A biztonság komoly aggodalomra ad okot az IT bármely területén. Függetlenül attól, hogy hálózati adminisztrátor, fejlesztő vagy informatikai igazgató - a nap egy részét minden bizonnyal a külső fenyegetések, a rosszindulatú programok és a hálózat esetleges sérülékenységei miatt aggódik. De gondolkodott-e azon, hogy a biztonsági képzést a következő szintre vigye? Interjút készítettünk Carol Balkcommal, a CompTIA termékmenedzsment igazgatójával, hogy megismerjék biztonsági tanúsítványaikat és azt, hogy miként segíthetnek az informatikai szakemberek szigorúbb hajók vezetésében.
Techopedia: Sokan tudják a CompTIA-t A + tanúsításáról. Mondja el nekünk a többi biztonsági ajánlatát.
Carol Balkcom: A CompTIA Security + az első teljes egészében a biztonsággal foglalkozó vizsga, amelyet eredetileg 2002-ben indítottak. Minden vizsgánk "eladó-semlegessé" válik, ami azt jelenti, hogy nem kötődnek egyetlen eladó termékéhez - és a Security + sem kivétel .
A CompTIA A + és a Network + biztonsági elemeket is tartalmaz, mivel természetesen a mai támogatási technikusoknak és a hálózati adminisztrátoroknak is tisztában kell lenniük a biztonsággal. Emellett mindhárom vizsga (A +, Network +, Security +) az Egyesült Államok Védelmi Minisztériumának 8570. számú irányelvén található, amely megköveteli az információbiztosítási személyzet tanúsítását. Ennek eredményeként számos szakember vette át ezeket az igazolásokat az elmúlt néhány évben.
Visszatérve a biztonsági kínálatunkhoz, ez év elején hivatalosan elindítottuk az CompTIA "Mastery" vizsgázatos sorozatában az első CompTIA Advanced Security Practitioner (CASP).
Techopedia: Mondjon többet a Security + -ról. Milyen főbb témaköröket fed le és ki az elsődleges közönség?
Carol Balkcom: A Security + elsődleges közönsége az informatikai szakemberek, akiknek legalább két éve gyakorlati tapasztalata van. Biztonsági + tanúsítvánnyal rendelkező szakemberek működnek minden típusú szervezetben, az Egyesült Államok Haditengerészetétől a General Mills-től a Philadelphiai érsekségig.
A Security + témakörét illetően a széles körű ismeretekkel rendelkező „domain” a hálózati biztonság, a megfelelőség és az üzemeltetési biztonság, a fenyegetések és sebezhetőségek, az alkalmazás, az adatok és a host biztonság, a hozzáférés ellenőrzése és az identitáskezelés, valamint a kriptográfia.
Techopedia: Mi a helyzet a CASP-vel? Tudnál többet mondani a kijelölésről?
Carol Balkcom: A CompTIA Advanced Security Practiceer (CASP) számára legalább 10 éves informatikai tapasztalatot és öt éves gyakorlati műszaki biztonsági tapasztalatot ajánlunk. Ez egy nagy, több helyben működő szervezetben dolgozó biztonsági építész számára készült. A CASP példaként tárgyalja az üzleti döntések biztonsági következményeit is, például az egyik társaság másik társaság általi megszerzését.
Techopedia: Mi indokolta a CASP fejlesztését?
Carol Balkcom: A CASP elképzelése az Egyesült Államok Védelmi Minisztériumával folytatott megbeszélések eredményeként jött létre néhány évvel ezelőtt. Azt mondták nekünk, hogy a 8570 irányelvben szerepelnek egy műszaki vizsga az "IA III. Szintű" munkakörhöz. Az irányelv előírja az információbiztosítási tevékenységekben részt vevő összes személyzet tanúsítását. A III. Technikai szint alapvetõen az a személy, aki meghatározza és felügyeli a vállalati (több helyen elhelyezkedõ hálózati környezetet, amelyet a katonaság „enklávénak” nevez) biztonságot. Ennek a személynek mély műszaki biztonsági ismeretekkel kell rendelkeznie.
