Bezpieczeństwo stanowi poważny problem w prawie każdej dziedzinie IT. Bez względu na to, czy jesteś administratorem sieci, programistą czy CIO, część Twojego dnia bez wątpienia zajmuje się zagrożeniami zewnętrznymi, złośliwym oprogramowaniem i możliwymi podatnościami w sieci. Ale czy myślałeś o przeniesieniu swojego szkolenia w zakresie bezpieczeństwa na wyższy poziom? Przeprowadziliśmy wywiad z Carol Balkcom, dyrektor ds. Zarządzania produktem w firmie CompTIA, aby dowiedzieć się więcej na temat ich certyfikatów bezpieczeństwa i tego, w jaki sposób mogą pomóc profesjonalistom IT w prowadzeniu mocniejszego statku.
Techopedia: Wielu zna CompTIA ze swojego certyfikatu A +. Powiedz nam o swoich innych ofertach bezpieczeństwa.
Carol Balkcom: CompTIA Security + to nasz pierwszy egzamin w całości poświęcony bezpieczeństwu, który został pierwotnie uruchomiony w 2002 roku. Wszystkie nasze egzaminy są „neutralne dla dostawców”, co oznacza, że nie są powiązane z produktami jednego dostawcy - a Security + nie jest wyjątkiem .
CompTIA A + i Network + również zawierają komponenty zabezpieczające, ponieważ oczywiście dzisiejsi technicy wsparcia i administratorzy sieci muszą również posiadać wiedzę na temat bezpieczeństwa. Nawiasem mówiąc, wszystkie trzy z tych egzaminów (A +, Network +, Security +) podlegają Dyrektywie 8570 Departamentu Obrony USA, która wymaga certyfikacji dla personelu zapewniającego informacje. W rezultacie wielu specjalistów podjęło te certyfikaty w ciągu ostatnich kilku lat.
Aby powrócić do naszej oferty bezpieczeństwa, na początku tego roku oficjalnie uruchomiliśmy pierwszą z serii egzaminów CompTIA „Mastery”, naszą CompTIA Advanced Security Practitioner (CASP).
Techopedia: Powiedz nam więcej o Security +. Jakie główne obszary tematyczne są omówione i kto jest głównym odbiorcą?
Carol Balkcom: Główną grupą odbiorców Security + są specjaliści IT z co najmniej dwuletnim doświadczeniem w zakresie bezpieczeństwa informacji technicznych. Istnieją certyfikowani specjaliści Security + we wszystkich typach organizacji, od marynarki wojennej USA przez General Mills po archidiecezję filadelfijską.
Jeśli chodzi o obszary tematyczne w Security +, „domenami” szerokiej wiedzy są: bezpieczeństwo sieci, zgodność i bezpieczeństwo operacyjne, zagrożenia i słabości, bezpieczeństwo aplikacji, danych i hosta, kontrola dostępu i zarządzanie tożsamością oraz kryptografia.
Techopedia: Co z CASP? Czy możesz nam powiedzieć więcej o oznaczeniu?
Carol Balkcom: W przypadku CompTIA Advanced Security Practitioner (CASP) zalecamy co najmniej 10 lat w IT i pięć lat praktycznego doświadczenia w zakresie bezpieczeństwa technicznego. Jest przeznaczony dla architekta bezpieczeństwa pracującego w dużej organizacji z wieloma lokalizacjami. CASP bierze również pod uwagę wpływ decyzji biznesowych na bezpieczeństwo, takich jak przejęcie jednej firmy przez drugą, jako przykład.
Techopedia: Jakie były uzasadnienia opracowania CASP?
Carol Balkcom: Pomysł na CASP zrodził się podczas dyskusji z Departamentem Obrony USA kilka lat temu. Powiedziano nam, że chcieli bardziej technicznego egzaminu na stanowisko „IA Technical Level III” w dyrektywie 8570. Dyrektywa ta wymaga certyfikacji całego personelu zaangażowanego w działania związane z zapewnianiem informacji. Poziom technologiczny III to w zasadzie osoba, która określa i nadzoruje bezpieczeństwo przedsiębiorstwa (środowisko sieciowe obejmujące wiele lokalizacji, które wojsko nazywa „enklawą”). Ta osoba musi posiadać głębokie techniczne umiejętności bezpieczeństwa.
