Keselamatan adalah kebimbangan utama dalam mana-mana bidang IT. Sama ada anda seorang pentadbir rangkaian, pemaju atau CIO, sebahagian daripada hari anda tidak syak lagi diambil dengan bimbang tentang ancaman di luar, perisian hasad dan kemungkinan kelemahan dalam rangkaian anda. Tetapi adakah anda berfikir tentang mengambil latihan keselamatan anda ke peringkat seterusnya? Kami mewawancarai Carol Balkcom, pengarah pengurusan produk di CompTIA, untuk mengetahui lebih lanjut mengenai pensijilan keselamatan mereka dan bagaimana mereka dapat membantu pihak IT menjalankan kapal yang lebih ketat.
Techopedia: Banyak yang tahu CompTIA untuk pensijilan A + nya. Beritahu kami tentang tawaran keselamatan anda yang lain.
Carol Balkcom: CompTIA Security + adalah peperiksaan pertama kami yang dikhaskan sepenuhnya untuk keselamatan, dan pada asalnya dilancarkan pada tahun 2002. Semua peperiksaan kami adalah "vendor neutral", yang bermaksud bahawa mereka tidak terikat dengan produk vendor mana pun - dan Security + tidak terkecuali .
CompTIA A + dan Network + juga mempunyai komponen keselamatan di dalamnya, kerana sudah tentu juruteknik sokongan hari ini dan pentadbir rangkaian juga harus berpengetahuan tentang keselamatan. Sebagai tambahan, ketiga-tiga peperiksaan ini (A +, Network +, Security +) berada di Amerika Syarikat Jabatan Pertahanan Arahan 8570 yang memerlukan pengesahan untuk kakitangan jaminan maklumat. Akibatnya, sebilangan besar profesional telah mengambil pensijilan ini sejak beberapa tahun kebelakangan ini.
Untuk kembali ke penawaran keselamatan kami, pada awal tahun ini kami secara rasmi melancarkan yang pertama dalam siri peperiksaan "Mastery" CompTIA, CompTIA Advanced Security Practitioner (CASP) kami.
Techopedia: Beritahu kami lebih lanjut mengenai Security +. Apakah bidang subjek utama yang tertutup dan siapa penonton utama?
Carol Balkcom: Penonton utama untuk Keselamatan + adalah profesional IT dengan dua atau lebih tahun pengalaman tangan, pengalaman keselamatan maklumat teknikal. Terdapat Keselamatan + profesional yang disahkan dalam semua jenis organisasi, dari Angkatan Laut Amerika Syarikat ke General Mills ke Keuskupan Agung Philadelphia.
Mengenai bidang subjek di Security +, pengetahuan luas "domain" adalah keselamatan rangkaian, pematuhan dan keselamatan operasi, ancaman dan kelemahan, aplikasi, data dan keselamatan host, kawalan akses dan pengurusan identiti, dan kriptografi.
Techopedia: Bagaimana pula dengan CASP? Bolehkah anda beritahu kami lebih lanjut mengenai penamaan itu?
Carol Balkcom: Bagi Pengamal Keselamatan Kompleks Advanced CompTIA (CASP), kami mengesyorkan sekurang-kurangnya 10 tahun dalam IT dan pengalaman keselamatan teknikal selama lima tahun. Ia bertujuan untuk arkitek keselamatan yang bekerja di organisasi besar, pelbagai lokasi. CASP juga melihat implikasi keselamatan keputusan perniagaan, seperti pengambilalihan satu syarikat oleh pihak lain, sebagai contoh.
Techopedia: Apakah rasional untuk membangunkan CASP?
Carol Balkcom: Idea untuk CASP bermula dengan perbincangan dengan Jabatan Pertahanan AS beberapa tahun lalu. Kami diberitahu bahawa mereka mahukan peperiksaan yang lebih teknikal untuk peranan kerja "IA Technical Level III" di Arahan 8570. Arahan ini memberi mandat kepada semua kakitangan yang terlibat dalam aktiviti jaminan maklumat. Tahap berteknologi III pada dasarnya adalah orang yang menentukan dan mengawasi perusahaan (persekitaran berangkaian lokasi yang disebut "keamanan"). Orang ini dikehendaki mempunyai kemahiran keselamatan teknikal yang mendalam.