De mielőtt a CompTIA bármilyen tanúsítást kidolgozna, megvizsgáljuk, hogy az iparág igazolja-e annak szükségességét a szélesebb iparágban. Tehát az éves biztonsági felmérésünk egyikében feltettük a kérdést, vajon van-e ipar szükség fejlett biztonsági tanúsításra, amely technikai jellegű. A felmérés válaszai megerősítették, hogy folytatnunk kell a fejlesztést.
Techopedia: Nem a verseny kiemelésére, de sok szakember ismeri a CISSP-t. Hogyan különbözik a CASP attól a tanúsítástól?
Carol Balkcom: A CASP fejlesztésében számos téma szakértő vett részt, akik szintén CISSP-k. A cél nem a CISSP-vel való versengéshez szükséges vizsga kidolgozása volt, hanem fejlett tanúsítás nyújtása, amely technikai jellegű. A CISSP már régóta az arany szabvány a biztonsági szakemberek számára, akik politikát készítenek és részt vesznek a biztonság kezelésében. A CASP célja, hogy példaként mérje meg egy személy képességét kockázatcsökkentő stratégiák végrehajtására és végrehajtására, ideértve az információtípusok CIA szintre (bizalmasság, integritás és elérhetőség) történő osztályozását a szervezet vagy ipar alapján, valamint a jogok végrehajtását. típusú biztonsági ellenőrzések.
Egy másik jelentős különbség a CISSP és a CASP között ebben a pillanatban az, hogy a CASP néhány teljesítményalapú kérdést tartalmaz, amelyeket meg kell válaszolni egy adott forgatókönyvhöz kapcsolódó feladat elvégzésével egy olyan szoftverplatform segítségével, amely megköveteli a vizsgáztatótól. konkrét választások. A hangsúly a munka műszaki ismereteire és annak elvégzésére irányul.
Techopedia: A CompTIA-hoz hasonló szervezeteknél a munkaerő-piaci trendek tetején kell lennie, és az IT területén forró kell lennie. Az elmúlt években tapasztalható-e nagyobb kereslet ezen a területen?
Carol Balkcom: Ez nem lep meg senkit, de a válasz igen. Az informatikai tanúsítás egyre növekszik, részben az amerikai kormány által, valamint annak szükségessége miatt, hogy munkavállalás céljából állami vállalkozók (akiknek sokan vannak) tanúsítvánnyal kell rendelkezniük. A tanúsítás vállalati alkalmazása továbbra is erőteljes a munkaerő-felvételi és munkavállalói ösztönző programokban. Végül növekedést tapasztalunk a fejlődő régiókban, például Malajziában, a Közel-Keleten, Európában és Afrikában, amikor a kormányok finanszírozást nyújtanak a képzéshez és a tanúsításokhoz az informatikai készségek növekvő igényeinek kielégítése érdekében.
Techopedia: Az öreg kérdés a tanúsítás és a tapasztalat értéke. Hol mérlegelsz?
Carol Balkcom: A tanúsítás egy mutató, nem pedig a teljesítőképesség bizonyítéka. (Bár a korábban említett új teljesítményalapú kérdések határozott lépést jelentenek a tényleges készség mérésének irányába.) A tanúsítás azt jelzi, hogy valaki időt vett igénybe és erőfeszítéseket tett annak érdekében, hogy megtanulja a vizsga elvégzéséhez és átadásához szükséges képeket. . De természetesen a gyakorlati tapasztalatokat - még akkor is, ha csak a laboratóriumokban vannak tanfolyamok során - mindig inkább a tanúsítás helyett részesítik előnyben.
Szeretne tudni az IT tanúsításról? Nézze meg a Techopedia IT karrier szakaszát.
További információt közvetlenül a CompTIA-tól a Security + és a CASP hivatalos oldalán talál.