Ale zanim CompTIA opracuje jakąkolwiek certyfikację, szukamy potwierdzenia przez przemysł jej potrzeby w szerszej branży. Dlatego w jednej z naszych corocznych ankiet dotyczących bezpieczeństwa pytaliśmy, czy istnieje zapotrzebowanie na zaawansowaną certyfikację bezpieczeństwa o charakterze technicznym. Odpowiedzi w ankiecie potwierdziły, że powinniśmy kontynuować rozwój.
Techopedia: Nie chcę wyróżniać swojej konkurencji, ale wielu profesjonalistów zna CISSP. Czym CASP różni się od tego certyfikatu?
Carol Balkcom: Było kilku ekspertów merytorycznych zaangażowanych w rozwój CASP, którzy są również CISSP. Celem nie było opracowanie egzaminu, aby konkurować z CISSP, ale zapewnienie zaawansowanego certyfikatu o charakterze technicznym. CISSP od dawna jest złotym standardem dla specjalistów ds. Bezpieczeństwa, którzy opracowują zasady i są zaangażowani w zarządzanie bezpieczeństwem. CASP ma na celu, na przykład, zmierzyć zdolność osoby do wykonywania i wdrażania strategii ograniczania ryzyka, w tym klasyfikowania rodzajów informacji na poziomy CIA (poufność, integralność i dostępność) w oparciu o organizację lub branżę, oraz wdrażania prawa rodzaj kontroli bezpieczeństwa.
Inną znaczącą różnicą między CISSP a CASP w tym momencie jest to, że CASP zawiera pewne pytania oparte na wydajności, na które należy odpowiedzieć, wykonując zadanie związane z danym scenariuszem przy użyciu platformy oprogramowania, która wymaga od egzaminatora konkretne wybory. Nacisk kładziony jest na wiedzę techniczną na temat pracy i sposobu jej wykonywania.
Techopedia: w organizacji takiej jak CompTIA musisz być na bieżąco z trendami na rynku pracy i nowościami w branży IT. Czy widziałeś więcej popytu w tym obszarze w ciągu ostatnich lat?
Carol Balkcom: Nikogo to nie zaskoczy, ale odpowiedź brzmi tak. Częściowo napędzany przez rząd USA i potrzebę certyfikacji wykonawców rządowych (których jest wielu) w celu uzyskania pracy, certyfikacja IT rośnie. Korporacyjne wykorzystanie certyfikacji w programach rekrutacyjnych i motywacyjnych dla pracowników pozostaje silne. Wreszcie, obserwujemy wzrost w rozwijających się regionach, takich jak Malezja, Bliski Wschód, Europa i Afryka, ponieważ rządy zapewniają finansowanie szkoleń i certyfikacji w celu zaspokojenia rosnących potrzeb w zakresie umiejętności informatycznych.
Techopedia: Odwieczne pytanie to wartość certyfikacji w porównaniu z doświadczeniem. Gdzie ważysz?
Carol Balkcom: Certyfikacja jest wskaźnikiem, a nie dowodem zdolności do działania. (Chociaż nowe pytania oparte na wynikach, o których wspomniałem wcześniej, są zdecydowanym krokiem w kierunku pomiaru rzeczywistych umiejętności.) Certyfikacja jest wskaźnikiem, że ktoś poświęcił czas i starał się dowiedzieć, co jest potrzebne do zdania egzaminu. . Ale z pewnością praktyczne doświadczenie - nawet jeśli doświadczenie odbywa się tylko w laboratoriach podczas kursów - jest zawsze preferowane zamiast samej certyfikacji.
Chcesz uzyskać informacje na temat certyfikacji IT? Sprawdź sekcję Kariery IT w Techopedia.
Aby uzyskać więcej informacji bezpośrednio z CompTIA, zobacz oficjalną stronę Security + i CASP.
