טוב , אולי זה יסביר לחלק מהקוראים מדוע לא היה לי זמן לכתוב לאחרונה.
בתקופה האחרונה למדתי והכנתי את עצמי לבחינת הCISSP מאת ISC2 האמריקאית.
למי שלא מכיר , מדובר בסטנדרט גבוה דה-פקטו לאבטחת מידע. הסטנדרט מבוסס
על מומחיות ב10 דומיינים של אבטחת מידע
- Information Security Managment
- Access Control Systems And Methodology
- Cryptography
- Physical Security
- Enterprise Security Architecture
- Application Security
- Telecommunications , Network And Internet Security
- Law Investigations And Ethics
- Business Continuity Planning
- Operations Security
ובכן , אני לא יכול להגיד שהסמכה אכן מוכיחה ידע טכני ותיאורטי מאוד מעמיק, שכן הידע הנדרש , נרחב ככל שיהיה - אינו עוסק בהכרח בבעיות שאנו, אנשי אבטחת המידע מתמודדים איתו יום יום , אלא יותר מתכוון להעמיד את האנשים אשר מוסמכים בסופו של דבר , בנקודת מוצא שבה הם מכירים לעומק את עולם אבטחת המידע על כל פניו. ישנו עיסוק בנושאים שבארץ אפילו די זרים לרובנו , כגון חוקי אבטחת המידע האמריקניים ( כן כן , צריך לשנן אותם ). עומק הידע והיקפו הוא נרחב ביותר וכולל נושאים רבים שאינם נחלת הידע הכללי. אך בחלק גדול מהמקרים , העומק של הידע נוצר על ידי אותו אדם המעוניין להעמיק את הידע שלו. כמובן שככל שאתה יודע יותר , לומד מיותר מקורות , ובעל ניסיון עשיר ומעמיק יותר - סיכוייך לעבור גדלים.
אחד הדברים שאהבתי לגבי הקונספט של הCISSP הוא שלא מספיק שעברת את הבחינה ( שאגב מדובר באחת הבחינות הקשות שעשיתי בתחום עד היום ). יש עוד מספר אלמנטים שבלעדיהם לא ניתן לקיים את הססמכה. למשל :
1. בכדי לגשת לבחינת הCISSP על המועמד להיות בעל 4 שנות ניסיון באחד או יותר מהדומיינים שציינתי למעלה . ( אחרי הבחינה שולחים קורות חיים לISC2 וכן , הם בודקים )
2. יש לעמוד בבחינה בת 6 שעות המורכבת מ250 שאלות מורכבות מכל הנושאים. דבר שקשה לי לתאר את רמת הקושי שלו , זהו זמן ארוך ביותר שנתקלים בו רק בבחינות הCCIE למיניהן.
3. צריך שאדם שעבר CISSP או הסמכה גבוהה אחרת , יכתוב מכתב שבו הוא מציין שהוא מכיר בך ובקורות החיים שלך , וכדומה.
החלק החשוב בעיני הוא שלא מספיק לעבור את המבחן... בכל שנה יש לצבור נקודות. נסביר -
יש רף מסויים של נקודות שצריך לצבור בכל שנה על מנת לשמור על הסמכת הCISSP שלך.
את הנקודות מקבלים על ידי השתתפות בימי עיון , העברת מצגות , העברת קורסים , כתיבת חומרים טכניים ובכללי - תמיכה ופיתוח עולם אבטחת המידע.
זה נותן PUSH עצום לתחום ולא מאפשר לאדם שאת הידע שלו באבטחת מידע , רכש לפני 5 שנים ... להיות מוסמך כיום ללא השלמת פערים.
בכל מקרה יש הרבה דעות על הסמכה זו . CISSP ותיק שאני מכיר תיאר את התעודה כ "תואר שני באבטחת מידע" אבל דעותינו חלוקות בנושא. בכל מקרה , בארצות הברית מדובר כבר על דרישת סטנדרט. בעוד תקופה מסויימת , יהיו משרות ממשלתיות בא.מידע שלא ניתן לגשת אליהן ללא הצגת תעודה זו בתוקף.
בכל מקרה , אני כבר אחרי המבחן. קיבלתי כבר תשובה חיובית. ואני ממליץ לכל מי שהגיע לתקופת הניסיון הנדרשת - לנסות ולהצליח ולקבל את ההסמכה הזו , שכן התרומה לקהילת אבטחת המידע היא חשובה מאין כמוה.
Labels: certification, changes