Några tankar kring certifieringar
Kraven på certifieringar för att kunna styrka kunskaper och erfarenheter ökar samtidigt som antalet certifieringar ökar ännu mer kraftigt. Man räknar med att det inom IT säkerhetsområdet finns minst 400 olika certifieringar att välja på. Detta ställer i sin tur krav på att det går att jämföra certifieringar och bestämma minimikrav för varje typ av arbetsuppgift.
Kartor över certifieringar
En klickbar översikt över ett antal certifieringar fås från pauljerimy.com varifrån följande utdrag av Security Certification Roadmap har hämtats. För varje certifiering fås en länk och en kostnad för certifieringen.
Listan ovan har sorterat certifieringarna efter deras inriktning och hur avancerade de är. Tyvärr är många certifieringar överlappande och inriktade mot speciella mål vilket gör att de inte direkt kan jämföras.
En annan jämförbar lista kommer från CompTIA som listar deras egna certifieringar som ingångssteg.
Krav avseende specifika certifieringar
En ansats att lista godtagbara certifieringar för olika arbetsuppgifter finns i DoD Baseline Certifications. En person som vill ha en viss arbetsuppgift måste därvid ta minst en av de certifieringar som kan anses styrka erfarenhet och kompetens. Det framgår tydligt att vissa certifieringar både låser upp fler arbetsområden och längre fram tillåter att man får mer avancerade uppgifter utan att behöva ta en ny certifiering.
De certifieringar som listas för en högre nivå gäller också för en lägre nivå. Samtidigt så finns det certifieringar för de lägre nivåerna som inte har samma krav på erfarenhet och därmed kan tas tidigare i karriären.
Ett annat exempel på vilka certifieringar som anses vara relevanta för en viss arbetsuppgift kan hämtas från PCI-DSS där det i kravprofilen för en QSA rekommenderas att personen har minst en certifiering från två olika listor. Än så länge krävs dock enligt uppgift bara en certifiering från någon av listorna.
List A – Information Security
CISSP, CISM eller ISO 27001 Lead Implementer
List B – Audit
CISA, GSNA, ISO 27001 Lead Auditor, ISMS Auditor eller Certified Internal Auditor
Listorna ovan likaväl som Baseline Certifications kan ge en viss vägledning vilka certifieringar som enskilt och tillsammans med andra öppnar upp flest möjligheter.
Slutsatser
Certifieringar har en viktig betydelse för att tydliggöra erfarenhet och kompetens, men också att visa på gemensamma arbetssätt och förmåga att kommunicera med andra intressenter inom en organisation.
Tidigare kunde det räcka med några få certifieringar för att hantera dessa uppgifter, men idag ökar snarast förväntningarna hos alla parter på fler certifieringar och att dessa täcker rätt områden.
En ansats kan vara att då och då kontrollera de sammanställningar i form av kartor, “roadmaps” och “baselines” som förekommer och kontrollera att de egna certifieringarna fortfarande ligger inom rätt områden och på rätt nivå för de egna arbetsuppgifterna och den egna organisationens behov.
Det kan också vara värdefullt att ta nya certifieringar då och då, både för att lära sig något nytt – men också för att kunna visa på ett tillförlitligt sätt att man fullt ut behärskar det som man arbetar med till vardags.
Viktiga områden som går utanför denna sammanställning är exempelvis forensik, incidenthantering och penetrationstestning som utöver certifiering kräver mer eller mindre omfattande och återkommande labbar för att ge ett gott resultat.
Dessa liknar i någon mån äldre certifieringar för systemadministratörer som är mer eller mindre tekniktunga. Skillnaden är att säkerhet idag i högre grad är ett lagarbete och även en incidenthanterare eller en penetrationstestare måste kunna kommunicera effektivt vad som har gjorts och vilken hjälp som krävs för att slutföra en uppgift.
Ett annat viktigt område är molntjänster där utmaningen ofta är att förstå likheter och skillnader mot traditionell databehandling. Även här är en moln-specifik säkerhetsutbildning oftast det bästa sättet att få rätt insikter.
Länkar och referenser
https://public.cyber.mil/cw/cwmp/dod-approved-8570-baseline-certifications/