Sicherheit ist in nahezu allen Bereichen der IT ein wichtiges Anliegen. Unabhängig davon, ob Sie ein Netzwerkadministrator, Entwickler oder CIO sind, ist ein Teil Ihres Tages zweifellos mit der Sorge um Bedrohungen von außen, Malware und möglichen Schwachstellen in Ihrem Netzwerk behaftet. Aber haben Sie darüber nachgedacht, Ihr Sicherheitstraining auf die nächste Stufe zu heben? Wir haben Carol Balkcom, Leiterin des Produktmanagements bei CompTIA, interviewt, um mehr über ihre Sicherheitszertifizierungen und darüber zu erfahren, wie sie IT-Profis dabei helfen können, ein engeres Schiff zu führen.
Techopedia: Viele kennen CompTIA für seine A + -Zertifizierung. Erzählen Sie uns von Ihren anderen Sicherheitsangeboten.
Carol Balkcom: CompTIA Security + ist unsere erste Prüfung, die sich ausschließlich der Sicherheit widmet. Sie wurde ursprünglich im Jahr 2002 gestartet. Alle unsere Prüfungen sind "herstellerneutral", was bedeutet, dass sie nicht an Produkte eines Herstellers gebunden sind - und Security + ist keine Ausnahme .
In CompTIA A + und Network + sind auch Sicherheitskomponenten enthalten, da die heutigen Supporttechniker und Netzwerkadministratoren natürlich auch über Sicherheitskenntnisse verfügen müssen. Alle drei Prüfungen (A +, Network +, Security +) entsprechen der Richtlinie 8570 des US-Verteidigungsministeriums, die eine Zertifizierung für Mitarbeiter der Informationssicherung erfordert. Infolgedessen hat eine große Anzahl von Fachleuten in den letzten Jahren diese Zertifizierungen erhalten.
Um zu unseren Sicherheitsangeboten zurückzukehren, haben wir Anfang dieses Jahres offiziell die erste CompTIA-Prüfungsserie "Mastery" gestartet, unseren CompTIA Advanced Security Practitioner (CASP).
Techopedia: Erzählen Sie uns mehr über Security +. Welche Hauptthemen werden behandelt und wer ist das Hauptpublikum?
Carol Balkcom: Das primäre Publikum für Security + sind IT-Experten mit mindestens zwei Jahren praktischer Erfahrung im Bereich technischer Informationssicherheit. Es gibt Security + -zertifizierte Fachkräfte in allen Arten von Organisationen, von der US Navy über General Mills bis zur Erzdiözese Philadelphia.
Bei den Themenbereichen in Security + handelt es sich bei den allgemeinen Wissensgebieten um Netzwerksicherheit, Compliance und Betriebssicherheit, Bedrohungen und Schwachstellen, Anwendungs-, Daten- und Hostsicherheit, Zugriffskontrolle und Identitätsmanagement sowie Kryptografie.
Techopedia: Was ist mit CASP? Können Sie uns mehr über die Bezeichnung erzählen?
Carol Balkcom: Für den CompTIA Advanced Security Practitioner (CASP) empfehlen wir mindestens 10 Jahre IT-Erfahrung und fünf Jahre praktische Erfahrung in der technischen Sicherheit. Es ist für den Sicherheitsarchitekten gedacht, der in einer großen Organisation mit mehreren Standorten arbeitet. Das CASP untersucht auch die Auswirkungen von Geschäftsentscheidungen auf die Sicherheit, beispielsweise die Übernahme eines Unternehmens durch ein anderes.
Techopedia: Was war der Grund für die Entwicklung des CASP?
Carol Balkcom: Die Idee zur CASP entstand vor einigen Jahren aus Gesprächen mit dem US-Verteidigungsministerium. Uns wurde mitgeteilt, dass sie eine technischere Prüfung für die Funktion "IA Technical Level III" in der Richtlinie 8570 wünschen. Die Richtlinie schreibt die Zertifizierung aller Mitarbeiter vor, die mit der Informationssicherung befasst sind. Die Tech-Stufe III ist im Grunde die Person, die die Unternehmenssicherheit (eine vernetzte Umgebung mit mehreren Standorten, die vom Militär als "Enklave" bezeichnet wird) spezifiziert und überwacht. Diese Person muss über umfassende sicherheitstechnische Kenntnisse verfügen.
