Kto sú profesionáli v informačnej bezpečnosti?
Ivan Profesionál, CISA, CISSP, GIAC - s IT certifikátmi sa aj u nás v poslednom čase akoby roztrhlo vrece. Ako sa v nich vyznať, čo vlastne skratky znamenajú a sú naozaj zárukou kvality? Aj na tieto otázky budeme v našom seriáli odpovedať.
Základným poslaním certifikačných programov je poskytnúť záruku, že konkrétna osoba je v danej oblasti naozaj skúsená a že dokáže kvalitne, rýchlo a presne identifikovať a riešiť vzniknuté problémy. Certifikáty sa vo všeobecnosti rozdeľujú do dvoch oblastí - všeobecné, nezávislé od výrobcu udelené nezávislou organizáciou a špecifické certifikáty na konkrétny produkt, respektíve portfólio produktov konkrétneho výrobcu. V oblasti informačnej bezpečnosti (IB) sa celosvetovo najčastejšie uznávajú certifikáty od troch organizácií: ISC2, SANS a ISACA. Každá z nich ponúka hneď niekoľko rôznych špecifických certifikačných programov a každá sa zameriava na niečo iné. Predstavíme aspoň najznámejšie z nich.
Prvá priečka v pomyselnom rebríčku najlepšie hodnotených certifikátov patrí certifikátu CISSP (Certified Information Systems Security Professional) od ISCKeby ste ju chceli získať, potrebujete minimálne 5 rokov praxe v oblasti IB, musíte prejsť šesťhodinovým testom s 250 otázkami a preukázať znalosti v 10 oblastiach od návrhu architektúry, riadenia IB až po legislatívne požiadavky alebo požiadavky na fyzickú bezpečnosť systémov. Tieto skúšky musíte každé tri roky zopakovať. Testy sú koncipované tak, že takmer všetky odpovede sú správne, jedna je však „najsprávnejšia". Navyše treba prihliadať na medzinárodné štandardy riešení a trendy, ktoré môžu byť iné, ako sme zvyknutí v našich podmienkach. Priemerný plat v USA na úrovni 80 000 USD ročne a celosvetovo predpoklad až 2 miliónov pracovných miest na najbližšie dva roky však určite za tú námahu stoja.O niečo miernejšie požiadavky sa kladú na „menšieho brata" - certifikát SSCP (Systems Security Certified Practitioner), takisto od ISCStačí naň rok praxe a skúšky, ktoré nepokrývajú všetky oblasti ako pri CISSP. Určený je najmä technikom a bežným pracovníkom v IB, ktorí tak potvrdzujú svoj všeobecný prehľad a znalosti v tejto oblasti. V súčasnosti najväčšou organizáciou zameranou na školenia v oblastiach IB je SANS. Ponúka množstvo školení a materiálov v rôznych oblastiach - od sieťovej bezpečnosti cez forenzné vyšetrovanie a audit až po bezpečnosť aplikácií. Jej hlavná certifikačná aktivita je GIAC security certification program.GIAC (Global Information Assurance Certification) má viacero úrovní s certifikátmi, pričom najnižšia je tzv. strieborná úroveň. Skúšky na tejto úrovni sú pomerne jednoduché a nevyžaduje sa žiadne dodatočné overenie znalostí, napríklad vo forme praxe. Nad ňou sú certifikáty zlatej úrovne, ktoré už okrem úspešného absolvovania pomerne zložitých testov vyžadujú aj vypracovanie samostatnej vedeckej práce v oblasti, na ktorú sa plánujete certifikovať. Najvyššia úroveň je potom platinová, ktorá prebieha formou dvojdňového dozorovaného riešenia problému v laboratórnych podmienkach, v rámci ktorého budú reálne posúdené expertné znalosti špecialistu. Skúšky svojou náročnosťou a komplexnosťou patria medzi najťažšie, aj keď certifikát nie je taký známy ako CISSP. Jeho užšie zameranie poskytuje záruku, že v danej oblasti len ťažko nájdete niekoho skúsenejšieho.
Tretí významný hráč na poli poskytovania certifikácií v oblasti IB je ISACA, ktorá pôsobí v oblasti dohľadu a auditu informačných systémov už od roku 1969. Najčastejšie sa v spojitosti s ňou stretnete s certifikátom CISA (Certified Information System Auditor). Je určená predovšetkým audítorom informačných systémov, ale nezameriava sa len na audit a záber znalostí sa v mnohom prekrýva s oblasťami, ktoré pokrýva CISSP. Na procesy IB sa pozerá viac z hľadiska biznisu na rozdiel od technického pohľadu CISSP, preto sa táto certifikácia stala pomerne populárnou a často žiadanou aj pre členov manažmentu.
Na túto skutočnosť reagovala ISACA v roku 2003 vytvorením nového certifikačného programu CISM (Certified Information Security Manager), ktorý už plne pokrýva všetky oblasti IB v spojení s požiadavkami na jej riadenie. Pre oba certifikáty - CISA aj CISM - platí požiadavka minimálne päťročnej praxe a úspešného zvládnutia testov.
Vlastné programy certifikovaných špecialistov má okrem nezávislých inštitúcií prakticky každý väčší výrobca hardvéru a softvéru. Medzi najčastejšie patria napr. programy spoločností Microsoft alebo CISCO. Vo všeobecnosti sa vyžadujú praktické skúsenosti s konkrétnymi produktmi, absolvovanie dozorovaného testu a často je nevyhnutné aj školenie u výrobcu alebo jeho partnera.