Недавний пост Владимира о трудностях поиска специалистов по информационной безопасности в который раз напомнил о важности этой проблемы, а также о том, как неопытны еще в этом нелегком деле отечественные рекрутеры и специалисты по персоналу. Наше HR-community вот только год-два как освоилось в подборе специалистов по ИТ, "а мы тут со своей безопасностью" (С).
Первым методом проверки кандидата на прочность, конечно же, в голову приходит наличие у соискателя профессиональных сертификатов. О пользе сертификации сказано много, критики высказано не меньше, но факт остается фактом: рекрутеры на сертификаты обращают немало внимания. Также, при всех возможных изъянах института сертификации, у него есть ряд важных преимуществ.
Обратите внимание, речь идет не о сертификатах вендоров вроде Cisco и Microsoft, а о независимых институтах сертификации. Ни в коем случае не умаляю важности вендорных сертификаций, но они служат несколько иной цели. Сегодня речь не об эффективном использовании разного рода технологий, а об образовании в области информационной безопасности.
Итак, к позитиву. Во-первых, сертификат демонстрирует успешное освоение кандидатом соответствующего домена знаний. Домены для всех сертификатов разные, поэтому следует обращать внимание не только на наличие, но и на тип сертификата.
Во-вторых, программы сертификации как правило требуют удовлетворения определенных требований, таких как минимальный стаж в индустрии и профильное образование.
В-третьих, и это на мой взгляд самое важное, сертификат демонстрирует желание кандидата развиваться в заданном профессиональном направлении. Подготовка к сертификационным экзаменам, даже при наличии обширного опыта и знаний, дело не легкое, а сам экзамен обычно оказывается серьезным физическим и умственным испытанием. Человек, вложивший в свое обучение немало времени и нервов, судя по всему серьезно настроен на карьеру в ИБ.
В-четвертых, флагманы сертификационных программ требуют подчинения правилам кодекса этики. То есть, работодатель в праве надеяться на выполнение этих правил своими сертифицированными подчиненными. Это немаловажный момент так как нарушивший кодекс этики может быть предан позору рискует лишиться сертификата: для отзыва документа существует формальная процедура.
Что касается негативных сторон сертификации, они в основном возникают тогда, когда либо сертификат получен в результате зазубривания материала, либо вес и значение сертификата переоценивается или используется не по назначению. Всегда следует помнить о том, что собственно удостоверяет имеющийся у кандидата документ.
Основные "ходовые" сертификации в индустрии ИБ изложены ниже.
Certified Information Systems Security Professional (CISSP) - администрируется International Information Systems Security Certification Consortium , сокращенно (ISC)2. Охватывает область знаний по ИБ из 10 доменов, это, фактически, самая обширная программа в индустрии. Сертификация требует успешную сдачу экзамена, 5 лет опыта в ИБ и формальное принятие правил кодекса этики (ISC)2.
Systems Security Certified Practitioner (SSCP) - "младший брат" CISSP, охватывает 7 из 10 доменов области знаний (ISC)2. Требует 2 года стажа в ИБ и успешную сдачу экзамена.
Certified Information Security Manager (CISM) - администрируется ISACA и охватывает область знаний по управлению рисками и информационной безопасностью. Требует сдачу экзамена, 5 лет в аудите или безопасности ИТ-систем, выполнение правил кодекса этики ISACA.
Certified Information Systems Auditor (CISA) - пусть и не чисто ИБ-шный сертификат, но имеет отношение к безопасности. Учрежден ISACA, в области знаний освещены вопросы защиты ИТ-систем, управления рисками и непрерывностью бизнеса. Сертифицированные специалисты обязуются выполнять правила кодекса этики ISACA.
Security+ - администрируется CompTIA и является сертификатом начального уровня. Не требует опыта и охватывает подмножество области знаний CISSP.
Напоследок добавлю: нельзя забывать о том, что сертификат является подтверждением профессиональных достижений кандидата, и не должен расцениваться сам по себе. Сертификат это награда, а за что - следует разобраться подробнее.
Updated: Прекрасный обзорный доклад о существующих путях сертификации сделал Андрей Лысюк на конференции UISG в августе 2010.
Updated: Прекрасный обзорный доклад о существующих путях сертификации сделал Андрей Лысюк на конференции UISG в августе 2010.
