Путеводитель по карьере в кибербезопасности - Миллер Алисса - Страница 26

Несмотря на это, сертификат играет большую роль при поиске работы, особенно первой. В конце концов, большинство работодателей просят, а многие даже требуют его наличия по тому или иному направлению — это ли не веская причина его получить. С учетом всего кажется, что пройти сертификацию — очевидный первый шаг для начинающего специалиста. Однако не все так просто.

В огромном количестве доступных вариантов очень легко запутаться. Чтобы выбрать сертификат, недостаточно найти самое часто упоминаемое звание в описаниях должностей. Во многих программах сертификации есть требования к знаниям, опыту и имеющимся сертификатам. Следующая диаграмма[9] может дать вам некоторое представление о сложности выбора подходящего сертификата по кибербезопасности.

Рис. 5.1. На этой диаграмме перечислено множество распространенных сертификатов по кибербезопасности, актуальных на разных этапах карьерного роста

Выбрать сертификат гораздо сложнее, чем кажется, но этот выбор может стать важным шагом при поиске первой работы в сфере кибербезопасности. Поэтому имеет смысл рассмотреть наиболее распространенные сертификаты и понять, как они вписываются в общий процесс построения карьеры.

Прежде чем обсуждать конкретные сертификаты, давайте поговорим о целях программ и о том, почему их так много. Кибербезопасность и ее предшественница информационная безопасность не всегда были общепризнанными дисциплинами, какими считаются сейчас. Многих из доступных сегодня формальных обучающих программ просто не существовало. Даже теперь они часто не позволяют должным образом подготовить специалистов по кибербезопасности, поскольку все меняется слишком быстро, а спектр тем в этой области чрезвычайно широк.

Из-за недостатка формальных образовательных программ такие организации, как (ISC)2, ISACA и другие, стали искать способы формализовать знания, генерируемые ИБ-специалистами, и распространять их среди участников сообщества. В конце концов были разработаны программы сертификации, позволяющие профессионалам продемонстрировать свое владение предметом путем сдачи экзамена. Человек, набравший проходной балл, признается сертифицированным специалистом.

С развитием кибербезопасности возникало множество специализированных областей знания. Чтобы выделять профессионалов с опытом в этих областях, были учреждены дополнительные программы сертификации. Их разработали такие организации, как Ассоциация производителей вычислительной техники (CompTIA), SANS, Международный совет консультантов по электронной коммерции (EC–Council) и Offensive Security; их программы затрагивали не только специализированные темы, но и область общих знаний. В результате появился установленный способ оценки и подтверждения профессиональных навыков. Сертификаты превратились в инструмент, позволяющий рекрутерам и менеджерам по найму искать и оценивать потенциальных кандидатов.

Помимо этих организаций (многие из которых, будучи некоммерческими, имеют целью повысить уровень образования в области кибербезопасности) специальные программы сертификации учредили поставщики коммерческих средств защиты. Так, компания Cisco Systems предлагает множество сертификатов, подтверждающих умение не только профессионально обращаться с ее продуктами, но и использовать их в контексте конкретных дисциплин, например кибербезопасности. Некоторые из них перечислены на рис. 5.1.

По мере развития сферы кибербезопасности растет спрос на людей, обладающих подобными сертификатами, а также появляются образовательные программы и контент, призванные помочь профессионалам подготовиться к сдаче сертификационных экзаменов. Множество материалов и программ предоставляют сами сертифицирующие организации. Однако существуют и сторонние образовательные организации, построившие бизнес на помощи людям в подготовке к таким экзаменам. Материалы, курсы и программы, направленные на получение сертификатов по кибербезопасности, теперь все больше фокусируются не только на подготовке к экзамену, но и на отработке навыков, необходимых для его сдачи. Из-за такого смещения фокуса прохождение программ начали воспринимать как образовательный процесс, а не как возможность доказать владение навыками.

В результате многие профессионалы видят в программах сертификации основной способ приобрести новые умения. А значит — правильно это или нет, — что некоторые обладатели сертификатов не применяли их за пределами классной комнаты или лаборатории. Большинство представителей отрасли ситуацию охарактеризовали отрицательно: по их мнению, в таком случае ценность самой сертификации падает. В ответ на это некоторые сертифицирующие организации ввели требования к опыту работы. По многим сертификатам требуется ежегодно подтверждать прохождение программ непрерывного образования. Кое-где есть даже фиксированный порядок выдачи сертификатов, то есть профессионалу не дадут пройти сертификацию более высокого уровня, если у него нет сертификата предыдущего уровня.

Все это, разумеется, влияет на то, какую сертификационную программу стоит выбрать начинающему специалисту. Нередко в вакансиях требуется наличие сертификатов, которые невозможно получить без опыта. Такие должности, даже начального уровня, оказываются недосягаемы для соискателей-новичков. Подробнее об описаниях должностей, а также о способах выявить и решить эти проблемы мы поговорим в главе 6. А пока давайте рассмотрим некоторые сертификаты, которые наиболее часто встречаются в объявлениях о вакансиях.

Один из старейших и наиболее широко признанных сертификатов по информационной безопасности — CISSP (Certified Information Systems Security Professional, «Сертифицированный специалист по безопасности информационных систем»), выдаваемый (ISC)2 с 1994 года. Он фигурирует в объявлениях о вакансиях чаще всего. Изучив выборку объявлений на пяти крупнейших сайтах, посвященных поиску работы, я обнаружила, что более чем в 90 % из них упоминается CISSP как необходимая или предпочтительная квалификация соискателя. В некоторых прямо указывалось, что наличие этого сертификата обязательно, а большинство содержало фразу вроде «сертификат CISSP или эквивалент».

Итак, что же собой представляет программа сертификации CISSP? Эта широко признанная программа охватывает темы по следующим восьми дисциплинам или областям знания:

— управление безопасностью и рисками;

— безопасность активов;

— архитектура и проектирование систем безопасности;

— коммуникации и сетевая безопасность;

— управление идентификацией и доступом (IAM);

— оценка безопасности и тестирование;

— операции по обеспечению безопасности;

— безопасность разработки программного обеспечения.

Как видите, в программе сертификации CISSP есть несколько весьма масштабных тем, а потому этот сертификат актуален практически для любого специалиста по кибербезопасности. Однако сложность его получения не ограничивается необходимостью продемонстрировать обширные знания при сдаче экзамена. Человек также должен подтвердить пятилетний опыт работы как минимум в двух направлениях. Это служит залогом того, что сертифицированные специалисты не просто прошли интенсивный подготовительный курс, а способны применять знания и навыки в реальных ситуациях.

(ISC)2 прилагает большие усилия, чтобы гарантировать квалификацию обладателей ее сертификатов. Помимо соответствия основным условиям от специалистов она также требует, чтобы они подтверждали свое участие в программе непрерывного профессионального образования. Обладатели сертификатов CISSP должны пройти как минимум 120 часов обучения в рамках таких программ в течение трех лет, притом зарегистрировать их в (ISC)2. Так организация сможет проводить аудит, чтобы гарантировать их соответствие утвержденным стандартам.