Bevor CompTIA eine Zertifizierung entwickelt, suchen wir nach einer Bestätigung der Branche für die Notwendigkeit in der breiteren Branche. In einer unserer jährlichen Sicherheitsumfragen fragten wir daher, ob es in der Branche einen Bedarf für eine erweiterte Sicherheitszertifizierung gibt, die technischer Natur ist. Die Umfrageantworten bestätigten, dass wir mit der Entwicklung fortfahren sollten.
Techopedia: Nicht um Ihre Konkurrenz hervorzuheben, aber viele Fachleute sind mit der CISSP vertraut. Wie unterscheidet sich CASP von dieser Zertifizierung?
Carol Balkcom: An der CASP-Entwicklung waren mehrere Fachexperten beteiligt, die auch CISSPs sind. Die Absicht war nicht, eine Prüfung zu entwickeln, um mit der CISSP zu konkurrieren, sondern eine fortgeschrittene Zertifizierung bereitzustellen, die technischer Natur ist. Das CISSP ist seit langem der Goldstandard für Sicherheitsexperten, die Richtlinien festlegen und am Sicherheitsmanagement beteiligt sind. Das CASP soll als Beispiel die Fähigkeit einer Person messen, Strategien zur Risikominderung auszuführen und umzusetzen, einschließlich der Klassifizierung von Informationstypen in Stufen der CIA (Vertraulichkeit, Integrität und Verfügbarkeit) basierend auf der Organisation oder Branche und der Umsetzung des Rechts Art von Sicherheitskontrollen.
Ein weiterer wesentlicher Unterschied zwischen dem CISSP und dem CASP zu diesem Zeitpunkt besteht darin, dass der CASP einige leistungsbezogene Fragen enthält, die durch Ausführen einer Aufgabe in Verbindung mit einem bestimmten Szenario unter Verwendung einer Softwareplattform beantwortet werden müssen, die der Prüfer durchführen muss spezifische Entscheidungen. Der Schwerpunkt liegt auf dem technischen Wissen über den Job und dessen Ausführung.
Techopedia: In einer Organisation wie CompTIA müssen Sie über die Trends auf dem Arbeitsmarkt informiert sein und wissen, was in der IT aktuell ist. Haben Sie in den letzten Jahren mehr Nachfrage in diesem Bereich gesehen?
Carol Balkcom: Das wird niemanden überraschen, aber die Antwort lautet ja. Die IT-Zertifizierung wurde zum Teil von der US-Regierung vorangetrieben und aufgrund der Notwendigkeit, dass staatliche Auftragnehmer (von denen es viele gibt) zertifiziert werden müssen, um Arbeit zu finden, hat zugenommen. Die Verwendung von Zertifizierungen in Einstellungs- und Mitarbeiteranreizprogrammen durch die Unternehmen ist weiterhin stark. Schließlich sehen wir ein Wachstum in Entwicklungsregionen wie Malaysia, dem Nahen Osten, Europa und Afrika, da die Regierungen Mittel für Schulungen und Zertifizierungen bereitstellen, um den wachsenden Bedarf an IT-Kenntnissen zu decken.
Techopedia: Die uralte Frage ist der Wert einer Zertifizierung im Vergleich zu Erfahrung. Wo wiegst du?
Carol Balkcom: Die Zertifizierung ist ein Indikator, kein Beweis für die Leistungsfähigkeit. (Obwohl die neuen leistungsbasierten Fragen, die ich bereits erwähnt habe, einen eindeutigen Schritt in Richtung der Messung der tatsächlichen Fähigkeiten darstellen.) Die Zertifizierung ist ein Indikator dafür, dass sich jemand die Zeit genommen und sich die Mühe gemacht hat, zu lernen, was für das Ablegen und Bestehen einer Prüfung erforderlich ist . Praktische Erfahrungen - auch wenn sie nur in Laboratorien während der Kurse gesammelt werden - werden jedoch immer der Zertifizierung vorgezogen.
Möchten Sie sich über die IT-Zertifizierung informieren? Schauen Sie sich den IT-Karriereabschnitt von Techopedia an.
Weitere Informationen direkt von CompTIA finden Sie auf der offiziellen Seite für Security + und CASP.
