Bảo mật là mối quan tâm chính trong bất kỳ lĩnh vực CNTT nào. Cho dù bạn là quản trị viên mạng, nhà phát triển hoặc CIO, một phần trong ngày của bạn chắc chắn sẽ lo lắng về các mối đe dọa bên ngoài, phần mềm độc hại và các lỗ hổng có thể có trong mạng của bạn. Nhưng bạn đã nghĩ về việc đào tạo an ninh của bạn lên cấp độ tiếp theo? Chúng tôi đã phỏng vấn Carol Balkcom, giám đốc quản lý sản phẩm tại CompTIA, để tìm hiểu thêm về các chứng chỉ bảo mật của họ và cách họ có thể giúp các chuyên gia CNTT điều hành một con tàu chặt chẽ hơn.
Techopedia: Nhiều người biết CompTIA cho chứng nhận A + của mình. Hãy cho chúng tôi về các dịch vụ bảo mật khác của bạn.
Carol Balkcom: CompTIA Security + là bài kiểm tra đầu tiên của chúng tôi dành hoàn toàn cho bảo mật và được phát hành lần đầu vào năm 2002. Tất cả các bài kiểm tra của chúng tôi đều là "nhà cung cấp trung lập", nghĩa là chúng không bị ràng buộc với bất kỳ sản phẩm nào của nhà cung cấp - và Security + cũng không ngoại lệ .
CompTIA A + và Network + cũng có các thành phần bảo mật trong đó, vì tất nhiên các kỹ thuật viên hỗ trợ và quản trị viên mạng ngày nay cũng phải am hiểu về bảo mật. Bên cạnh đó, cả ba bài kiểm tra này (A +, Network +, Security +) đều thuộc Chỉ thị 8570 của Bộ Quốc phòng Hoa Kỳ yêu cầu chứng nhận cho nhân viên đảm bảo thông tin. Kết quả là, một số lượng lớn các chuyên gia đã lấy các chứng chỉ này trong vài năm qua.
Để quay trở lại với các dịch vụ bảo mật của chúng tôi, đầu năm nay, chúng tôi đã chính thức ra mắt lần đầu tiên trong loạt bài kiểm tra "Làm chủ" của CompTIA, Học viên bảo mật nâng cao CompTIA (CASP) của chúng tôi.
Techopedia: Hãy cho chúng tôi biết thêm về Bảo mật +. Những lĩnh vực chủ đề chính được bảo hiểm và ai là khán giả chính?
Carol Balkcom: Đối tượng chính của Security + là các chuyên gia CNTT có hai năm kinh nghiệm bảo mật thông tin kỹ thuật. Có các chuyên gia được chứng nhận Security + trong tất cả các loại tổ chức, từ Hải quân Hoa Kỳ đến General Mills đến Tổng giáo phận Philadelphia.
Đối với các lĩnh vực chủ đề trong Security +, "miền" kiến thức rộng là bảo mật mạng, bảo mật tuân thủ và vận hành, các mối đe dọa và lỗ hổng bảo mật, ứng dụng, bảo mật dữ liệu và máy chủ, kiểm soát truy cập và quản lý danh tính và mật mã.
Techopedia: Thế còn CASP? Bạn có thể cho chúng tôi biết thêm về chỉ định?
Carol Balkcom: Đối với Chuyên gia bảo mật nâng cao CompTIA (CASP), chúng tôi khuyên bạn nên có ít nhất 10 năm về CNTT và năm năm kinh nghiệm bảo mật kỹ thuật thực hành. Nó được dành cho kiến trúc sư an ninh làm việc trong một tổ chức lớn, nhiều địa điểm. CASP cũng xem xét ý nghĩa bảo mật của các quyết định kinh doanh, chẳng hạn như việc mua lại một công ty bởi một công ty khác, là một ví dụ.
Techopedia: Cơ sở lý luận để phát triển CASP là gì?
Carol Balkcom: Ý tưởng cho CASP bắt nguồn từ các cuộc thảo luận với Bộ Quốc phòng Hoa Kỳ vài năm trước. Chúng tôi được thông báo rằng họ muốn có một bài kiểm tra kỹ thuật hơn cho vai trò công việc "Cấp độ kỹ thuật III" trong Chỉ thị 8570. Chỉ thị bắt buộc chứng nhận tất cả các nhân viên tham gia vào các hoạt động đảm bảo thông tin. Cấp độ công nghệ III về cơ bản là người chỉ định và giám sát doanh nghiệp (một môi trường kết nối nhiều địa điểm, mà quân đội gọi là bảo mật "bao vây"). Người này được yêu cầu phải có kỹ năng bảo mật kỹ thuật sâu sắc.
