelaars zitten: “Ik heb basis, ik wil offensief leren denken, ik wil serieus genomen worden, maar ik ben nog niet klaar voor een extreem specialistische toets.”

Dat is een sterke commerciële positie zolang je haar eerlijk brengt. Wie na CEH door wil, kan naar hands-on verdieping. Wie nog onvoldoende basis heeft, kan eerst breder beginnen. Maar voor een grote groep professionals is CEH precies de slimme volgende stap.

Conclusie

CEH, OSCP en Security+ concurreren niet één-op-één. Ze horen bij verschillende fases in je ontwikkeling. Security+ geeft structuur aan je basis. CEH geeft structuur aan je offensive security-denken. OSCP test of je dat in de praktijk al stevig kunt uitvoeren. Voor veel Nederlandse IT-professionals is CEH daarom niet de veiligste keuze, maar juist de slimste middenroute.