sandsynligvis var ingen mere overrasket end ledelsen af International Information Systems Security Certifications Consortium (ISC)2, da den 16-årige indiske gymnasieelever Namit Merchant tog og bestod den strenge Certified Information Security Systems Professional (CISSP) eksamen sidste år.
allerede før Merchant sad til eksamen, havde (ISC)2 lagt grunden til at stramme kravene til branchens mest kendte professionelle legitimationsoplysninger. Med virkning fra januar 2003 vil CISSP-ansøgere have brug for en fireårig grad eller fire års erhvervserfaring, hvilket er betydeligt strengere end den nuværende forudsætning for tre års erfaring.
ændringen er et skridt i den rigtige retning. Hvis CISSP skal forblive standardbærer af sikkerhedscertificeringer, skal (ISC)2 ordentligt politi ansøgere for at sikre, at kun de mest kvalificerede opnår dette kvalitetsmærke. I det mindste bør de nye krav reducere sandsynligheden for, at (ISC)2 vil certificere flere teenagere. (Dette er gode nyheder for Merchant, da det sandsynligvis vil betyde, at han vil holde titlen som yngste CISSP i lang tid.)
problemet er, at (ISC)2 ikke har den nødvendige infrastruktur til at verificere hver ansøgers faglige eller uddannelsesmæssige historie, hvilket betyder, at nogle mindre omhyggelige kandidater sandsynligvis vil glide gennem revnerne.
lad os ikke antage, at alle verifikationsoversigter vil være ondsindede. De eksisterende CISSP-certificeringskrav er: (1)accepterer (ISC) 2 etiske kodeks, (2) bestå eksamen og (3) har tre års direkte sikkerhedserfaring inden for et eller flere af de 10 domæner. De to første krav er enkle at håndtere-få kandidaten til at underskrive etiske kodeks og tage testen. Men verifikation af kvalifikationer er en betydelig virksomhed.
fuld verifikation er blevet udført i fortiden. Før der var en CISSP eksamen, (ISC)2 tildelt certificeringer til fagfolk under sin “grandfathering” program udelukkende baseret på deres erfaring. Disse bedstefarede fagfolk var dem, der skabte den oprindelige fælles viden (CBK) og den første CISSP-undersøgelse. Da kun et lille antal mennesker var bedstefar, var et udvalg af frivillige i stand til at håndtere arbejdsbyrden.
men med tusindvis af ansøgere fra hele verden hvert år kan et enkelt udvalg naturligvis ikke verificere de tusindvis af CISSP-ansøgninger (ISC)2 modtager hvert år. I øjeblikket kontraheres applikations -, verifikations -, testplanlægnings-og recertificeringsprocesserne til (ISC)2 Services, en filial af Scholder Measurement Technologies (SMT), testfirmaet, der vedligeholder og scorer CISSP og Systems Security Certified Practioner (SSCP) eksamener. Men Scholder er ikke ansvarlig for at udføre verifikationer.
det monumentale verifikationsproblem betyder ikke, at (ISC)2 skal opgive sine høje standarder. I stedet bør det omfatte andre supplerende kontroller, der vil forbedre dets evne til at verificere CISSP-kandidaters kvalifikationer.
Spot-kontrol er en mulig måde at afbalancere omkostningerne og kravene til verifikation, men det er ikke ideelt. Revisorer kan finde lejlighedsvis udsmykning af ansøgere, men der er stadig stor sandsynlighed for, at mange ukvalificerede mennesker vil undslippe screening.
sponsorering er en praktisk verifikationsmetode, der kræver minimal indsats på (ISC)2 ‘ s del. Hver CISSP er forpligtet til at overholde etiske regler, så (ISC)2 kan reducere en del af byrden ved at undersøge ansøgere ved at få CISSP ‘ er til at validere en kandidats berettigelse. Det er usandsynligt, at et medlem med god status risikerer at miste sin legitimation ved at sponsorere en ukvalificeret ansøger. Desuden er det meget lettere at slå en eksisterende CISSP op, end det er at verificere en ansøgers uddannelse og arbejdshistorie.
ændring af den måde, oplevelsen rapporteres på, kan også hjælpe. Den nuværende CISSP ansøgningsskema anmoder om ansættelsesoplysninger, men er blottet for de kontaktoplysninger, der er nødvendige for baggrundskontrol. Indsamling af jobbeskrivelse og verifikationskontakter, antal års erfaring og procentdelen af udført sikkerhedsarbejde vil hjælpe kandidater med at vurdere deres “direkte arbejde” – erfaring korrekt og lette verifikation. Jobbeskrivelser og procenter kan sammenlignes med branchens normer, og kontaktoplysninger kan bruges til at verificere sikkerhedskomponenten i hver listet position.
disse foranstaltninger er ikke perfekte, men de kan forbedre kontrolprocessen og reducere antallet af applikationer, som (ISC)2 skulle verificere. Organisationens indsats for at opretholde og forbedre værdien af CISSP er bestemt prisværdigt. Forhåbentlig vil (ISC)2 følge op på sine strengere krav med endnu mere endelig verifikationspraksis.
om forfatteren: Vilhelm Stackpole, CISSP, er en aktiv (ISC)2 frivillig og en tidligere formand og nuværende medlem af CISSP Test Development Committee.