Varnost je glavna skrb na skoraj katerem koli področju IT. Ne glede na to, ali ste skrbnik omrežja, razvijalec ali CIO, del dneva ste brez dvoma zaskrbljeni zaradi zunanjih groženj, zlonamerne programske opreme in morebitnih ranljivosti v vašem omrežju. A ste že razmišljali, da bi svoje varnostno usposabljanje dvignili na naslednjo stopnjo? Pogovorili smo se s Carol Balkcom, direktorjem upravljanja izdelkov v podjetju CompTIA, da bi izvedeli več o njihovih varnostnih certifikatih in kako lahko IT strokovnjakom pomagajo voditi tesnejšo ladjo.
Tehopedija: Mnogi poznajo CompTIA za njegovo A + certificiranje. Povejte nam o svojih drugih ponudbah varnosti.
Carol Balkcom: CompTIA Security + je naš prvi izpit, ki je v celoti namenjen varnosti, prvotno pa je bil predstavljen leta 2002. Vsi naši izpiti so "nevtralni do prodajalca", kar pomeni, da niso vezani na izdelke nobenega prodajalca - in Varnost + ni izjema .
CompTIA A + in Network + imata tudi varnostne komponente v njih, ker morajo biti današnji podporni tehniki in omrežni skrbniki tudi dobro poznati varnost. Poleg tega so vsi trije izpiti (A +, Network +, Varnost +) na Direktivi Ministrstva za obrambo ZDA 8570, ki zahteva potrjevanje osebja za zagotavljanje informacij. Posledično je v zadnjih nekaj letih ta certifikat prevzelo veliko število strokovnjakov.
Da bi se vrnili k našim varnostnim ponudbam, smo v začetku tega leta uradno predstavili prvega v izpitih podjetja CompTIA "Mojstrstvo", našega naprednega varnostnega izvajalca CompTIA (CASP).
Tehopedija: Povejte nam več o Security +. Katera glavna področja so zajeta in kdo je glavna publika?
Carol Balkcom: Primarno občinstvo za Security + so IT strokovnjaki z dvema ali več leti izkušenj s tehnično varnostjo informacij. V vseh vrstah organizacij obstajajo certificirani strokovnjaki za varnost +, od ameriške mornarice do generalnih mlinov do nadškofije v Filadelfiji.
Kar zadeva zadevna področja v Varnost +, so široka področja znanja varnost omrežja, skladnost in operativna varnost, grožnje in ranljivosti, aplikacija, varnost podatkov in gostitelja, nadzor dostopa in upravljanje identitete ter kriptografija.
Tehopedija: Kaj pa CASP? Nam lahko poveste kaj več o poimenovanju?
Carol Balkcom: Za napredni varnostni praktik CompTIA (CASP) priporočamo vsaj 10 let IT in pet let izkušenj s tehničnimi varnostnimi izkušnjami. Namenjen je varnostnemu arhitektu, ki deluje v veliki večplastni organizaciji. CASP na primer predstavlja varnostne posledice poslovnih odločitev, kot je nakup enega podjetja s strani drugega.
Tehopedija: Kakšna je bila osnova za razvoj CASP?
Carol Balkcom: Ideja za CASP je nastala v pogovorih z ameriškim ministrstvom za obrambo pred nekaj leti. Povedali so nam, da želijo bolj tehnični izpit za delovno vlogo "IA Technical Level III" v Direktivi 8570. Direktiva nalaga certificiranje vsega osebja, ki se ukvarja z dejavnostmi za zagotavljanje informacij. Tehnična raven III je v bistvu oseba, ki določi in nadzira podjetje (več lokacijsko omrežno okolje, ki ga vojska imenuje "enklava"). Ta oseba mora imeti globoko tehnično varnostno znanje.
Preden CompTIA razvije certifikat, iščemo potrjevanje potrebe industrije v širši panogi. Tako smo v eni od letnih raziskav o varnosti vprašali, ali je v industriji potrebna napredna varnostna certifikacija, ki je tehnične narave. Odgovori ankete so potrdili, da bi morali nadaljevati z razvojem.
Tehopedija: Da ne poudarjam vaše konkurence, vendar mnogi strokovnjaki poznajo CISSP. V čem se CASP razlikuje od certifikacije?
Carol Balkcom: V razvoj CASP je sodelovalo več strokovnjakov, ki so tudi CISSP. Namen ni bil razviti izpita, ki bi konkuriral CISSP, temveč zagotoviti napredno potrdilo tehnične narave. CISSP je že dolgo zlati standard za varnostne strokovnjake, ki se ukvarjajo s politiko in sodelujejo pri upravljanju varnosti. CASP naj bi kot primer meril sposobnost osebe za izvajanje in izvajanje strategij za zmanjšanje tveganja, vključno z razvrščanjem vrst informacij na ravni CIA (zaupnost, celovitost in razpoložljivost) glede na organizacijo ali panogo ter izvajanje pravice vrsta varnostnega nadzora.
Druga pomembna razlika med CISSP in CASP v tem trenutku je, da CASP vsebuje nekaj vprašanj, ki temeljijo na uspešnosti, na katere je treba odgovoriti z izvajanjem naloge v povezavi z določenim scenarijem s pomočjo programske platforme, ki od uporabnika zahteva izpit posebne izbire. Poudarek je na tehničnem znanju dela in kako ga izvesti.
Tehopedia: V organizaciji, kot je CompTIA, morate biti na vrhu trendov na trgu dela in tega, kar je v IT vroče. Ste v preteklih letih opazili večje povpraševanje na tem področju?
Carol Balkcom: To ne bo nikogar presenetilo, vendar je odgovor pritrdilen. Deloma zaradi ameriške vlade in zaradi potrebe po vladnih izvajalcih (ki jih je veliko) je treba certificirati, da bi lahko dobili delo, certificiranje IT je v porastu. Korporativna uporaba certifikatov pri programih zaposlovanja in spodbujanja zaposlenih ostaja močna. Nazadnje opažamo rast v regijah v razvoju, kot so Malezija, Bližnji vzhod, Evropa in Afrika, saj vlade zagotavljajo sredstva za usposabljanje in certificiranje za povečanje potreb po znanju IT.
Tehopedija: starostno vprašanje je vrednost certifikata v primerjavi z izkušnjami. Kje tehtate?
Carol Balkcom: Certificiranje je pokazatelj, ne pa dokaz sposobnosti. (Čeprav so nova vprašanja o uspešnosti, ki sem jih omenila prej, določen korak v smeri merjenja dejanske spretnosti.) Potrjevanje je pokazatelj, da si je nekdo vzel čas in se potrudil, da bi se naučil, kaj je potrebno za sprejem in izpit. . Vsekakor pa je praktična izkušnja - četudi je med tečaji samo v laboratorijih - vedno prednost pred samo certificiranjem.
Želite certificiranje IT? Oglejte si razdelek o poklicni poti v podjetju Techopedia.
Za več informacij neposredno iz CompTIA glejte uradno stran za Security + in CASP.