Безпека викликає головне занепокоєння практично в будь-якій галузі ІТ. Незалежно від того, чи ви адміністратор мережі, розробник чи CIO, частина вашого дня, без сумніву, переймається турботою про зовнішні загрози, зловмисне програмне забезпечення та можливі вразливості у вашій мережі. Але ви думали про те, щоб перейти на наступний рівень навчання з безпеки? Ми взяли інтерв’ю у Керол Балком, директора з управління продуктами CompTIA, щоб дізнатися більше про їх сертифікати безпеки та про те, як вони можуть допомогти ІТ-профі для більш жорсткого використання судна.
Техопедія: Багато хто знає CompTIA за його сертифікацію A +. Розкажіть про інші ваші пропозиції безпеки.
Керол Балком: CompTIA Security + - наш перший іспит, повністю присвячений безпеці, і він був спочатку запущений у 2002 році. Усі наші іспити є "нейтральними до продавця", це означає, що вони не прив'язані до жодної продукції одного постачальника - і Security + не є винятком .
CompTIA A + і Network + також мають в собі компоненти безпеки, тому що, звичайно, сучасні технічні працівники та мережеві адміністратори також повинні мати знання про безпеку. Крім того, усі ці три іспити (A +, Network +, Security +) складаються в Директиві Міністерства оборони США 8570, яка вимагає сертифікації персоналу із забезпечення інформації. У результаті велика кількість професіоналів за останні кілька років взяли ці сертифікати.
Щоб повернутися до наших пропозицій щодо безпеки, на початку цього року ми офіційно запустили перший в іспитах CompTIA "Майстерність", наш передовий практик безпеки CompTIA (CASP).
Техопедія: Розкажіть більше про Security +. Які основні предметні області охоплені та хто є первинною аудиторією?
Керол Балком: Основна аудиторія для Security + - це ІТ-професіонали, які мають два та більше років практичного досвіду безпеки інформації. Є спеціалісти, що мають сертифікацію Security +, у всіх типах організацій, від ВМС США до Генеральних Міллз до Філадельфії Філадельфії.
Що стосується предметних областей у програмі Security +, то широкими "доменами" знань є безпека мережі, відповідність та операційна безпека, загрози та вразливості, безпека додатків, даних та хостів, контроль доступу та управління ідентифікацією та криптографія.
Техопедія: А що з КАСП? Чи можете ви розповісти більше про позначення?
Керрол Балком: Для розширеного практику безпеки CompTIA (CASP) ми рекомендуємо принаймні 10 років в галузі ІТ та п'ять років практичного досвіду технічної безпеки. Він призначений для архітектора з безпеки, який працює у великій організації з різними локаціями. CASP також розглядає наслідки для безпеки бізнес-рішень, таких як придбання однієї компанії іншою, як приклад.
Техопедія: Що було обґрунтуванням розвитку КАСП?
Керрол Балком: Ідея щодо CASP виникла під час обговорень з Міністерством оборони США кілька років тому. Нам сказали, що вони хочуть зробити більш технічний іспит на посаду "IA Technical Level III" у Директиві 8570. Директива передбачає сертифікацію всього персоналу, який займається інформацією із забезпечення інформації. Технологічний рівень III - це в основному особа, яка визначає та контролює підприємство (багатополосне мережеве середовище, яке військові називають "анклавом"). Ця особа повинна мати глибокі навички технічної безпеки.
Але перш ніж CompTIA розробляє будь-яку сертифікацію, ми шукаємо галузеву валідацію потреби в цій галузі. Тож в одному з наших щорічних обстежень безпеки ми запитували про те, чи є потреба в галузі вдосконаленої сертифікації безпеки, яка має технічний характер. Відповіді опитування підтвердили, що ми повинні продовжувати розвиток.
Техопедія: Не підкреслюючи вашу конкуренцію, але багато фахівців знайомі з CISSP. Чим CASP відрізняється від сертифікації?
Керрол Балком: У розробці КАСП було кілька експертів, які також є CISSP. Завдання полягала не в тому, щоб розробити іспит для конкуренції з CISSP, а надати розширену сертифікацію технічного характеру. CISSP вже давно є золотим стандартом для професіоналів із безпеки, які займаються політикою та займаються управлінням безпекою. CASP призначений, як приклад, виміряти здатність людини виконувати та впроваджувати стратегії зменшення ризику, включаючи класифікацію типів інформації на рівні ЦРУ (конфіденційність, цілісність та доступність) на основі організації чи галузі, та реалізацію права вид контролю безпеки.
Ще одна суттєва відмінність між CISSP та CASP в даний момент часу полягає в тому, що CASP містить деякі питання на основі продуктивності, на які слід відповісти, виконуючи завдання у зв'язку із заданим сценарієм, використовуючи програмну платформу, яка вимагає складати іспит конкретний вибір. Основна увага приділяється технічним знанням роботи та способам її виконання.
Техопедія: В такій організації, як CompTIA, ви повинні бути в курсі тенденцій на ринку праці та того, що актуально в ІТ. Ви бачили більший попит у цій галузі за останні роки?
Керол Балком: Це нікого не здивує, але відповідь - так. Частково керований урядом США та потребою урядових підрядників (яких існує багато) для того, щоб отримати роботу, сертифікація ІТ постійно зростає. Корпоративне використання сертифікації у програмах найму та заохочення працівників залишається сильним. Нарешті, ми спостерігаємо зростання в регіонах, що розвиваються, таких як Малайзія, Близький Схід, Європа та Африка, оскільки уряди надають фінансування для навчання та сертифікації для задоволення зростаючих потреб у ІТ-навичках.
Техопедія: вікове запитання - значення сертифікації порівняно з досвідом. Де ти зважиш?
Керрол Балком: Сертифікація - це показник, а не доказ здатності виконувати. (Хоча нові питання на основі ефективності, про які я згадував раніше, є певним кроком у напрямку вимірювання фактичної майстерності.) Сертифікація - це показник того, що хтось витратив час і доклав зусиль, щоб дізнатися, що потрібно, щоб скласти і скласти іспит. . Але, безумовно, практичний досвід - навіть якщо цей досвід є лише в лабораторіях під час курсів - завжди кращий, ніж лише для сертифікації.
Хочете про ІТ-сертифікацію? Перегляньте розділ ІТ-кар’єри компанії Techopedia.
Для отримання додаткової інформації безпосередньо від CompTIA дивіться офіційну сторінку Security + та CASP.
