Sikkerhed er et stort problem inden for næsten ethvert it-område. Uanset om du er en netværksadministrator, udvikler eller CIO, er en del af din dag uden tvivl taget med bekymring for trusler udefra, malware og mulige sårbarheder i dit netværk. Men har du tænkt på at tage din sikkerhedstræning til næste niveau? Vi interviewede Carol Balkcom, direktør for produktstyring i CompTIA, for at lære mere om deres sikkerhedscertificeringer og hvordan de kan hjælpe it-proffere med at køre et strammere skib.
Techopedia: Mange kender CompTIA for sin A + -certificering. Fortæl os om dine andre sikkerhedstilbud.
Carol Balkcom: CompTIA Security + er vores første eksamen, der helt og holdent beskæftiger sig med sikkerhed, og den blev oprindeligt lanceret i 2002. Alle vores eksamener er "leverandørneutral", hvilket betyder, at de ikke er bundet til nogen sælgers produkter - og Security + er ingen undtagelse .
CompTIA A + og Network + har også sikkerhedskomponenter i dem, fordi naturligvis dagens supportteknikere og netværksadministratorer også skal have kendskab til sikkerhed. Til side findes alle disse tre prøver (A +, Network +, Security +) på det amerikanske forsvarsdirektiv 8570, som kræver certificering af personale til informationssikring. Som et resultat har et stort antal fagfolk taget disse certificeringer i de sidste par år.
For at vende tilbage til vores sikkerhedstilbud, lancerede vi tidligere i år den første i CompTIAs "Mastery" -serieeksamen, vores CompTIA Advanced Security Practitioner (CASP).
Techopedia: Fortæl os mere om Security +. Hvilke hovedfagområder er dækket, og hvem er det primære publikum?
Carol Balkcom: Det primære publikum for Security + er it-fagfolk med to eller flere års praktisk, teknisk informationssikkerhedserfaring. Der er Security + -certificerede fagfolk i alle typer organisationer, fra US Navy til General Mills til Archdiocese of Philadelphia.
Hvad angår emneområderne i Security +, er den brede viden "domæner" netværkssikkerhed, overholdelse og operationel sikkerhed, trusler og sårbarheder, applikation, data og værtssikkerhed, adgangskontrol og identitetsstyring og kryptografi.
Techopedia: Hvad med CASP? Kan du fortælle os mere om betegnelsen?
Carol Balkcom: For CompTIA Advanced Security Practitioner (CASP) anbefaler vi mindst 10 år inden for IT og fem års praktisk teknisk sikkerhedserfaring. Det er beregnet til sikkerhedsarkitekten, der arbejder i en stor organisation med flere lokationer. CASP ser også på sikkerhedsmæssige konsekvenser af forretningsbeslutninger, såsom erhvervelse af et selskab af et andet, som et eksempel.
Techopedia: Hvad var grunden til at udvikle CASP?
Carol Balkcom: Idéen til CASP stammer fra drøftelser med det amerikanske forsvarsministerium for flere år siden. Vi fik at vide, at de ville have en mere teknisk eksamen for jobbet "IA Technical Level III" i direktiv 8570. Direktivet kræver certificering af alt personale, der beskæftiger sig med informationssikringsaktiviteter. Teknisk niveau III er dybest set den person, der specificerer og fører tilsyn med virksomheden (et multilokaliseret netværksmiljø, som militæret kalder "enklave") sikkerhed. Denne person skal have dybe tekniske sikkerhedsevner.
Men inden CompTIA udvikler en certificering, ser vi efter branchevalidering af behovet for det i den bredere industri. Så i en af vores årlige sikkerhedsundersøgelser spurgte vi, om der var et industribehov for en avanceret sikkerhedscertificering, der var teknisk. Undersøgelsens svar bekræftede, at vi skulle fortsætte med udviklingen.
Techopedia: Ikke for at fremhæve din konkurrence, men mange fagfolk kender CISSP. Hvordan adskiller CASP sig fra denne certificering?
Carol Balkcom: Der var flere fageksperter involveret i CASP-udvikling, der også er CISSP'er. Hensigten var ikke at udvikle en eksamen for at konkurrere med CISSP, men at give en avanceret certificering, der er teknisk. CISSP har længe været guldstandarden for sikkerhedsfolk, der foretager en politik og er involveret i sikkerhedsstyring. CASP er beregnet til som et eksempel at måle en persons evne til at udføre og implementere risikobegrænsende strategier, herunder klassificere informationstyper i niveauer af CIA (fortrolighed, integritet og tilgængelighed) baseret på organisationen eller branchen og implementere retten slags sikkerhedskontrol.
En anden markant forskel mellem CISSP og CASP på dette tidspunkt er, at CASP indeholder nogle præstationsbaserede spørgsmål, der skal besvares ved at udføre en opgave i forbindelse med et givet scenarie ved hjælp af en softwareplatform, der kræver, at eksamensgiveren foretager specifikke valg. Fokus er på teknisk viden om jobbet, og hvordan man udfører det.
Techopedia: I en organisation som CompTIA skal du være på toppen af trends på jobmarkedet og hvad der er varmt inden for it. Har du set mere efterspørgsel på dette område i de seneste år?
Carol Balkcom: Dette overrasker ingen, men svaret er ja. Delvis drevet af den amerikanske regering og af behovet for, at regeringsentreprenører (hvoraf der er mange) skal certificeres for at få arbejde, har IT-certificering været stigende. Corporate brug af certificering i ansættelse og medarbejder incitament programmer er fortsat stærk. Endelig ser vi vækst i udviklingsregioner som Malaysia, Mellemøsten, Europa og Afrika, da regeringerne yder finansiering til uddannelse og certificering for at imødekomme voksende behov for it-kompetencer.
Techopedia: Det ældgamle spørgsmål er værdien af en certificering versus oplevelse. Hvor vejer du ind?
Carol Balkcom: Certificering er en indikator, ikke et bevis på evnen til at udføre. (Selvom de nye præstationsbaserede spørgsmål, som jeg nævnte tidligere, er et bestemt skridt i retning af at måle den faktiske færdighed.) Certificering er en indikator for, at nogen tog sig tid og gjorde en indsats for at lære, hvad der var nødvendigt for at tage og bestå en eksamen . Men helt sikkert praktisk erfaring - selvom oplevelsen kun er i laboratorier under kurser - foretrækkes altid frem for certificering alene.
Ønsker du at om IT-certificering? Se Techopedias afsnit om IT-karrierer.
For mere information direkte fra CompTIA, se den officielle side for Security + og CASP.
