การรักษาความปลอดภัยเป็นเรื่องที่สำคัญในทุก ๆ ด้านของไอที ไม่ว่าคุณจะเป็นผู้ดูแลระบบเครือข่ายผู้พัฒนาหรือ CIO ส่วนหนึ่งของวันของคุณนั้นไม่ต้องสงสัยเลยว่ามีความกังวลเกี่ยวกับภัยคุกคามภายนอกมัลแวร์และช่องโหว่ที่อาจเกิดขึ้นในเครือข่ายของคุณ แต่คุณมีความคิดเกี่ยวกับการฝึกอบรมด้านความปลอดภัยของคุณไปอีกระดับหรือไม่? เราสัมภาษณ์ Carol Balkcom ผู้อำนวยการฝ่ายการจัดการผลิตภัณฑ์ที่ CompTIA เพื่อเรียนรู้เพิ่มเติมเกี่ยวกับการรับรองความปลอดภัยของพวกเขาและวิธีที่พวกเขาสามารถช่วยให้ผู้เชี่ยวชาญด้าน IT ทำงานในเรือที่เข้มงวดมากขึ้น
Techopedia: หลายคนรู้จัก CompTIA เพืสำหรับการรับรอง A + บอกเราเกี่ยวกับข้อเสนอความปลอดภัยอื่น ๆ ของคุณ
Carol Balkcom: CompTIA Security + เป็นการสอบครั้งแรกของเราสำหรับการรักษาความปลอดภัยและเปิดตัวครั้งแรกในปี 2545 การสอบทั้งหมดของเราเป็น "ผู้ขายที่เป็นกลาง" ซึ่งหมายความว่าพวกเขาไม่ได้ผูกติดอยู่กับผลิตภัณฑ์ของผู้ขายรายใดรายหนึ่ง .
CompTIA A + และ Network + ยังมีองค์ประกอบด้านความปลอดภัยอยู่ด้วยเพราะแน่นอนว่าช่างเทคนิคสนับสนุนในปัจจุบันและผู้ดูแลระบบเครือข่ายจะต้องมีความรู้เกี่ยวกับความปลอดภัยด้วย นอกเหนือจากนี้การสอบทั้งสามนี้ (A +, Network +, Security +) นั้นอยู่ในกระทรวงกลาโหมสหรัฐอเมริกา 8570 ซึ่งจำเป็นต้องมีการรับรองสำหรับบุคลากรด้านการรับรองข้อมูล เป็นผลให้มืออาชีพจำนวนมากใช้ใบรับรองเหล่านี้ในช่วงไม่กี่ปีที่ผ่านมา
เพื่อกลับไปยังข้อเสนอด้านความปลอดภัยของเราเมื่อต้นปีนี้เราได้เปิดตัวข้อสอบชุด "Mastery" ชุดแรกของ CompTIA CompTIA Advanced Security Practitioner (CASP) ของเรา
Techopedia: บอกเราเพิ่มเติมเกี่ยวกับความปลอดภัย + หัวข้อเรื่องใดที่ได้รับการคุ้มครองและใครคือผู้ฟังหลัก?
Carol Balkcom: ผู้ชมหลักของ Security + คือผู้เชี่ยวชาญด้านไอทีที่มีประสบการณ์ด้านความปลอดภัยข้อมูลด้านเทคนิคอย่างน้อยสองปีขึ้นไป มีผู้เชี่ยวชาญด้านความปลอดภัย + ที่ผ่านการรับรองในองค์กรทุกประเภทตั้งแต่กองทัพเรือสหรัฐฯถึง General Mills ไปจนถึงเขตปกครองของฟิลาเดลเฟีย
สำหรับหัวข้อเรื่องใน Security + ความรู้ที่กว้างขวาง "โดเมน" คือความปลอดภัยของเครือข่ายการปฏิบัติตามกฎระเบียบและความปลอดภัยในการปฏิบัติงานภัยคุกคามและช่องโหว่แอปพลิเคชันข้อมูลและความปลอดภัยของโฮสต์การควบคุมการเข้าถึงและการจัดการข้อมูลประจำตัว
Techopedia: แล้ว CASP ล่ะ? คุณสามารถบอกเราเพิ่มเติมเกี่ยวกับการกำหนดได้หรือไม่?
