Ang seguridad ay isang pangunahing pag-aalala sa halos lahat ng lugar ng IT. Kung ikaw ay isang network admin, developer o CIO, bahagi ng iyong araw ay walang alinlangan na nag-aalala tungkol sa mga pananakot sa labas, malware at mga posibleng kahinaan sa iyong network. Ngunit naisip mo ba ang tungkol sa pagkuha ng iyong pagsasanay sa seguridad sa susunod na antas? Nakapanayam namin si Carol Balkcom, direktor ng pamamahala ng produkto sa CompTIA, upang malaman ang higit pa tungkol sa kanilang mga sertipikasyon sa seguridad at kung paano nila matutulungan ang mga pros pros sa IT na magpatakbo ng isang tighter ship.
Techopedia: Maraming nakakaalam sa CompTIA para sa A + sertipikasyon nito. Sabihin sa amin ang tungkol sa iyong iba pang mga handog sa seguridad.
Carol Balkcom: Ang CompTIA Security + ay ang aming unang pagsusulit na nakatuon sa buong seguridad, at ito ay orihinal na inilunsad noong 2002. Lahat ng aming mga pagsusulit ay "nagbebenta ng neutral", nangangahulugan na hindi sila nakatali sa anumang mga produkto ng isang nagbebenta - at ang Security + ay walang pagbubukod .
Ang CompTIA A + at Network + ay mayroon ding mga sangkap sa seguridad sa kanila, dahil siyempre ngayon ang mga technician ng suporta at mga administrador ng network ay dapat ding maging kaalaman tungkol sa seguridad. Bilang isang tabi, ang lahat ng tatlong mga pagsusulit na ito (A +, Network +, Security +) ay nasa US Department of Defense Directive 8570 na nangangailangan ng sertipikasyon para sa mga tauhan ng kasiguruhan sa impormasyon. Bilang isang resulta, isang malaking bilang ng mga propesyonal ang kumuha ng mga sertipikasyong ito sa nakaraang ilang taon.
Upang makabalik sa aming mga handog sa seguridad, mas maaga sa taong ito pormal naming inilunsad ang una sa serye ng mga pagsusulit ng "Mastery" ng CompTIA, ang aming CompTIA Advanced Security Practitioner (CASP).
Techopedia: Sabihin sa amin ang higit pa tungkol sa Security +. Anong mga pangunahing lugar ng paksa ang sakop at sino ang pangunahing tagapakinig?
Carol Balkcom: Ang pangunahing tagapakinig para sa Security + ay mga propesyonal sa IT na may dalawa o higit pang mga taon ng hands-on, karanasan sa seguridad ng teknikal na impormasyon. Mayroong mga propesyonal na sertipikadong Security + sa lahat ng mga uri ng mga samahan, mula sa US Navy hanggang sa General Mills hanggang sa Archdiocese ng Philadelphia.
Kung tungkol sa mga sakop na paksa sa Security +, ang malawak na kaalaman na "mga domain" ay seguridad sa network, pagsunod sa seguridad ng pagpapatakbo, pagbabanta at kahinaan, aplikasyon, data at seguridad ng host, pag-access control at pamamahala ng pagkakakilanlan, at kriptograpiya.
Techopedia: Kumusta naman ang CASP? Maaari mo bang sabihin sa amin ang higit pa tungkol sa pagtatalaga?
Carol Balkcom: Para sa CompTIA Advanced Security Practitioner (CASP), inirerekumenda namin ng hindi bababa sa 10 taon sa IT at limang taon ng karanasan sa teknikal na seguridad. Ito ay inilaan para sa arkitektura ng seguridad na nagtatrabaho sa isang malaking, samahan ng maraming lokasyon. Tinitingnan din ng CASP ang mga implikasyon ng seguridad ng mga desisyon sa negosyo, tulad ng pagkuha ng isang kumpanya ng isa pa, bilang isang halimbawa.
Techopedia: Ano ang katwiran para sa pagbuo ng CASP?
Carol Balkcom: Ang ideya para sa CASP ay nagmula sa mga talakayan sa US Department of Defense ilang taon na ang nakalilipas. Sinabihan kami na nais nila ng isang mas teknikal na pagsusulit para sa papel na ginagampanan ng trabaho na "IA Technical Level III" sa Directive 8570. Ang sertipikasyon ng direktiba ng direktoryo ng lahat ng mga tauhan ay nakikibahagi sa mga aktibidad ng katiyakan ng impormasyon. Ang antas ng tech III ay karaniwang ang tao na tumutukoy at nangangasiwa sa negosyo (isang multi-lokasyon na network network, na tinawag ng militar na "enclave") seguridad. Ang taong ito ay kinakailangan na magkaroon ng malalim na mga kasanayan sa teknikal na seguridad.
