CISSP - jak zdobyć najbardziej pożądany certyfikat bezpieczeństwa
- Patryk Królikowski,
- 19.01.2009
Wybierając ścieżkę zawodową szefa ds. bezpieczeństwa (CSO - Chief Security Officer) lub osoby związanej z bezpieczeństwem informatycznym, zaczynamy od różnorodnych szkoleń oraz zdobywania i kolekcjonowania najrozmaitszych certyfikatów i świadectw. Początkowo każdą pojawiającą się na horyzoncie certyfikację traktujemy z wielkim entuzjazmem. Niestety, wraz z upływem czasu okazuje się, że: po pierwsze większość zdobytych tytułów możemy schować w szafie, bo nigdy do niczego nie były przydatne, a po drugie - ta ciągła konieczność ich odnawiania. Dlatego też coraz większą uwagę kierujemy w stronę takich szkoleń i certyfikacji, które oprócz niewątpliwej chwały dają konkretne korzyści.
Polecamy: Czy certyfikat się opłaca?
Drugą grupę stanowią certyfikaty wydawane przez mniej lub bardziej renomowane firmy szkoleniowe bądź przez niezależne organizacje badawczo-edukacyjne. Szkolenia oferowane przez ośrodki szkoleniowe mają wiele zalet - np. możliwość dostosowania programu do oczekiwań uczestników. Tutaj poziom wiedzy osób kończących szkolenie i uzyskujących certyfikat może być diametralnie różny, wszystko bowiem zależy od motywacji uczestnika. Ponadto - głównie ze względu na czysto komercyjną postać swojej działalności - centra szkoleniowe przeprowadzają nie zawsze rzetelne egzaminy, zwłaszcza te egzekwujące wiedzę zdobytą podczas szkoleń autorskich. W drugiej grupie znajdują się też szkolenia (i kończące je egzaminy) oferowane przez organizacje badawczo-edukacyjne, np. SANS Institute (SysAdmin, Audit, Network, Security) czy ISC2.
Bez względu na to, skąd pochodzi certyfikat zawsze pojawia się podstawowe pytanie: na ile za jego posiadaczem stoją konkretne umiejętności i wiedza? Nie ma się co oszukiwać, do zdania większości egzaminów producenckich wystarczy rozwiązanie testów oferowanych przez firmy, takie jak Test King (http://www.testking.com ) czy Boson (http://www.boson.com ). W dużej mierze zawarte tam pytania będą się pokrywać z egzaminacyjnymi. Można także odwiedzić serwisy opisujące poszczególne egzaminy, np.http://www.sadikhov.com , gdzie osoby zdające dzielą się swoimi spostrzeżeniami i uwagami. Nie należy zatem bać się stwierdzenia, że certyfikaty takie nie mają większego praktycznego znaczenia, ...no może poza podbudowaniem własnego ego. Zauważają to również pracodawcy, którzy z coraz większym pobłażaniem patrzą na umieszczaną w CV wciąż wydłużającą się listę wymienianych tytułów.
Na szczęście nie jest aż tak źle, jak na pierwszy rzut oka może się wydawać. Są jeszcze egzaminy, których zdanie wymaga jednak wiedzy i umiejętności. Jednym z nich jest owiany już niemalże legendą tytuł CISSP (Certified Information Systems Security Professional). Obecnie znajduje się w puli tych certyfikatów, których posiadanie jest jednym z najbardziej priorytetowych celów "bezpieczniaka". Dlatego też właśnie CISSP poświęcimy więcej uwagi - począwszy od części praktycznej, opartej na własnych doświadczeniach autora, po ogólne wnioski z tzw. rynku pracy.
CISSP to egzamin stworzony i oferowany przez wymienioną wcześniej organizację ISC2 (International Information Systems Security Certification Consortium). W roku 2004 ścieżka certyfikacji CISSP jako pierwsza spełniła rygorystyczne wymagania ISO 17024:2003. Tytuł CISSP darzy się sporym szacunkiem, a to nie bez powodu. Przede wszystkim ze względu na ogromną wiedzę, jaką należy przyswoić. Ponadto, by przystąpić do tego egzaminu, potrzebne jest spore doświadczenie zawodowe. No i wreszcie sama formuła egzaminu (6 godzin pisania!) powoduje, że jego zdanie jest dużym wyzwaniem.