Tetapi sebelum CompTIA mengembangkan pensijilan, kami mencari pengesahan industri tentang keperluannya dalam industri yang lebih luas. Oleh itu, dalam satu tinjauan keselamatan tahunan kami, kami bertanya sama ada terdapat keperluan industri untuk pensijilan keselamatan lanjutan yang bersifat teknikal. Tinjauan tinjauan mengesahkan bahawa kita perlu meneruskan pembangunan.
Techopedia: Tidak untuk menyerlahkan persaingan anda, tetapi ramai profesional yang biasa dengan CISSP. Bagaimanakah CASP berbeza daripada pensijilan itu?
Carol Balkcom: Terdapat beberapa pakar perkara yang terlibat dalam pembangunan CASP yang juga CISSPs. Niatnya bukan untuk membangunkan peperiksaan untuk bersaing dengan CISSP, tetapi untuk menyediakan pensijilan lanjutan yang bersifat teknikal. CISSP telah lama menjadi standard emas untuk para profesional keselamatan yang membuat dasar dan terlibat dalam pengurusan keselamatan. CASP bertujuan untuk, sebagai contoh, mengukur keupayaan seseorang untuk melaksanakan dan melaksanakan strategi mitigasi risiko, termasuk mengelaskan jenis maklumat ke tahap CIA (kerahsiaan, integriti dan ketersediaan) berdasarkan organisasi atau industri, dan melaksanakan hak jenis kawalan keselamatan.
Satu lagi perbezaan penting antara CISSP dan CASP pada masa ini adalah bahawa CASP mengandungi beberapa soalan berasaskan prestasi yang mesti dijawab dengan menjalankan tugas berkaitan dengan senario yang diberikan menggunakan platform perisian yang memerlukan penilai ujian untuk membuat pilihan khusus. Tumpuannya adalah mengenai pengetahuan teknikal tentang pekerjaan dan cara melaksanakannya.
Techopedia: Di sesebuah organisasi seperti CompTIA, anda mesti berada di atas trend dalam pasaran kerja dan apa yang panas dalam IT. Pernahkah anda melihat lebih banyak permintaan di kawasan ini sejak beberapa tahun yang lalu?
Carol Balkcom: Ini tidak akan mengejutkan sesiapa pun, tetapi jawapannya adalah ya. Sebahagiannya didorong oleh kerajaan AS dan oleh keperluan untuk kontraktor kerajaan (yang mana banyak terdapatnya) untuk diperakui untuk mendapatkan pekerjaan, pensijilan IT semakin meningkat. Penggunaan pensijilan korporat dalam pengambilan dan program insentif pekerja masih kukuh. Akhir sekali, kita melihat pertumbuhan di kawasan membangun seperti Malaysia, Timur Tengah, Eropah dan Afrika sebagai kerajaan menyediakan pembiayaan untuk latihan dan pensijilan untuk menangani keperluan kemahiran IT yang semakin meningkat.
Techopedia: Persoalan lama adalah nilai pensijilan berbanding pengalaman. Di manakah anda menimbang?
Carol Balkcom: Sijil adalah penunjuk, bukan bukti keupayaan untuk melaksanakan. (Walaupun, soalan baru yang berasaskan prestasi yang saya sebutkan tadi adalah langkah yang pasti dalam arah mengukur kemahiran sebenar.) Sijil merupakan petunjuk bahawa seseorang mengambil masa dan membuat usaha untuk mempelajari apa yang diperlukan untuk mengambil dan lulus peperiksaan . Tetapi pastinya pengalaman secara langsung - walaupun pengalaman hanya dalam makmal semasa kursus - selalu lebih suka ke atas pensijilan sahaja.
Mahu tentang pensijilan IT? Lihat seksyen Kerjaya IT Techopedia.
Untuk maklumat lanjut langsung dari CompTIA, lihat halaman rasmi untuk Keselamatan + dan CASP.
