Istnieją dwie grupy certyfikacji: producencka i neutralna, czyli niedotycząca żadnego konkretnego produktu. Do pierwszej możemy zaliczyć wszystkie tytuły, które są przyznawane przez producentów sprzętu lub oprogramowania. Uzyskanie niektórych z nich to jedynie kwestia znajomości konkretnego rozwiązania, inne natomiast wymagają znacznie szerszej wiedzy (np. Cisco CCIE).

Polecamy: Czy certyfikat się opłaca?

Drugą grupę stanowią certyfikaty wydawane przez mniej lub bardziej renomowane firmy szkoleniowe bądź przez niezależne organizacje badawczo-edukacyjne. Szkolenia oferowane przez ośrodki szkoleniowe mają wiele zalet - np. możliwość dostosowania programu do oczekiwań uczestników. Tutaj poziom wiedzy osób kończących szkolenie i uzyskujących certyfikat może być diametralnie różny, wszystko bowiem zależy od motywacji uczestnika. Ponadto - głównie ze względu na czysto komercyjną postać swojej działalności - centra szkoleniowe przeprowadzają nie zawsze rzetelne egzaminy, zwłaszcza te egzekwujące wiedzę zdobytą podczas szkoleń autorskich. W drugiej grupie znajdują się też szkolenia (i kończące je egzaminy) oferowane przez organizacje badawczo-edukacyjne, np. SANS Institute (SysAdmin, Audit, Network, Security) czy ISC2.

Bez względu na to, skąd pochodzi certyfikat zawsze pojawia się podstawowe pytanie: na ile za jego posiadaczem stoją konkretne umiejętności i wiedza? Nie ma się co oszukiwać, do zdania większości egzaminów producenckich wystarczy rozwiązanie testów oferowanych przez firmy, takie jak Test King (http://www.testking.com ) czy Boson (http://www.boson.com ). W dużej mierze zawarte tam pytania będą się pokrywać z egzaminacyjnymi. Można także odwiedzić serwisy opisujące poszczególne egzaminy, np.http://www.sadikhov.com , gdzie osoby zdające dzielą się swoimi spostrzeżeniami i uwagami. Nie należy zatem bać się stwierdzenia, że certyfikaty takie nie mają większego praktycznego znaczenia, ...no może poza podbudowaniem własnego ego. Zauważają to również pracodawcy, którzy z coraz większym pobłażaniem patrzą na umieszczaną w CV wciąż wydłużającą się listę wymienianych tytułów.

Na szczęście nie jest aż tak źle, jak na pierwszy rzut oka może się wydawać. Są jeszcze egzaminy, których zdanie wymaga jednak wiedzy i umiejętności. Jednym z nich jest owiany już niemalże legendą tytuł CISSP (Certified Information Systems Security Professional). Obecnie znajduje się w puli tych certyfikatów, których posiadanie jest jednym z najbardziej priorytetowych celów "bezpieczniaka". Dlatego też właśnie CISSP poświęcimy więcej uwagi - począwszy od części praktycznej, opartej na własnych doświadczeniach autora, po ogólne wnioski z tzw. rynku pracy.

CISSP to egzamin stworzony i oferowany przez wymienioną wcześniej organizację ISC2 (International Information Systems Security Certification Consortium). W roku 2004 ścieżka certyfikacji CISSP jako pierwsza spełniła rygorystyczne wymagania ISO 17024:2003. Tytuł CISSP darzy się sporym szacunkiem, a to nie bez powodu. Przede wszystkim ze względu na ogromną wiedzę, jaką należy przyswoić. Ponadto, by przystąpić do tego egzaminu, potrzebne jest spore doświadczenie zawodowe. No i wreszcie sama formuła egzaminu (6 godzin pisania!) powoduje, że jego zdanie jest dużym wyzwaniem.

Nie dla każdego

Przed przystąpieniem do egzaminu musimy upewnić się, czy spełniamy kryteria, które upoważniają do podjęcia próby. Od kandydata wymagane jest doświadczenie w zakresie co najmniej dwóch spośród 10 obszarów związanych z bezpieczeństwem i wymienionych przez ISC2 (omówione w dalszej części). Doświadczenie określane jest liczbą lat spędzonych przy realizacji rozmaitych projektów dotyczących bezpieczeństwa. W najgorszym wypadku jest to 5 lat. Można ten czas skrócić o rok, jeżeli mamy odpowiednie wykształcenie lub certyfikaty (por. zestawienie w ramce). Zazwyczaj osoba od lat zajmująca się bezpieczeństwem systemów ma co najmniej jeden z nich.

CISSP jako projekt

Do CISSP trzeba podejść jak do projektu. Najpierw decyzja, że będziemy zdawać. Następnie należy zapisać się na egzamin - wtedy nie ma odwrotu. Rejestracji dokonujemy online. Musimy wskazać lokalizację, w której będziemy zdawać - można wybrać Londyn, można także zdawać w Polsce. Miejsce nie ma znaczenia, gdyż egzamin zawsze zdajemy po angielsku. W Polsce egzamin zazwyczaj odbywa się dwa razy do roku - wiosną (maj) i jesienią (październik). Trzeba też uiścić opłatę (ok. 600 USD), a do formularza rejestracyjnego dołączyć zawodowe CV w języku angielskim. Potem już tylko odliczanie... Z ISC2 regularnie będziemy otrzymywali przypomnienia o zbliżającym się terminie egzaminu.

Jeśli chodzi o trudności w przygotowaniach i zdawanie egzaminu, to można je podzielić na dwie grupy: techniczną i logistyczną. Jedną z pierwszych przeszkód technicznych jest język. W błędzie jest jednak ten, kto myśli, że przecież na co dzień w informatyce używa się angielskiego i język nie sprawi nam kłopotu. Pytania potrafią być tak sformułowane, że to nie udzielanie odpowiedzi sprawia problem, ale zrozumienie samej treści - rozbudowane szyki zdania, wielokrotnie złożone, niekiedy wyszukane słownictwo. To wszystko sprawia, że dla obcokrajowca słownik języka angielskiego na biurku jest koniecznością. Ponadto na egzamin można zabrać napój, coś do jedzenia (bez ściągawek w środku) i ołówek.

W związku z tym, że dziedzin do opanowania jest aż 10, nie ma szans, żeby bez solidnej nauki opanować wszystkie. Jeżeli mamy szczęście, to cztery, może pięć obszarów będzie nam mniej więcej znanych - i pewnie będą to te bardziej techniczne. Natomiast reszta może okazać się abstrakcją. Owe 10 obszarów to tzw. CBK (Common Body of Knowledge). Parę słów na temat każdego z nich zamieszczono w ramce - szczegółowych informacji dostarcza ISC2.