Nhưng trước khi CompTIA phát triển bất kỳ chứng nhận nào, chúng tôi tìm kiếm sự xác nhận của ngành về sự cần thiết của nó trong ngành công nghiệp rộng lớn hơn. Vì vậy, trong một trong những cuộc khảo sát an ninh hàng năm của chúng tôi, chúng tôi đã hỏi về việc liệu có cần một ngành công nghiệp để có chứng nhận bảo mật tiên tiến có bản chất kỹ thuật hay không. Các câu trả lời khảo sát đã xác nhận rằng chúng ta nên tiếp tục phát triển.
Techopedia: Không làm nổi bật đối thủ của bạn, nhưng nhiều chuyên gia đã quen thuộc với CISSP. CASP khác với chứng nhận đó như thế nào?
Carol Balkcom: Có một số chuyên gia về chủ đề liên quan đến phát triển CASP cũng là CISSP. Mục đích không phải là phát triển một kỳ thi để cạnh tranh với CISSP, mà là cung cấp một chứng nhận nâng cao có bản chất kỹ thuật. CISSP từ lâu đã trở thành tiêu chuẩn vàng cho các chuyên gia bảo mật đưa ra chính sách và tham gia quản lý bảo mật. Ví dụ, CASP dự định đo lường khả năng của một người thực hiện và thực hiện các chiến lược giảm thiểu rủi ro, bao gồm phân loại các loại thông tin thành các cấp độ CIA (bảo mật, toàn vẹn và sẵn có) dựa trên tổ chức hoặc ngành và thực hiện quyền loại kiểm soát an ninh.
Một điểm khác biệt đáng kể giữa CISSP và CASP tại thời điểm này là CASP chứa một số câu hỏi dựa trên hiệu suất phải được trả lời bằng cách thực hiện một nhiệm vụ liên quan đến một kịch bản nhất định sử dụng nền tảng phần mềm yêu cầu người thực hiện bài kiểm tra thực hiện lựa chọn cụ thể. Trọng tâm là kiến thức kỹ thuật của công việc và làm thế nào để thực hiện nó.
Techopedia: Tại một tổ chức như CompTIA, bạn phải đi đầu trong các xu hướng trong thị trường việc làm và những gì hấp dẫn trong CNTT. Bạn đã thấy nhiều nhu cầu trong lĩnh vực này trong những năm qua?
Carol Balkcom: Điều này sẽ không làm ai ngạc nhiên, nhưng câu trả lời là có. Một phần do chính phủ Hoa Kỳ và do nhu cầu của các nhà thầu chính phủ (trong đó có nhiều người) được chứng nhận để có được công việc, chứng chỉ CNTT đã tăng lên. Việc sử dụng chứng nhận của công ty trong các chương trình tuyển dụng và khuyến khích nhân viên vẫn còn mạnh. Cuối cùng, chúng ta đang chứng kiến sự tăng trưởng ở các khu vực đang phát triển như Malaysia, Trung Đông, Châu Âu và Châu Phi khi các chính phủ cung cấp kinh phí cho đào tạo và chứng nhận để giải quyết nhu cầu kỹ năng CNTT ngày càng tăng.
Techopedia: Câu hỏi lâu đời là giá trị của chứng nhận so với kinh nghiệm. Bạn cân ở đâu?
Carol Balkcom: Chứng nhận là một chỉ số, không phải là bằng chứng về khả năng thực hiện. (Mặc dù, các câu hỏi dựa trên hiệu suất mới mà tôi đã đề cập trước đó là một bước xác định theo hướng đo kỹ năng thực tế.) Chứng nhận là một chỉ số cho thấy ai đó đã dành thời gian và nỗ lực để tìm hiểu những gì cần thiết để vượt qua và kiểm tra . Nhưng chắc chắn kinh nghiệm thực hành - ngay cả khi kinh nghiệm chỉ có trong phòng thí nghiệm trong các khóa học - luôn được ưu tiên hơn chứng nhận một mình.
Bạn muốn về chứng nhận CNTT? Kiểm tra phần Nghề nghiệp CNTT của Techopedia.
Để biết thêm thông tin trực tiếp từ CompTIA, xem trang chính thức cho Security + và CASP.
