在信息安全的世界,谈及IT安全职业认证的价值,没有其它话题能比它引发人们更多两级分化的观点,特别是它们对于构建安全从业人员的职业之路的作用。
对于厂商中立的组织以及安全厂商来说、认证培训已经成为一种盈利的业务,认证的话题已经变得更具争议性。在信息安全队伍中包括超过8万名的CISSP和6万名CISA,人们进行职业认证的狂热脚步没有显示出任何放慢节奏的迹象。
在那些努力攀爬公司职位阶梯的人当中,一个广为接受的观点是职业认证会对他们的信息安全生涯有着积极的影响。现在这个看法正在经受职业认证试图打动对象的审查,包括招聘主管和运作安全组织的高管。
与许多招聘人员的建议相反,仅是“配备”安全认证,就打算从人群中脱颖而出可能会被招聘主管们看作是负面的行为。位于密歇根迪尔伯恩的福特汽车公司的IT安全经理Bill Traster认为,对于安全从业人员来说在选择安全认证时展现出他们的克制性和选择性更为重要。因为回报是会递减的,并且相当数量的课程内容是重叠的。为了阐明这点,尽管CISSP和CISA认证基本上涵盖了同样的内容,CISSP认证是用于安全实践者,然而CISA认证是设计用于审计人员。
随着现在有更多范围的安全认证可供人们选择,鉴别哪些认证与某个人特定的信息安全职业路线最为相关是十分重要的。选择这些认证是要合乎逻辑的,并且能显示出你在安全职业生涯上的某种方向感,Sapient咨询公司的CISO Curt Dalton谈到。这个评论得到Thomas Murphy的认可,他是康涅狄格大学的信息安全主管。他对于那种充满跨越不同领域认证的简历持谨慎态度,他认为这显示出求职者的不专注,而且展示出他令人困惑的职业路线。
通常人们看到,求职者在简历上罗列出他们曾经获得的每一个安全认证,而不是突出他们工作取得的成就和相关的经验。位于伯灵顿马萨诸塞州的技术提供商、 Nuance通信公司的CISO Stan Black认为当在寻找最佳的IT安全求职者时,人们期望优秀的安全职业人员拥有一些认证。但是真正杰出的安全人员是多层次的,拥有涵盖IT以及实际操作相当多的经验。并且在其它IT学科开始其职业生涯后,他们通常投身于安全及合规遵从中去。
位于底特律的云服务厂商Covisint的CISO Dave Miller认为,随着恶意的黑客与负责保护企业系统及数据的从业人员之间不断上升的军备竞赛,技术变化非常快,以至于实际的经验和技术专长远远胜过任何认证。他谈到云服务是该公司业务的基石,要求安全从业人员具有很强技术性的安全手段,这是无法从教室或书本上学到的。
职业认证能够展现出某人一直致力于他/她的安全生涯,这一想法在IT安全从业人员的脑子中根深蒂固。最终,人们招募人员在某种程度上是根据求职者持有的认证进行初步地筛选。北卡罗来纳州的卫生和公众服务部的信息安全架构师Jim Murphy认为,通过搜索职业认证来发掘候选人的做法是危险的。因为招聘人员没有意识到可供选择的各种认证之间的差异,他们可能因此忽略掉可行的求职者。
位于洛杉矶的Stephen S. Wise学校的CISO David Lam感觉在工作经验和职业认证之间必须达成一种平衡。安全从业人员也必须考虑哪些认证会对他们的职业轨迹产生最为重要的影响,Traster谈到。“当考虑到应该追求哪些安全认证时,你需要考虑到某个认证比起其它认证更具价值,例如行业的认可、一致性、再认证要求,它们与实际工作技能的关联性以及市场上的需求”。
乔治亚州立大学的CISO Tammy Clark认为,在他们的岗位上较长时间的求职者需要想办法扩展他们的知识和经验,而安全认证是达到这个目的一种不错途径。“对于潜在的雇主来说用认证和培训来充实你的工作经验是极具价值的”,Clark说道。“只要它们给工作来显著价值,它们就表明你的技能在不断进步。”
但一个与认证相关的话题,并且信息安全社区完全同意的看法:CISSP认证在安全认证类里面保持着黄金级别的水准。位于艾文市的Magellan健康服务公司的CISO Jerry Garland寻找拥有广泛安全知识的求职者,他认为CISSP认证考试是测试是否拥有这些知识的最佳选择。Jim Murphy同意,补充到“CISSP认证是行业里最为全面、深入和广泛认可的认证,但是对于到风险管理和合规遵从,ISACA(信息系统审计和控制协会)的CISA和CISM认证也是合适的选择”。
通常来说,厂商赞助的认证确实有一些重量,但是它依赖于工作职位。因为这些认证趋向于具体的产品。Jim Murphy认为厂商的认证增强个人技能,但是没有增加个人整体的信息安全熟练度。然而Jim Murphy坚定地认为那些负责网络安全和架构的人员应该拥有除了CISSP以外的厂商认证。Lam谨慎地表示:“某些厂商创建的认证考试很容易通过,没有太大的意义。而其它的认证显示出的某种专长在你寻找工作时可能派上用场”。Miller解释到他更愿意派他的职员去参加像Black Hat大会那样提供当前技术趋势实际培训的行业性会议。尽管他确实认可获得特定产品认证的价值,但前提是该产品使用的是业内占主导地位的技术,如思科公司。
任何工作在有严格合规要求的行业,如金融服务业的人知道可能有数百种认证可以选择,这更加凸显了选择的重要性。Clark建议那些在政府机构领域寻找职位的人需要关注安全认证规划。她注意到很多在高校的同事近年来已经获得CISSP认证。给公共健康部门以及欧洲客户提供云服务,使得Miller要配备分析师来加强安全团队,它们需要擅长在HIPAA合规遵从、以及EU数据保护法案。随着合规遵从框架的问题得到解决,行业各部分有望更加专业。
在信息安全领导们中逐渐达成的一致看法是需要增加非传统的认证来补充他们的技能。Thomas Murphy和Clark都认为项目管理学会的PMP认证有价值,那些持有该认证的人的技能可以帮助内部的安全项目更加有效地运作。耶鲁纽海文卫生系统的CISO Steve Bartolotta建议医疗行业的管理者用FACHE认证来充实管理经验,然而Garland支持更多的主管在像CPP这样的员工发展项目上获得认证,这些组织开创了Myers-Briggs评估方法。
我们处在一个由简历占统治地位的世界中, LinkedIn网站的个人简介已经为搜索引擎进行过优化。多面手的招聘人员既没有时间,也没有专业知识来筛选简历寻找相关的工作经验。相反他们搜索关键字和词组,所以通过认证是一个简单的预选资格。然而实际上这是不公平的,并且最终对这个行业是有消极影响的。招聘主管们想看到拥有最相关工作经验的求职者,而不是那些根据认证列表选择出的人。但是招聘人员不会改变他们筛选候选人的方法。因此,通过认证可能会继续在IT安全文化中根深蒂固下去。
随着时间的推移,我们有望看到更多专业的招聘人员涌现出来。他们只关注信息安全市场,并且与潜在的候选人有长期关系。这对于行业来说会是积极的发展,因为这是一种将技能和经验与职位需要匹配的更佳方法,让招聘主管们专注于他们的日常工作中。
