Сигурността е основна грижа почти във всяка област на ИТ. Независимо дали сте мрежов администратор, разработчик или CIO, част от деня ви без съмнение е зает от притеснения от външни заплахи, злонамерен софтуер и възможни уязвимости във вашата мрежа. Но мислили ли сте да преминете обучението си по сигурност на следващото ниво? Интервюирахме Карол Балком, директор за управление на продукти в CompTIA, за да научим повече за техните сертификати за сигурност и как те могат да помогнат на ИТ професионалистите да управляват по-строг кораб.
Техопедия: Много от тях знаят CompTIA за неговата A + сертификация. Разкажете ни за другите си предложения за сигурност.
Карол Балком: CompTIA Security + е първият ни изпит, посветен изцяло на сигурността, и първоначално беше стартиран през 2002 г. Всички наши изпити са „неутрални за продавачите“, което означава, че не са обвързани с продукти на нито един доставчик - и Security + не е изключение,
CompTIA A + и Network + също имат компоненти за защита в тях, защото, разбира се, днешните техници за поддръжка и мрежовите администратори също трябва да имат познания за сигурността. Като страна, и трите изпита (A +, Network +, Security +) са на Директива 8570 на Министерството на отбраната на САЩ, която изисква сертифициране за персонал за осигуряване на информация. В резултат на това голям брой професионалисти са взели тези сертификати през последните няколко години.
За да се върнем към нашите предложения за сигурност, по-рано тази година официално стартирахме първия от изпитите на CompTIA "Майсторство", нашият CompTIA Advanced Security Practitioner (CASP).
Техопедия: Разкажете ни повече за Security +. Какви основни тематични области са обхванати и кой е основната аудитория?
Карол Балком: Основната аудитория за Security + е ИТ специалисти с две или повече години практически опит в областта на сигурността на информацията. Има сертифицирани специалисти по сигурността + във всички видове организации, от ВМС на САЩ до Генерални мелници до Архиепископията на Филаделфия.
Що се отнася до предметните области в Security +, широките "домейни на знанието" са мрежова сигурност, съответствие и оперативна сигурност, заплахи и уязвимости, приложение, сигурност на данните и хост, контрол на достъпа и управление на идентичността и криптография.
Техопедия: Какво ще кажете за CASP? Можете ли да ни кажете повече за обозначението?
Карол Балком: За усъвършенствания практик за сигурност на CompTIA (CASP) препоръчваме поне 10 години в областта на информационните технологии и пет години практически опит в областта на техническата сигурност. Той е предназначен за архитекта по сигурността, работещ в голяма организация с много локации. CASP също разглежда последиците за сигурността на бизнес решенията, като например придобиването на една компания от друга, като пример.
Техопедия: Каква беше основата за разработването на КАСП?
Карол Балком: Идеята за CASP се заражда с дискусии с Министерството на отбраната на САЩ преди няколко години. Казаха ни, че искат по-технически изпит за длъжността „IA Technical Level III“ в Директивата 8570. Директивата предвижда сертифициране на целия персонал, ангажиран с дейности по осигуряване на информация. Техническото ниво III е основното лице, което определя и контролира предприятието (мулти-локална мрежова среда, която военните наричат „анклав“). Този човек е длъжен да притежава дълбоки умения за техническа сигурност.
Но преди CompTIA да разработи сертификат, ние търсим валидиране на нуждите от индустрията в по-широката индустрия. Така че в едно от годишните ни проучвания за сигурност попитахме дали има нужда от индустрията за усъвършенствано сертифициране за сигурност, което има технически характер. Отговорите на анкетата потвърдиха, че трябва да продължим с развитието.
Техопедия: Не за да подчертае конкуренцията ви, но много специалисти са запознати с CISSP. По какво се различава CASP от този сертификат?
Карол Балком: Имаше няколко експерти по темата, участващи в разработването на CASP, които също са CISSP. Намерението не беше да се разработи изпит, който да се конкурира с CISSP, а да се предостави усъвършенстван сертификат, който има технически характер. CISSP отдавна е златният стандарт за професионалисти по сигурността, които правят политика и участват в управлението на сигурността. Целта на CASP е да измери способността на човек да изпълнява и прилага стратегии за намаляване на риска, включително класифициране на типове информация на нива на ЦРУ (конфиденциалност, цялостност и наличност) въз основа на организацията или индустрията и прилагане на правото вид контрол на сигурността.
Друга съществена разлика между CISSP и CASP към този момент е, че CASP съдържа някои въпроси, базирани на ефективността, на които трябва да се отговори, като се изпълни задача във връзка с даден сценарий, като се използва софтуерна платформа, която изисква кандидатът за изпит да направи специфичен избор. Фокусът е върху техническите познания на работата и как да я изпълнявате.
Техопедия: В организация като CompTIA трябва да сте на върха на тенденциите на пазара на труда и какво е горещо в ИТ. Виждали ли сте повече търсене в тази област през последните години?
Карол Балком: Това няма да изненада никого, но отговорът е да. Отчасти подтикнат от правителството на САЩ и от необходимостта правителствените изпълнители (от които има много) да бъдат сертифицирани, за да получат работа, ИТ сертификацията нараства. Корпоративното използване на сертифицирането при наемане на програми и стимулиране на служителите остава силно. И накрая, наблюдаваме растеж в развиващите се региони като Малайзия, Близкия изток, Европа и Африка, тъй като правителствата осигуряват финансиране за обучение и сертифициране за справяне с нарастващите нужди от ИТ умения.
Техопедия: Въпросът за възрастта е стойността на сертифицирането спрямо опита. Къде претегляте?
Карол Балком: Сертифицирането е показател, а не доказателство за способността за изпълнение. (Макар че новите въпроси, базирани на резултатите, които споменах по-рано, са категорична стъпка в посока на измерване на действителните умения.) Сертифицирането е показател, че някой е отделил време и е положил усилия да научи какво е необходимо за полагане и изпит, Но със сигурност практически опит - дори ако опитът е само в лаборатории по време на курсове - винаги е предпочитан пред самото сертифициране.
Искате ли за ИТ сертифициране? Вижте раздела за кариери в IT на Techopedia.
За повече информация директно от CompTIA, вижте официалната страница за Security + и CASP.