Nie dla każdego
CBK (Common Body of Knowledge)
CISSP jako projekt
Do CISSP trzeba podejść jak do projektu. Najpierw decyzja, że będziemy zdawać. Następnie należy zapisać się na egzamin - wtedy nie ma odwrotu. Rejestracji dokonujemy online. Musimy wskazać lokalizację, w której będziemy zdawać - można wybrać Londyn, można także zdawać w Polsce. Miejsce nie ma znaczenia, gdyż egzamin zawsze zdajemy po angielsku. W Polsce egzamin zazwyczaj odbywa się dwa razy do roku - wiosną (maj) i jesienią (październik). Trzeba też uiścić opłatę (ok. 600 USD), a do formularza rejestracyjnego dołączyć zawodowe CV w języku angielskim. Potem już tylko odliczanie... Z ISC2 regularnie będziemy otrzymywali przypomnienia o zbliżającym się terminie egzaminu.
Jeśli chodzi o trudności w przygotowaniach i zdawanie egzaminu, to można je podzielić na dwie grupy: techniczną i logistyczną. Jedną z pierwszych przeszkód technicznych jest język. W błędzie jest jednak ten, kto myśli, że przecież na co dzień w informatyce używa się angielskiego i język nie sprawi nam kłopotu. Pytania potrafią być tak sformułowane, że to nie udzielanie odpowiedzi sprawia problem, ale zrozumienie samej treści - rozbudowane szyki zdania, wielokrotnie złożone, niekiedy wyszukane słownictwo. To wszystko sprawia, że dla obcokrajowca słownik języka angielskiego na biurku jest koniecznością. Ponadto na egzamin można zabrać napój, coś do jedzenia (bez ściągawek w środku) i ołówek.
W związku z tym, że dziedzin do opanowania jest aż 10, nie ma szans, żeby bez solidnej nauki opanować wszystkie. Jeżeli mamy szczęście, to cztery, może pięć obszarów będzie nam mniej więcej znanych - i pewnie będą to te bardziej techniczne. Natomiast reszta może okazać się abstrakcją. Owe 10 obszarów to tzw. CBK (Common Body of Knowledge). Parę słów na temat każdego z nich zamieszczono w ramce - szczegółowych informacji dostarcza ISC2.
- CERT Certified Computer Security Incident Handler (CSIH)
- Certified Business Continuity Planner (CBCP)
- Certified Computer Crime Investigator (Advanced) (CCCI)
- Certified Computer Crime Prosecutor
- Certified Computer Examiner (CCE)
- Certified Fraud Examiner (CFE)
- Certified Information Systems Auditor (CISA)
- Certified Information Security Manager (CISM)
- Certified Internal Auditor (CIA)
- Certified Protection Professional (CPP)
- Certified Wireless Security Professional (CWSP)
- CompTIA Security+
- Computer Forensic Computer Examiner (CFCE)
- GIAC Security Essentials Certification (GSEC)
- GIAC Certified Firewall Analyst (GCFW)
- GIAC Certified Intrusion Analyst (GCIA)
- GIAC Certified Incident Handler (GCIH)
- GIAC Certified Windows Security Administrator (GCWN)
- GIAC Certified UNIX Security Administrator (GCUX)
- GIAC Certified Forensic Analyst (GCFA)
- GIAC Information Security Officer (GISO)
- GIAC IT Security Audit Essentials (GSAE)
- GIAC Security Expert (GSE)
- GIAC Certified ISO-17799 Specialist (G7799)
- GIAC Security Leadership Certification (GSLC)
- GIAC Systems and Network Auditor (GSNA)
- GIAC Certified Security Consultant (GCSC)
- Information Security Management Systems Lead Auditor (IRCA)
- Information Security Management Systems Principal Auditor (IRCA)
- Microsoft Certified Systems Administrator (MCSA)
- Microsoft Certified Systems Engineer (MCSE)
- Master Business Continuity Planner (MBCP)
- Red Hat Certified Engineer (RHCE)
- Systems Security Certified Practitioner (SSCP)