La sicurezza è una delle principali preoccupazioni in quasi ogni area dell'IT. Che tu sia un amministratore di rete, uno sviluppatore o un CIO, parte della tua giornata è senza dubbio occupata con preoccupazione per minacce esterne, malware e possibili vulnerabilità nella tua rete. Ma hai pensato di portare la tua formazione sulla sicurezza al livello successivo? Abbiamo intervistato Carol Balkcom, direttore della gestione dei prodotti di CompTIA, per saperne di più sulle loro certificazioni di sicurezza e su come possono aiutare i professionisti IT a gestire una nave più stretta.
Techopedia: molti conoscono CompTIA per la sua certificazione A +. Parlaci delle tue altre offerte di sicurezza.
Carol Balkcom: CompTIA Security + è il nostro primo esame interamente dedicato alla sicurezza ed è stato originariamente lanciato nel 2002. Tutti i nostri esami sono "neutrali rispetto al fornitore", il che significa che non sono legati ai prodotti di alcun fornitore - e Security + non fa eccezione. .
CompTIA A + e Network + hanno anche componenti di sicurezza, perché ovviamente anche i tecnici di supporto e gli amministratori di rete devono essere informati sulla sicurezza. A parte questo, tutti e tre questi esami (A +, Rete +, Sicurezza +) fanno parte della Direttiva 8570 del Dipartimento della Difesa degli Stati Uniti che richiede la certificazione per il personale addetto all'assicurazione delle informazioni. Di conseguenza, un gran numero di professionisti ha ottenuto queste certificazioni negli ultimi anni.
Per tornare alle nostre offerte di sicurezza, all'inizio di quest'anno abbiamo lanciato formalmente il primo esame della serie "Mastery" di CompTIA, il nostro CompTIA Advanced Security Practitioner (CASP).
Techopedia: raccontaci di più sulla sicurezza +. Quali sono le aree tematiche principali e chi è il pubblico principale?
Carol Balkcom: il pubblico principale per Security + sono i professionisti IT con due o più anni di esperienza pratica sulla sicurezza delle informazioni tecniche. Esistono professionisti certificati Security + in tutti i tipi di organizzazioni, dalla Marina degli Stati Uniti al General Mills all'Arcidiocesi di Filadelfia.
Per quanto riguarda le aree tematiche di Security +, i "domini" di conoscenza ampia sono sicurezza di rete, conformità e sicurezza operativa, minacce e vulnerabilità, sicurezza di applicazioni, dati e host, controllo degli accessi e gestione delle identità e crittografia.
Techopedia: che dire di CASP? Puoi dirci di più sulla designazione?
Carol Balkcom: per CompTIA Advanced Security Practitioner (CASP), raccomandiamo almeno 10 anni di esperienza nell'IT e cinque anni di esperienza pratica di sicurezza tecnica. È destinato all'architetto della sicurezza che lavora in una grande organizzazione multi-posizione. Il CASP esamina anche le implicazioni in termini di sicurezza delle decisioni aziendali, come l'acquisizione di una società da parte di un'altra, ad esempio.
Techopedia: qual è stata la logica per lo sviluppo del CASP?
Carol Balkcom: L'idea del CASP è nata con discussioni con il Dipartimento della Difesa degli Stati Uniti diversi anni fa. Ci è stato detto che desideravano un esame più tecnico per il ruolo professionale "Livello tecnico III III" nella direttiva 8570. La direttiva impone la certificazione di tutto il personale impegnato nelle attività di assicurazione delle informazioni. Il livello tecnologico III è fondamentalmente la persona che specifica e sovrintende alla sicurezza aziendale (un ambiente di rete multi-posizione, che i militari chiamano "enclave"). Questa persona deve possedere profonde capacità di sicurezza tecnica.
Ma prima che CompTIA sviluppi una certificazione, cerchiamo la convalida del settore della necessità nel settore più ampio. Pertanto, in uno dei nostri sondaggi annuali sulla sicurezza, abbiamo chiesto se fosse necessario un settore per una certificazione di sicurezza avanzata di natura tecnica. Le risposte al sondaggio hanno confermato che dovremmo continuare con lo sviluppo.
Techopedia: non per evidenziare la concorrenza, ma molti professionisti hanno familiarità con il CISSP. In che modo CASP differisce da tale certificazione?
Carol Balkcom: c'erano diversi esperti in materia coinvolti nello sviluppo di CASP che sono anche CISSP. L'intento non era quello di sviluppare un esame per competere con il CISSP, ma di fornire una certificazione avanzata di natura tecnica. Il CISSP è stato a lungo il gold standard per i professionisti della sicurezza che elaborano politiche e sono coinvolti nella gestione della sicurezza. Il CASP intende, ad esempio, misurare la capacità di una persona di attuare e attuare strategie di mitigazione del rischio, inclusa la classificazione dei tipi di informazioni in livelli di CIA (riservatezza, integrità e disponibilità) in base all'organizzazione o all'industria e l'implementazione del diritto tipo di controlli di sicurezza.
Un'altra differenza significativa tra il CISSP e il CASP in questo momento è che il CASP contiene alcune domande basate sulle prestazioni alle quali è necessario rispondere eseguendo un'attività in relazione a un determinato scenario utilizzando una piattaforma software che richiede al candidato dell'esame di scelte specifiche. Il focus è sulla conoscenza tecnica del lavoro e su come eseguirlo.
Techopedia: in un'organizzazione come CompTIA devi essere al passo con le tendenze del mercato del lavoro e ciò che è caldo nell'IT. Hai visto più richieste in questo settore negli ultimi anni?
Carol Balkcom: Questo non sorprenderà nessuno, ma la risposta è sì. In parte guidato dal governo degli Stati Uniti e dalla necessità di certificare gli appaltatori governativi (di cui ce ne sono molti) per ottenere lavoro, la certificazione IT è in aumento. L'uso aziendale della certificazione nei programmi di assunzione e incentivazione dei dipendenti rimane forte. Infine, stiamo assistendo a una crescita in regioni in via di sviluppo come la Malesia, il Medio Oriente, l'Europa e l'Africa mentre i governi forniscono finanziamenti per la formazione e la certificazione per far fronte alle crescenti esigenze di competenze IT.
Techopedia: l'annosa domanda è il valore di una certificazione rispetto all'esperienza. Dove pesi?
Carol Balkcom: la certificazione è un indicatore, non una prova della capacità di esibirsi. (Sebbene, le nuove domande basate sulle prestazioni che ho menzionato in precedenza siano un passo decisivo nella direzione della misurazione delle abilità effettive.) La certificazione è un indicatore del fatto che qualcuno si è preso il tempo e ha fatto lo sforzo di imparare ciò che era necessario per sostenere e superare un esame . Ma sicuramente l'esperienza pratica - anche se l'esperienza è solo in laboratorio durante i corsi - è sempre preferita alla sola certificazione.
Vuoi informazioni sulla certificazione IT? Consulta la sezione Carriere IT di Techopedia.
Per ulteriori informazioni direttamente da CompTIA, vedere la pagina ufficiale per Security + e CASP.