Sikkerhet er et stort problem på omtrent ethvert område av IT. Enten du er nettverksadministrator, utvikler eller CIO, en del av dagen din er uten tvil tatt opp med bekymring for trusler utenfor, malware og mulige sårbarheter i nettverket. Men har du tenkt på å ta sikkerhetstreningen din til neste nivå? Vi intervjuet Carol Balkcom, direktør for produktstyring i CompTIA, for å lære mer om sikkerhetssertifiseringene deres og hvordan de kan hjelpe IT-prosjekter med å drive et strammere skip.
Techopedia: Mange kjenner CompTIA for sin A + -sertifisering. Fortell oss om dine andre sikkerhetstilbud.
Carol Balkcom: CompTIA Security + er vår første eksamen som er viet helt til sikkerhet, og den ble opprinnelig lansert i 2002. Alle eksamenene våre er "leverandørneutrale", noe som betyr at de ikke er bundet til noen leverandørs produkter - og Security + er intet unntak .
CompTIA A + og Network + har også sikkerhetskomponenter i seg, for selvfølgelig må dagens supportteknikere og nettverksadministratorer også ha kunnskap om sikkerhet. Som en side er alle disse tre eksamenene (A +, Network +, Security +) på det amerikanske forsvarsdirektivet 8570 som krever sertifisering for informasjonssikringspersonell. Som et resultat har et stort antall fagpersoner tatt disse sertifiseringene de siste årene.
For å komme tilbake til sikkerhetstilbudene våre, lanserte vi tidligere i år den første i CompTIAs "Mastery" -serie av eksamener, vår CompTIA Advanced Security Practitioner (CASP).
Techopedia: Fortell oss mer om Security +. Hvilke hovedfagområder dekkes og hvem er det primære publikummet?
Carol Balkcom: Det viktigste publikummet for Security + er IT-fagfolk med to eller flere års praktisk, teknisk informasjonssikkerhetserfaring. Det finnes sikkerhets + sertifiserte fagpersoner i alle typer organisasjoner, fra den amerikanske marinen til General Mills til erkebispedømmet i Philadelphia.
Når det gjelder fagområdene i Security +, er den brede kunnskapen "domener" nettverkssikkerhet, compliance og operativ sikkerhet, trusler og sårbarheter, applikasjon, data og vertssikkerhet, tilgangskontroll og identitetshåndtering og kryptografi.
Techopedia: Hva med CASP? Kan du fortelle oss mer om betegnelsen?
Carol Balkcom: For CompTIA Advanced Security Practitioner (CASP), anbefaler vi minst 10 år innen IT og fem års praktisk teknisk sikkerhetserfaring. Den er beregnet på sikkerhetsarkitekten som jobber i en stor organisasjon med flere lokasjoner. CASP ser også på sikkerhetsmessige implikasjoner av forretningsavgjørelser, for eksempel erverv av ett selskap av et annet, som et eksempel.
Techopedia: Hva var begrunnelsen for å utvikle CASP?
Carol Balkcom: Ideen til CASP oppsto ved diskusjoner med det amerikanske forsvarsdepartementet for flere år siden. Vi ble fortalt at de ønsket en mer teknisk eksamen for stillingsrollen "IA Technical Level III" i direktiv 8570. Direktivet krever sertifisering av alt personell som driver med informasjonssikringsaktiviteter. Teknisk nivå III er i utgangspunktet personen som spesifiserer og fører tilsyn med enterprise (et miljø med flere lokasjoner, som militæret kaller "enklave") sikkerhet. Denne personen er pålagt å ha dyptgående tekniske sikkerhetsferdigheter.
Men før CompTIA utvikler noen sertifisering, ser vi etter bransjevalidering av behovet for den i den bredere bransjen. Så i en av våre årlige sikkerhetsundersøkelser spurte vi om det var behov for industrien for en avansert sikkerhetssertifisering som var teknisk. Svarene fra undersøkelsen bekreftet at vi skulle fortsette med utviklingen.
Techopedia: Ikke for å fremheve konkurransen, men mange fagpersoner er kjent med CISSP. Hvordan skiller CASP seg fra den sertifiseringen?
Carol Balkcom: Det var flere fageksperter involvert i CASP-utvikling som også er CISSP-er. Hensikten var ikke å utvikle en eksamen for å konkurrere med CISSP, men å gi en avansert sertifisering som er teknisk. CISSP har lenge vært gullstandarden for sikkerhetsfagfolk som lager policy og er involvert i sikkerhetsstyring. CASP er ment som et eksempel å måle en persons evne til å utføre og implementere strategier for å redusere risikoen, inkludert klassifisering av informasjonstyper i nivåer av CIA (konfidensialitet, integritet og tilgjengelighet) basert på organisasjonen eller bransjen, og implementere retten slags sikkerhetskontroller.
En annen betydelig forskjell mellom CISSP og CASP på dette tidspunktet er at CASP inneholder noen ytelsesbaserte spørsmål som må besvares ved å utføre en oppgave i forbindelse med et gitt scenario ved bruk av en programvareplattform som krever at eksamensoppgaveren stiller spesifikke valg. Fokuset er på teknisk kunnskap om jobben og hvordan du skal utføre den.
Techopedia: Hos en organisasjon som CompTIA må du være på topp med trender i arbeidsmarkedet og hva som er varmt innen IT. Har du sett mer etterspørsel på dette området de siste årene?
Carol Balkcom: Dette vil ikke overraske noen, men svaret er ja. Delvis drevet av den amerikanske regjeringen og av behovet for at offentlige entreprenører (hvorav det er mange) for å bli sertifisert for å få arbeid, har IT-sertifisering økt. Bedriftsbruk av sertifisering i ansettelses- og ansattes insentivprogrammer er fortsatt sterk. Endelig ser vi vekst i utviklingsregioner som Malaysia, Midtøsten, Europa og Afrika, ettersom myndighetene gir finansiering for opplæring og sertifisering for å imøtekomme voksende IT-ferdighetsbehov.
Techopedia: Det eldgamle spørsmålet er verdien av en sertifisering versus opplevelse. Hvor veier du inn?
Carol Balkcom: Sertifisering er en indikator, ikke et bevis på evnen til å utføre. (Selv om de nye resultatbaserte spørsmålene som jeg nevnte tidligere, er et klart skritt i retning av å måle faktisk dyktighet.) Sertifisering er en indikator på at noen tok seg tid og gjorde en innsats for å lære hva som var nødvendig for å ta og bestå en eksamen . Men absolutt praktisk erfaring - selv om opplevelsen bare er i laboratorier i løpet av kurs - er alltid å foretrekke fremfor sertifisering alene.
Vil du om IT-sertifisering? Sjekk ut Techopedias IT-karriere-seksjon.
For mer info direkte fra CompTIA, se den offisielle siden for Security + og CASP.