Коментари И Интервюта

Професионални пътеки за сертифициране на експерта по киберсигурност

CIO Media

Найден Неделчев, заместник ръководител глобална ИТ сигурност и одит, GfK

Д-р Найден Неделчев е eксперт по управление и осигуряване на ИТ услуги. Професионалният му опит от над 18 год. включва позиции от различни нива във финансови и банкови организации, както и работа в групови и международни проекти за оценка на сигурността, проектиране и изграждане на решения за защита на корпоративни информационни ресурси.

Участвал е и е ръководил проекти по разработване и внедряване на планове за информационна сигурност, изрядност и постоянството на бизнеса в банковия и телекомуникационния сектор. Притежава поредица от престижни сертификати в областта на ИТ, като CGEIT, CISM, ITIL, CEH, Security+, Master Computer Industry Knowledge Analyst и др.

Член е на локалната секция на Асоциацията за одит и контрол на информационни системи – ISACA.

Формално сертификацията представлява ясно определена процедура, при която трета страна - най-често асоциация или институт, разпознава в писмен вид под форма на удостоверение способностите и качествата на продукт или услуга, процес или физическо лице. Основен елемент в процедурата е оценяването на сертифицирания субект за съответствие с приетия от сертифициращата организация текуща версия на идеал във вид на система от знания в определена предметна област.

Издаваните в резултат на успешното покриване на изискванията сертификати са валидиращи документи, които обикновено са ограничени във времето със срок, който позволява да бъде разширяван при определени, специфични за сертификата условия. Целта е поддържане на постоянната професионална квалификация (Continuing Professional Education – CPE) е осигуряването на гаранции, че всеки сертифициран експерт поддържа на адекватно ниво своите познания и умения в областта. Сертифицираните, които отговорят на CPE-политиката за притежавания от тях сертификат, са на очакваното ниво на компетенция и възможности, въпреки възникналите промени от момента на тяхното сертифициране.

Общата картина

Информационнната сигурност е предметна област, която се развива с изключителни темпове. Експертизата в тази област става все по-ценна особено с разрастването на Интернет базираните решения и дълбокото навлизане на технологиите не само в бита но и в производствените процеси на все повече индустриални сегменти. Дълбоко проникване, тясно сливане или  симбиотично свързване – както и да бъде наречена, тази промяна води до нови предизвикателства, които ако не бъдат разглеждани проактивно, последователно, постоянно и дългосрочно имат потенциала да доведат до фатални последствия както в индивидуален, така и в мащабен план. Компании, организации и дори отделни хора поддържат и боравят с все по-големи масиви от чувствителни данни, които могат да се окажат опасно оръжие ако попаднат в погрешни ръце. Дори ако погледнем само парите, които са универсалното платежно средство движещо съвременната икономика, в момента съществуват над 93% единствено в електронен вид. По тази причина е много важно съществуването на експерти, които да са в състояние да разпознаят опасностите и рисковете към информацията, както и това как те да бъдат избегнати или ограничени. Това е мястото, където не съдбата, а сертифицирането по информационна сигурност се намесва в ролята на добрия герой.

Сертификатите по информационна сигурност могат да предоставят широки познания за цялата предметна област или обратно – да са изключително тясно фокусирани върху конкретна тема, модел или процес. Преобладаващо тези сертификати се дават на хора, но съществуват и такива които се предоставят на компании или компютърни решения. Темата за тях обаче е твърде широка и заслужава отделен коментар.

Ползите

Изгодите от професионалното сертифициране са многопосочни. Преди всичко те са обективно потвърждение за притежаване на необходимите знания за информационната сигурност, т.е. притежаващият сертификат може да бъде ползван за консултация при разработване и/или внедряване на дадено технологично решение. Някои от сертификатите изискват не само знания, но и умения, като по този начин се превръщат в една видима, лесно разпознаваема и при това силно желана дамга.

