Güvenlik, BT'nin hemen her alanında önemli bir sorundur. İster bir ağ yöneticisi, geliştirici veya CIO olun, günün bir kısmı şüphesiz dışarıdaki tehditler, kötü amaçlı yazılımlar ve ağınızdaki olası güvenlik açıkları hakkında endişe duymaktadır. Ancak güvenlik eğitiminizi bir üst düzeye taşımayı düşündünüz mü? Güvenlik sertifikaları ve BT profesyonellerinin daha sıkı bir gemi işletmesine nasıl yardımcı olabilecekleri hakkında daha fazla bilgi edinmek için CompTIA ürün yönetimi direktörü Carol Balkcom ile görüştük.
Techopedia: Birçok kişi A + sertifikası için CompTIA'yı biliyor. Bize diğer güvenlik tekliflerinizden bahsedin.
Carol Balkcom: CompTIA Security + tamamen güvenliğe yönelik ilk sınavımızdır ve ilk olarak 2002 yılında başlatılmıştır. Tüm sınavlarımız "satıcı tarafsızdır", yani herhangi bir satıcının ürününe bağlı olmadığı anlamına gelir - ve Güvenlik + bir istisna değildir .
CompTIA A + ve Network + 'da güvenlik bileşenleri de vardır, çünkü elbette bugünün destek teknisyenleri ve ağ yöneticileri de güvenlik konusunda bilgili olmalıdır. Bir yana, bu sınavların üçü de (A +, Network +, Security +) bilgi güvenliği personeli için sertifika gerektiren ABD Savunma Bakanlığı 8570 Direktifinde bulunmaktadır. Sonuç olarak, son yıllarda çok sayıda profesyonel bu sertifikaları almıştır.
Güvenlik tekliflerimize geri dönmek için, bu yılın başlarında CompTIA'nın "Ustalık" dizi sınavları olan CompTIA Gelişmiş Güvenlik Uygulayıcımız (CASP) ilkini resmen başlattık.
Techopedia: Bize Security + hakkında daha fazla bilgi verin. Hangi ana konu alanları ele alınmaktadır ve birincil kitle kimdir?
Carol Balkcom: Security + için birincil kitle, iki veya daha fazla yıllık teknik bilgi güvenliği deneyimine sahip BT uzmanlarıdır. ABD Deniz Kuvvetleri'nden General Mills'e, Philadelphia Başpiskoposuna kadar her tür kuruluşta Security + sertifikalı profesyoneller bulunmaktadır.
Security + 'nin konu alanlarına gelince, geniş bilgi "etki alanları" ağ güvenliği, uyumluluk ve operasyonel güvenlik, tehditler ve güvenlik açıkları, uygulama, veri ve ana bilgisayar güvenliği, erişim kontrolü ve kimlik yönetimi ve kriptografidir.
Techopedia: Peki ya CASP? Bize atama hakkında daha fazla bilgi verebilir misiniz?
Carol Balkcom: CompTIA Gelişmiş Güvenlik Uygulayıcısı (CASP) için BT'de en az 10 yıl ve beş yıllık uygulamalı teknik güvenlik deneyimi öneriyoruz. Büyük, çok konumlu bir kuruluşta çalışan güvenlik mimarı için tasarlanmıştır. CASP ayrıca örnek olarak bir şirketin başka bir şirket tarafından devralınması gibi iş kararlarının güvenlikle ilgili etkilerine de bakar.
Techopedia: CASP'ı geliştirmenin mantığı neydi?
Carol Balkcom: CASP fikri, birkaç yıl önce ABD Savunma Bakanlığı ile yapılan tartışmalarla ortaya çıktı. Bize, 8570 sayılı Direktifte "IA Teknik Seviye III" iş rolü için daha teknik bir sınav istedikleri söylendi. Yönerge, bilgi güvencesi faaliyetlerinde bulunan tüm personelin belgelendirilmesini zorunlu kılıyor. Teknik seviye III temelde teşebbüsü (ordunun "yerleşim" olarak adlandırdığı çok konumlu bir ağ ortamı) belirleyen ve denetleyen kişidir. Bu kişinin derin teknik güvenlik becerilerine sahip olması gerekmektedir.