Carol Balkcom: สำหรับผู้ปฏิบัติงานด้านความปลอดภัยขั้นสูงของ CompTIA (CASP) เราขอแนะนำอย่างน้อย 10 ปีในด้านไอทีและประสบการณ์ด้านความปลอดภัยด้านเทคนิคห้าปี มันมีไว้สำหรับสถาปนิกด้านความปลอดภัยที่ทำงานในองค์กรขนาดใหญ่และหลากหลาย CASP ยังพิจารณาถึงผลกระทบด้านความปลอดภัยของการตัดสินใจทางธุรกิจเช่นการซื้อกิจการของอีก บริษัท หนึ่งเป็นตัวอย่าง
Techopedia: อะไรคือเหตุผลในการพัฒนา CASP
Carol Balkcom: แนวคิดสำหรับ CASP เกิดขึ้นจากการพูดคุยกับกระทรวงกลาโหมสหรัฐฯเมื่อหลายปีก่อน เราได้รับการบอกว่าพวกเขาต้องการการทดสอบทางเทคนิคมากขึ้นสำหรับบทบาทงาน "IA Technical Level III" ใน Directive 8570 การรับรองเอกสารสั่งของบุคลากรทั้งหมดที่เกี่ยวข้องกับกิจกรรมการประกันข้อมูล ระดับเทคโนโลยี III นั้นเป็นบุคคลที่ระบุและดูแลองค์กร (สภาพแวดล้อมเครือข่ายแบบหลายสถานที่ซึ่งทหารเรียกว่าการรักษาความปลอดภัย "วงล้อม") บุคคลนี้จะต้องมีทักษะความปลอดภัยทางเทคนิคอย่างลึกซึ้ง
แต่ก่อนที่ CompTIA จะพัฒนาการรับรองใด ๆ เรามองหาการตรวจสอบความถูกต้องของอุตสาหกรรมสำหรับความต้องการในอุตสาหกรรมที่กว้างขึ้น ดังนั้นในหนึ่งในการสำรวจความปลอดภัยประจำปีของเราเราถามว่ามีความต้องการของอุตสาหกรรมสำหรับการรับรองความปลอดภัยขั้นสูงที่เป็นเรื่องทางเทคนิคหรือไม่ การตอบแบบสำรวจยืนยันว่าเราควรพัฒนาต่อไป
Techopedia: ไม่เน้นการแข่งขันของคุณ แต่ผู้เชี่ยวชาญหลายคนคุ้นเคยกับ CISSP CASP แตกต่างจากการรับรองอย่างไร
Carol Balkcom: มีผู้เชี่ยวชาญหลายเรื่องที่เกี่ยวข้องกับการพัฒนา CASP ซึ่งเป็น CISSP ด้วย ความตั้งใจไม่ได้พัฒนาการสอบเพื่อแข่งขันกับ CISSP แต่เพื่อให้การรับรองขั้นสูงที่เป็นเทคนิคในธรรมชาติ CISSP เป็นมาตรฐานทองคำมานานสำหรับมืออาชีพด้านความปลอดภัยที่กำหนดนโยบายและมีส่วนร่วมในการจัดการความปลอดภัย CASP มีวัตถุประสงค์เพื่อเป็นตัวอย่างในการวัดความสามารถของบุคคลในการดำเนินการและดำเนินการตามกลยุทธ์การลดความเสี่ยงรวมถึงการจำแนกประเภทข้อมูลในระดับของ CIA (การรักษาความลับความสมบูรณ์และความพร้อมใช้งาน) ตามองค์กรหรืออุตสาหกรรม ชนิดของการควบคุมความปลอดภัย
ความแตกต่างที่สำคัญอื่น ๆ ระหว่าง CISSP และ CASP ณ เวลานี้คือ CASP มีคำถามตามประสิทธิภาพที่ต้องตอบด้วยการทำงานในสถานการณ์ที่กำหนดโดยใช้แพลตฟอร์มซอฟต์แวร์ที่ต้องใช้ผู้สอบเพื่อทำ ตัวเลือกเฉพาะ การให้ความสำคัญกับความรู้ทางเทคนิคของงานและวิธีการดำเนินงาน
Techopedia: ที่องค์กรอย่าง CompTIA คุณต้องอยู่ในแนวโน้มอันดับต้น ๆ ในตลาดงานและสิ่งที่กำลังเป็นที่นิยมในด้านไอที คุณเคยเห็นความต้องการในพื้นที่นี้มากกว่าปีที่ผ่านมาหรือไม่?
Carol Balkcom: สิ่งนี้จะไม่ทำให้คุณประหลาดใจเลย แต่คำตอบคือใช่ ส่วนหนึ่งได้แรงหนุนจากรัฐบาลสหรัฐและความต้องการผู้รับเหมาของรัฐบาล (ซึ่งมีหลายคน) ที่จะได้รับการรับรองเพื่อให้ได้งานการรับรองด้านไอทีก็เพิ่มสูงขึ้น การใช้การรับรองของ บริษัท ในการว่าจ้างและโปรแกรมแรงจูงใจพนักงานยังคงแข็งแกร่ง ในที่สุดเราจะเห็นการเติบโตในภูมิภาคที่กำลังพัฒนาเช่นมาเลเซียตะวันออกกลางยุโรปและแอฟริกาเนื่องจากรัฐบาลให้เงินทุนสำหรับการฝึกอบรมและการรับรองเพื่อตอบสนองความต้องการทักษะไอทีที่เพิ่มขึ้น
Techopedia: คำถามเก่าคือคุณค่าของการรับรองเมื่อเทียบกับประสบการณ์ คุณชั่งน้ำหนักที่ไหน
Carol Balkcom: การรับรองเป็นตัวบ่งชี้ไม่ใช่ข้อพิสูจน์ความสามารถในการแสดง (แม้ว่าคำถามตามประสิทธิภาพใหม่ที่ฉันกล่าวถึงก่อนหน้านี้เป็นขั้นตอนที่ชัดเจนในการวัดทักษะจริง) การรับรองเป็นตัวบ่งชี้ว่ามีคนใช้เวลาและพยายามเรียนรู้สิ่งที่จำเป็นในการทำและผ่านการสอบ . แต่แน่นอนว่าประสบการณ์บนมือ - แม้ว่าประสบการณ์จะเป็นเพียงในห้องปฏิบัติการในระหว่างหลักสูตร - เป็นที่ต้องการมากกว่าการรับรองเพียงอย่างเดียวเสมอ
ต้องการที่จะเกี่ยวกับการรับรองไอที? ตรวจสอบส่วนงานด้านไอทีของ Techopedia
สำหรับข้อมูลเพิ่มเติมโดยตรงจาก CompTIA ดูที่หน้าอย่างเป็นทางการสำหรับ Security + และ CASP