Освен специалистите компаниите също получават някои преимущества, когато техните служители притежават разпознаваеми стандарти. Индиректно и подсъзнателно хората правят интуитивната връзка между качеството на изделията и хората, които участват в изготвянето им. А когато хората са високо квалифицирани резонно е и изделията да се очаква да бъдат с подобаващо качество. За да се избегне субективизма компаниите могат да ползват наличието на сертификат като основен критерии при селекция на персонал за съответна позиция. Освен към служители сертификатите могат да се отнасят и за партньорски екипи, с които компанията има общи проекти – независимо от формата на партньорство, притежаването на сертифициран персонал може да е довод за предпочитането на едни компании пред други, които имат малък брой сертифицирани служители или напълно им липсват такива.

Сертификатите също така са предпоставка за висока работна ефективност. Наличието на компетентност по дадена тема означава икономисване на време по разработване на план за действие и избягване на двоумене или забавяния поради неясноти.

Накрая, но не на последно място, сертификацията има влияние и върху възнаграждението. Подобно на образованието сертификатът е достатъчна причина за претенции в тази посока и трудно за омаловажаване основание.

Сертифициращи организации

Освен независимите сертифициращи организации като (ISC)², ISACA и CopmTIA, сертификати за експертиза в областта на информационната сигурност се предоставят и от основните разработчици на компютърни решения. Такива са Microsoft, Cisco, Symantec и др. Предоставяните от последните сертификати обаче са системно зависими и обвързват притежаващите ги специалисти с жизнения цикъл на продукта, за когото са предназначени.

Работодателите често използват сертификатите като начин за идентифициране на хора със специфични познания. Проучване за 2016 в LinkedIn (TOP 10 Cyber Security Certifications for 2016) потвърждава, че сертифицирането е не само популярно но и полезно както за начинаещи, така и за специалисти с натрупан известен опит (таблица 1). Засега само може да се надяваме подобен вид проучвания да започнат да се случват и у нас.

Експертни пътеки и сертификация

От началното до експертното ниво в една професия, сертифицираща организация прави възможно градиращото подреждане на професионалните сертификати, независимо от това дали те се предоставят за комерсиално зависим продукт – например Microsoft или CISCO, или от продуктово неутрална организация като ISACA или ECCouncil.

Профилирането на професионалния сертификационен път може да се направи и спрямо отделните функции при оперирането на системата за информационна сигурност, което дава повече смисъл и прави ползата от сертифицирането по-прагматична.

Профилирането, обвързано с конкретен продукт или група продукти в съответната технологична област може да изглежда по начин, отразен в таблица 2, отразяваща текущите сертификационни схеми на доставчици на технологии.

При продуктово неутралните професионални сертификати по естествени причини съществува по-голямо разнообразие, което позволява не само повече гъвкавост, но и по-силна специализация в области на информационната сигурност, които не са чисто технологични. Профилирането на сертификационните пътища в този случай е отразено в таблица 3.


Професионални пътеки за сертифициране на експерта по киберсигурност

© CIO Media, Cio.bg

В заключение

Разбира се едно по-сериозно търсене в Интернет може да предостави информация за двойно повече от изброените сертификати, но не това в случая е важното. Все по-масовите пробиви в информационната сигурност (като примерно този на платформата Sony Playstation или сайтът за запознанства Ashley Madison) подчертават спешната необходимостта от квалифицирани специалисти в областта.

Регулярно извършваните изследвания по отношение на заплащането потвърждават, че притежаващите сертификати по информационна сигурност ИТ специалисти могат да очакват възнаграждение далече над средното за индустрията. Компаниите и в момента се състезават при наемането на сертифицирани специалисти, в стремежа си да привлекат най-качествените от тях. Правилният избор и своевременната ориентация при необходимост от промяна са фактори, които могат да повлияят върху това дали нечия професионалната реализация ще се придвижи възходящо или не.


X