Domanda:
Certificazioni professionali per la sicurezza informatica
Eric Warriner
2010-11-12 05:45:53 UTC
view on stackexchange narkive permalink

Quali credenziali del sottoelenco delle certificazioni IT (secondo l ' Information Systems Security Association) sarebbero considerate DEVE AVERE per uno specialista della sicurezza IT?

  • Hacker etico certificato CEH
  • Professionista della privacy delle informazioni certificato CIPP
  • Responsabile della sicurezza delle informazioni certificato CISM
  • Professionista della sicurezza dei sistemi informativi certificato CISSP
  • Certificazione GIAC Global Information Assurance
  • LPT Licensed Penetration Tester
  • Certificazione AHC Anti-Hacking
  • Certificazione AISC Advanced Information Security
  • CHFI Computer Hacking Forensic Investigator
  • CPP Certified Protection Professional
  • Certificazione SSEC Software Security Engineering
Cinque risposte:
#1
+30
AviD
2010-11-12 05:52:02 UTC
view on stackexchange narkive permalink

Nessuno.
In generale, le certificazioni nel campo della sicurezza, proprio come la maggior parte delle altre aree tecnologiche, sono richieste solo per posizioni di livello base (quando non si ha esperienza di cui parlare), posizioni senior (quando è necessario il firma lunga) e lavori governativi (quando devi rispondere a una RFP per lavorare lì).
Di per sé, nessuno di questi è un sostituto della buona esperienza e conoscenza.

Detto questo, questi sono quelli che ottengono più "rispetto" (che conosco):

  • CISSP
  • CISM
  • GIAC
  • CEH per un pentestre giovanile

Anche OWASP dovrebbe uscire presto con il proprio certificato, che probabilmente sarebbe abbastanza rispettabile ...

#2
+11
Rory McCune
2010-11-12 16:28:57 UTC
view on stackexchange narkive permalink

Sono d'accordo con @AviD che non ci sono davvero certificazioni obbligatorie in materia di sicurezza. Detto questo CISSP / CISM può essere molto utile nel processo di assunzione per superare lo screening Agenzia / Risorse umane.

Un paio di altri che non ho visto menzionati finora per il lato dei test di penetrazione delle cose

  • OSCP - Non l'ho preso ma da quello che ho letto sembra abbastanza buono
  • CREST - Specifico per il Regno Unito, ma un buon voto per i tester, in quanto l'esame è piuttosto rigoroso e ha una forte componente pratica, quindi non si basa solo su risposte scritte.
#3
+8
Rory Alsop
2010-12-08 03:23:21 UTC
view on stackexchange narkive permalink

Per un professionista esperto della sicurezza delle informazioni, la credenziale generale nel Regno Unito è l'appartenenza a pieno titolo all ' Institute of Information Security Professionals, che si trova in uno spazio leggermente diverso da quelli sopra elencati, così com'è non si basa su un particolare esame di specializzazione come CISSP o CISM, invece si basa sulle competenze in tutto il campo, l'accreditamento e il colloquio da parte di una giuria.

Ci sono iscrizioni e affiliazioni junior, ma l'obiettivo dell'Istituto L'abbonamento a pieno titolo rappresenta professionisti esperti e qualificati in questo campo, e in un CV si colloca in una posizione elevata.

(avvertimento: sono un membro a pieno titolo, intervistatore, accreditatore e presidente della filiale scozzese, ma anche CISSP e CISM e il posizionamento di questi funziona per me nel migliorare il settore nel suo complesso)

Ottime informazioni di base @Rory, grazie. Sembra più un abbonamento professionale. Sono entrato a far parte della [NZ Computer Society] (http://www.nzcs.org.nz/) per ragioni di professionalità simili.
#4
+7
jth
2011-05-13 02:26:57 UTC
view on stackexchange narkive permalink

Primo, GIAC non è una certificazione; è un ente di certificazione strettamente legato al SANS. GIAC produce dozzine di certificati diversi e sono generalmente ben considerati. Secondo, dipende da quello che stai cercando. Ad esempio, se stai cercando informazioni generali, il CISSP è considerato lo standard, anche se la certificazione in sé non va lontano per convalidare le conoscenze o le capacità effettive: copre la sicurezza "larga un miglio e profonda un pollice". Ma il CISSP richiede cinque anni di esperienza in materia di sicurezza delle informazioni. Ho visto alcune persone con un CISSP che ha mentito, violando il codice etico a cui ti vincolano. Questo da solo dovrebbe dirti qualcosa su quell'individuo. Un'altra certificazione generale è GIAC Security Essentials (GSEC).

Se stai cercando test di penetrazione o risposta agli incidenti, GIAC Certified Incident Handler (GCIH) è una buona scelta. Se stai cercando informatica forense, il GIAC Certified Forensic Analyst (GCFA) è migliore.

Ora, l'altro "dipende" riguarda più se stai cercando arricchimento e opportunità di carriera per te stesso , quindi avere qualsiasi aiuto, soprattutto perché ti consente di espandere le tue conoscenze ed esperienze. Il vantaggio è che aiuta a mostrare quell'iniziativa sul tuo curriculum. Se stai cercando certificazioni per un neoassunto, ricorda che alcune di queste certificazioni sono banalmente facili da ottenere.

"Ho visto alcune persone con un CISSP che ha mentito": Puoi fornire alcuni dettagli su come intendi questo? Ad esempio, ha mentito sulla loro esperienza lavorativa prima di ottenere il certificato o ha mentito per qualcos'altro dopo e cos'è stato? Solo curioso!
@john, dal contesto sembra che intendesse il primo - cioè ha affermato anni di esperienza che non avevano, e quindi ha ricevuto il certificato a cui non avevano diritto.
@AviD Per i posteri, so che (ISC) 2 esegue audit in loco dei titolari di CISSP per verificare che soddisfino i requisiti e revocherà se giustificato. Quindi non solo una violazione dell'etica, ma anche rischiosa.
@Scott, sì, è vero, ma è ancora relativamente raro. Ancora rischioso, però ...
@AviD Non posso essere in disaccordo, sembra un po 'una minaccia vuota. A quanto mi risulta, la loro percentuale di audit è straordinariamente bassa.
Sì john, AviD ha ragione. Scott Sì, le possibilità sono basse e non sarebbe poi così difficile falsificare. (Sono stato effettivamente verificato, sia per quanto riguarda l'esperienza che per quanto riguarda i CPE.)
#5
+3
Henri
2010-11-12 17:52:35 UTC
view on stackexchange narkive permalink

Ovviamente, dipende dal campo in cui intendi lavorare. Nel mio settore di attività, la consulenza, devi essere in grado di mostrare le tue conoscenze in modo che un cliente possa vedere la tua esperienza. Tuttavia, se lavori in un'azienda tecnologica ei tuoi clienti non vedono quali tecnici stanno lavorando al progetto, non devi preoccuparti più di tanto e quindi sono d'accordo con @AviD. Ad ogni modo, se ne hai la possibilità dovresti sempre ottenere le certificazioni poiché puoi provare la tua conoscenza ed esperienza in modo "oggettivo".

Nota anche che, ad esempio, CISSP richiede un periodo minimo di 3 anni (o 5, non ricordare) di esperienza prima di poter avere il titolo. Quindi avere un titolo CISSP mostra sempre oltre alla conoscenza anche l'esperienza al mondo esterno.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...