Ngunit bago nabuo ng CompTIA ang anumang sertipikasyon, hinahanap namin ang pagpapatunay ng industriya ng pangangailangan para dito sa mas malawak na industriya. Kaya sa isa sa aming taunang survey ng seguridad, tinanong namin ang tungkol sa kung mayroong isang pangangailangan sa industriya para sa isang advanced na sertipikasyon ng seguridad na teknikal sa kalikasan. Kinumpirma ng mga tugon ng survey na dapat nating magpatuloy sa pag-unlad.
Techopedia: Hindi upang i-highlight ang iyong kumpetisyon, ngunit maraming mga propesyonal ang pamilyar sa CISSP. Paano naiiba ang CASP sa sertipikasyon na iyon?
Carol Balkcom: Maraming mga paksa ng paksa na kasangkot sa pag-unlad ng CASP na mga CISSP din. Ang layunin ay hindi upang makabuo ng isang pagsusulit upang makipagkumpetensya sa CISSP, ngunit upang magbigay ng isang advanced na sertipikasyon na teknikal sa likas na katangian. Ang CISSP ay matagal nang naging pamantayang ginto para sa mga propesyonal sa seguridad na gumawa ng patakaran at kasangkot sa pamamahala ng seguridad. Ang CASP ay inilaan upang, bilang isang halimbawa, sukatin ang kakayahan ng isang tao na isakatuparan at ipatupad ang mga diskarte sa pagpapagaan ng panganib, kabilang ang pag-uuri ng mga uri ng impormasyon sa mga antas ng CIA (kumpidensyalidad, integridad at kakayahang magamit) batay sa samahan o industriya, at pagpapatupad ng tama uri ng mga kontrol sa seguridad.
Ang isa pang makabuluhang pagkakaiba sa pagitan ng CISSP at ng CASP sa puntong ito sa oras ay ang CASP ay naglalaman ng ilang mga katanungan na nakabatay sa pagganap na dapat masagot sa pamamagitan ng pagsasagawa ng isang gawain na may kaugnayan sa isang naibigay na senaryo gamit ang isang platform ng software na nangangailangan ng tagagawa ng pagsusulit tiyak na mga pagpipilian. Ang pokus ay sa kaalaman sa teknikal ng trabaho at kung paano maisakatuparan ito.
Techopedia: Sa isang samahang tulad ng CompTIA dapat kang nasa tuktok ng mga uso sa job market at kung ano ang mainit sa IT. Nakakita ka na ba ng higit na pangangailangan sa lugar na ito sa mga nakaraang taon?
Carol Balkcom: Hindi ito sorpresa sa sinuman, ngunit ang sagot ay oo. Bahagyang hinihimok ng gobyernong US at ng pangangailangan para sa mga kontratista ng gobyerno (kung saan maraming) upang mapatunayan upang makakuha ng trabaho, ang sertipikasyon ng IT ay tumaas. Ang paggamit ng korporasyon ng sertipikasyon sa pag-upa at mga programa ng insentibo ng empleyado ay nananatiling matatag. Sa wakas, nakikita natin ang paglaki sa pagbuo ng mga rehiyon tulad ng Malaysia, Gitnang Silangan, Europa at Africa bilang nagbibigay ng pondo para sa pagsasanay at sertipikasyon upang matugunan ang lumalagong mga kasanayan sa IT.
Techopedia: Ang tanong na nasa edad ay ang halaga ng isang karanasan sa sertipikasyon kumpara sa karanasan. Saan mo timbangin?
Carol Balkcom: Ang sertipikasyon ay isang tagapagpahiwatig, hindi patunay ng kakayahang maisagawa. (Bagaman, ang mga bagong katanungan na nakabatay sa pagganap na binanggit ko kanina ay isang tiyak na hakbang sa direksyon ng pagsukat ng aktwal na kasanayan.) Ang sertipikasyon ay isang tagapagpahiwatig na ang isang tao ay naglaan ng oras at nagsikap na malaman kung ano ang kinakailangan upang kumuha at makapasa ng isang pagsusulit . Ngunit tiyak na karanasan sa hands-on - kahit na ang karanasan ay nasa mga lab lamang sa panahon ng mga kurso - ay palaging ginustong higit sa sertipikasyon lamang.
Nais mo tungkol sa sertipikasyon ng IT? Tingnan ang seksyon ng IT Career ng Techopedia.
Para sa karagdagang impormasyon na direkta mula sa CompTIA, tingnan ang opisyal na pahina para sa Security + at CASP.