對(duì)于廣大安全專家來說,現(xiàn)在如果能夠深入掌握非安全類別的專業(yè)技能并通過認(rèn)證測(cè)試獲取到相應(yīng)資格的話,就可以在應(yīng)對(duì)不斷變化的網(wǎng)絡(luò)威脅環(huán)境時(shí)提供有力支持。此外,由于在行業(yè)內(nèi)基本安全認(rèn)證已經(jīng)成為人手必備的大眾化技能,這些認(rèn)證還能夠幫助擁有者通過展現(xiàn)自身特色而達(dá)到脫穎而出的目標(biāo)。
按照沃奇衛(wèi)士技術(shù)公司亞太區(qū)副總裁斯科特·羅伯遜的觀點(diǎn),如果技術(shù)人員連最新木馬的具體活動(dòng)模式以及垃圾郵件發(fā)送者使用的新型社會(huì)化工程技術(shù)之類最基礎(chǔ)的常識(shí)都無法掌握,就意味著標(biāo)準(zhǔn)認(rèn)證什么也代表不了。
羅伯遜指出,對(duì)于日常信息安全環(huán)境來說,面臨的現(xiàn)實(shí)狀況就是各種新威脅總處于不斷發(fā)展變化之中,每個(gè)星期都會(huì)產(chǎn)生并發(fā)展出新類型的黑客入侵以及攻擊方式來。他還進(jìn)一步解釋說,由于針對(duì)網(wǎng)絡(luò)發(fā)起來自遙遠(yuǎn)外部的各種滲透攻擊行為正日益呈現(xiàn)出持久化的趨勢(shì),因此,公司不應(yīng)該繼續(xù)將對(duì)面臨的所有安全威脅進(jìn)行全面管理看著為一種只需要考慮自身情況的簡(jiǎn)易項(xiàng)目。
格林阿莫安全公司首席執(zhí)行官約瑟夫·斯坦伯格也支持這一觀點(diǎn),確信來自其它類別的專業(yè)認(rèn)證確實(shí)可以為信息安全工作帶來非常有力的支持。按照他的觀點(diǎn),如果有人希望從事信息安全管理領(lǐng)域相關(guān)工作,或者尋找涉及到信息安全方面業(yè)務(wù)機(jī)會(huì)的話,管理以及商業(yè)等類別的認(rèn)證就具有相當(dāng)高的實(shí)用價(jià)值。
他還補(bǔ)充說,在某些情況下,安全認(rèn)證也需要利用非安全類別認(rèn)證來作為進(jìn)入的前提條件。對(duì)此,斯坦伯格作出了詳細(xì)的說明:如果被認(rèn)證者沒有獲得思科認(rèn)證網(wǎng)絡(luò)支持工程師(CCNA)基礎(chǔ)認(rèn)證,表明自己已經(jīng)掌握思科網(wǎng)絡(luò)技術(shù)方面專業(yè)技能的話,就不可能獲得安全領(lǐng)域的相關(guān)認(rèn)證。
按照羅伯遜的觀點(diǎn),除了基本技能之外,信息安全專業(yè)人員還需要掌握應(yīng)用程序、協(xié)議、網(wǎng)絡(luò)、用戶行為以及業(yè)務(wù)本身等類別的專業(yè)知識(shí),而這其中的很多內(nèi)容都超出了信息安全認(rèn)證會(huì)涉及到的具體范圍。
接下來,斯坦伯格還利用具體案例進(jìn)行了補(bǔ)充說明。如果技術(shù)人員對(duì)于人際網(wǎng)絡(luò)的情況毫無認(rèn)識(shí),就絕對(duì)不可能成為“身份認(rèn)證系統(tǒng)部署領(lǐng)域的頂尖專家”。并且,他還指出,如果員工被提升到更高級(jí)崗位上的話,所承擔(dān)的職責(zé)幾乎肯定就會(huì)上升到需要負(fù)責(zé)多方面安全性的程度,而這就需要與具備不同專業(yè)知識(shí)的各類人員進(jìn)行全面協(xié)調(diào)與溝通合作。
斯坦伯格進(jìn)一步補(bǔ)充說,如果用戶選擇將關(guān)注重點(diǎn)放在與專業(yè)認(rèn)證相關(guān)的技能之上,也可以讓自己變成為特定領(lǐng)域的安全專家。當(dāng)然,他還利用具體案例進(jìn)行了解釋說明:信息系統(tǒng)安全管理專家(ISSMP)就屬于信息系統(tǒng)安全認(rèn)證專家的附加“專業(yè)”認(rèn)證。它表明獲得認(rèn)證的人不僅在信息安全方面擁有非常豐富的專業(yè)知識(shí),而且還具備了信息安全管理及相關(guān)領(lǐng)域內(nèi)的出色技能。
全面認(rèn)證依然屬于極為重要的基礎(chǔ)項(xiàng)目
按照斯坦伯格的觀點(diǎn),對(duì)于信息安全專業(yè)人員來說,信息系統(tǒng)安全管理專家(ISSMP)之類的全面安全認(rèn)證依然屬于擁有額外價(jià)值的項(xiàng)目,能夠讓潛在雇主對(duì)自身在該領(lǐng)域內(nèi)擁有的專業(yè)知識(shí)以及經(jīng)驗(yàn)情況有著比較客觀的基礎(chǔ)認(rèn)識(shí)。他還補(bǔ)充說,對(duì)于希望申請(qǐng)自己公司信息安全方面職位的人來說,這些認(rèn)證就屬于最基本的入門磚。
作為維護(hù)以及管理CISSP認(rèn)證項(xiàng)目的專業(yè)組織,國際信息系統(tǒng)安全認(rèn)證協(xié)會(huì)(ISC2)在接受ZDNet的采訪時(shí)聲稱會(huì)對(duì)安全認(rèn)證所涉及到的具體內(nèi)容進(jìn)行定期更新。按照ISC2負(fù)責(zé)CISSP項(xiàng)目的主席弗雷迪·譚的說法,由于該協(xié)會(huì)的八萬名成員都在安全行業(yè)內(nèi)工作,可以對(duì)整個(gè)過程進(jìn)行全面審視,因此對(duì)于認(rèn)證測(cè)試中應(yīng)當(dāng)包含什么具體項(xiàng)目,以及哪些技能屬于非常重要的類型之類的實(shí)際問題有著充分的認(rèn)識(shí)。
斯坦伯格指出,由于擁有基礎(chǔ)安全認(rèn)證資格的人員數(shù)目出現(xiàn)了“非常顯著”的增長(zhǎng),從而導(dǎo)致全面以及專業(yè)認(rèn)證可以帶來的獨(dú)特價(jià)值優(yōu)勢(shì)有所下降。他還進(jìn)一步解釋說,這導(dǎo)致人們對(duì)認(rèn)證價(jià)值的期望下降到了最低程度,并變得對(duì)安全專業(yè)人員的專業(yè)知識(shí)以及實(shí)際經(jīng)驗(yàn)情況更為重視。
按照斯坦伯格的觀點(diǎn),既然認(rèn)證可以為人們實(shí)際具備的知識(shí)技能情況提供“擔(dān)保”,因此擁有特定技術(shù)方面經(jīng)驗(yàn)或者掌握某種安全技術(shù)的人就應(yīng)該盡力獲取相應(yīng)的認(rèn)證資格。
他還指出:“這就可以為潛在雇主提供足夠的保證,確保簡(jiǎn)歷上列出來的多年豐富經(jīng)驗(yàn)已經(jīng)轉(zhuǎn)換為非常有價(jià)值可以重復(fù)利用的專業(yè)技能”。