Ancak CompTIA herhangi bir sertifika geliştirmeden önce, daha geniş sektörde ihtiyaç duyulduğunun endüstri tarafından onaylanmasını arıyoruz. Yıllık güvenlik araştırmalarımızdan birinde, teknik olarak gelişmiş bir güvenlik sertifikasına ihtiyaç duyulup duyulmadığını sorduk. Anket cevapları gelişmeye devam etmemiz gerektiğini doğruladı.
Techopedia: Rakiplerinizi vurgulamak için değil, birçok profesyonel CISSP'ye aşinadır. CASP'nin bu sertifikasyondan farkı nedir?
Carol Balkcom: CASP geliştirmeye dahil olan ve aynı zamanda CISSP'ler olan birkaç konu uzmanı vardı. Amaç CISSP ile rekabet etmek için bir sınav geliştirmek değil, teknik olarak gelişmiş bir sertifika sağlamaktı. CISSP uzun zamandır politika yapan ve güvenlik yönetimine dahil olan güvenlik uzmanları için altın standart olmuştur. CASP, örnek olarak, bir kişinin, bilgi türlerini kuruluşa veya sektöre dayalı CIA (gizlilik, bütünlük ve kullanılabilirlik) düzeylerinde sınıflandırması ve hakkın uygulanması da dahil olmak üzere risk azaltma stratejilerini uygulama ve uygulama yeteneğini ölçmeyi amaçlamaktadır. tür güvenlik kontrolleri.
Bu noktada CISSP ve CASP arasındaki bir diğer önemli fark, CASP'nin sınav katılımcısının yapmasını gerektiren bir yazılım platformu kullanarak belirli bir senaryo ile ilgili bir görev gerçekleştirerek cevaplanması gereken performansa dayalı bazı sorular içermesidir. özel seçimler. Odak noktası, işin teknik bilgisi ve nasıl yapılacağıdır.
Techopedia: CompTIA gibi bir organizasyonda iş piyasasında trendlerin ve BT'de sıcak olan şeylerin başında olmalısınız. Son yıllarda bu alanda daha fazla talep gördünüz mü?
Carol Balkcom: Bu kimseyi şaşırtmayacak, ama cevap evet. Kısmen ABD hükümeti ve (birçokları olan) devlet yüklenicilerinin iş alabilmek için sertifikalandırılması gereği nedeniyle BT sertifikası yükselişte. İşe alım ve çalışan teşvik programlarında kurumsal sertifikasyon kullanımı güçlü olmaya devam etmektedir. Son olarak, hükümetler büyüyen BT becerileri ihtiyaçlarını karşılamak için eğitim ve sertifikasyon için finansman sağladığı için Malezya, Orta Doğu, Avrupa ve Afrika gibi gelişmekte olan bölgelerde büyümeyi görüyoruz.
Techopedia: Eski soru, bir sertifikanın deneyime karşı değeridir. Nerede tartıyorsunuz?
Carol Balkcom: Sertifikasyon, bir performans göstergesidir, gerçekleştirme yeteneğinin kanıtı değildir. (Bununla birlikte, daha önce bahsettiğim yeni performansa dayalı sorular, gerçek beceriyi ölçme yönünde kesin bir adımdır.) Sertifikasyon, birisinin zaman ayırdığını ve bir sınava girmek ve geçmek için neyin gerekli olduğunu öğrenmek için çaba harcadığının bir göstergesidir. . Ancak kesinlikle uygulamalı deneyim - deneyim sadece kurslar sırasında laboratuvarlarda olsa bile - her zaman yalnızca sertifikaya göre tercih edilir.
BT sertifikası hakkında bilgi almak ister misiniz? Techopedia'nın BT Kariyerleri bölümüne bakın.
Doğrudan CompTIA'dan daha fazla bilgi için, Security + ve CASP resmi sayfasına bakın.