Sikkerhedscertificering eller ej?

Jesper Stein Sandal citerer i artiklen Certificeringer: Fup eller nyttige' en amerikansk storagekonsulent for ordene: ' De fleste certificeringseksaminer, jeg har taget, viser ikke noget om, at du kan stoffet udover, hvad du kan lære udenad?.

Det er ganske givet rigtigt, at mange eksaminer til certificeringer, der ikke indebærer hands on, kan læres uden ad.

Alligevel sørger virksomheder tit sikkerhedskonsulenter, der er eller vil lade sig certificere. Det er god fornuft, fordi mange seriøse certificeringer fx også viser, at en ansøger har gjort en indsats og har en bestemt minimumsbaggrund. En CISSP har fx fire års erfaring inden for et af certificeringens 10 kerneområder, mindst 40 timers årlig uddannelse samt en anbefaling fra en CISSP eller en arbejdsgiver.

Det siger selvfølgelig ikke noget om, at vedkommende er den rigtige kandidat til jobbet, men det er da en mulighed for indledende screening. Men det eneste, der virkelig siger noget om en kandidats kompetence, er selvfølgelig hans erhvervserfaring.

Det sjove er så egentlig, at man stort set kun ser virksomheder annoncere efter certificeringer på ledelsesniveau som fx CISSP, CISA, CISM og ESL. Det kan godt være, at Daniel Miessler i sin gode guide til forskellige sikkerhedscertificeringer kalder CISSP for den 'ubestridte konge blandt sikkerhedscertificeringer', men hvorfor ser man aldrig virksomheder spørge efter fx GIAC GCFW (firewall og perimetersikkerhed), der jo er seriøst svær at tage. Det kan godt være at en CISSP er finere, men jeg må da indrømme, at jeg næsten hellere ville have en GIAC GCFW ? især hvis der var flere, som kendte til den.

Det helt centrale spørgsmål er selvfølgelig, hvilken certificering der er den rigtige for dig. PricewaterhouseCoopers Academy, der bl.a. udbyder en lang række seriøse sikkerhedskurser med tilhørende certificeringer, har lavet en god illustration, der meget tydeligt viser, hvad nogle af de forskellige certificeringer lægger vægt på.

Og hvis du vil have grundigere gennemgang, kan jeg kun anbefale Daniel Miesslers guide.

Med andre ord synes jeg, at sikkerhedscertificeringer kan bruges til noget, og det er ikke min erfaring, at de er spild af penge ? især ikke hvis du ser dig godt for og går efter det, som er vigtigt for dig.

Men hvad synes du selv?

Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jesper E. Siig

Jeg er sådan set enig med både Jesper og Jesper (aner man starten på en konspiration her? :-).

Dels er jeg ret skeptisk overfor de certificeringer, der udbydes af de forskellige produktleverandører. Dels pga. re-certificeringskravene, som kan gøre det ret omkostningstungt at vedligeholde sin certificering. Dels pga. den ret begrænsede værdi man kan lægge i dem - jo, de viser, at man kan forberede sig i et stof godt nok til at man kan bestå en eksamen, men hvad kan man udlede udover det?

Jeg blev selv i sin tid, som én af de første i Danmark, CA Certified Unicenter Engineer, og var da også ganske habil udi det felt. Men den primære grund til at jeg tog certifikatet, var at det så godt ud på CV’et, når jeg optrådte som Unicenter underviser, eller som projektleder for de ’rigtige’ specialister, som til gengæld ikke nødvendigvis brugte til på certificeringer og den slags.

Så synes jeg til gengæld, at der er meget desto mere værdi i de certificeringer, der udbydes af forskellige faglige organisationer, som (ISC)² eller ISACA. Dels pga. de krav om dokumenteret professionel erfaring, dels skal opfyldes. Dels fordi det er produkt-uafhængige organisationer, der står for opstilling af krav, som derfor i sagens natur bliver meget mere alment relevante.

Tak i øvrigt for linket til Daniel Miesslers artikel , det glæder mig især, at han sætter CISA’en over CISSP’en i sværhedsgrad og respekt – så må man jo leve med, at den ikke er så kendt :-).

Mvh,
Jesper (BSc, MBA, CISA, CUA, CUE :-)

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize