Wahrscheinlich war niemand mehr überrascht als das Management des International Information Systems Security Certifications Consortium (ISC)2, als der 16-jährige indische Gymnasiast Namit Merchant letztes Jahr die strenge Prüfung zum Certified Information Security Systems Professional (CISSP) ablegte und bestand.
Noch bevor Merchant sich für die Prüfung anmeldete, hatte (ISC)2 die Voraussetzungen für die Verschärfung der Anforderungen an den bekanntesten Berufsnachweis der Branche geschaffen. Ab Januar 2003 benötigen CISSP-Bewerber einen vierjährigen Abschluss oder vier Jahre Berufserfahrung, was deutlich strenger ist als die derzeitige dreijährige Erfahrungsvoraussetzung.
Die Änderung ist ein Schritt in die richtige Richtung. Wenn das CISSP der Standardträger von Sicherheitszertifizierungen bleiben soll, muss (ISC) 2 die Antragsteller ordnungsgemäß überwachen, um sicherzustellen, dass nur die qualifiziertesten dieses Exzellenzzeichen erreichen. Zumindest sollten die neuen Anforderungen die Wahrscheinlichkeit verringern, dass (ISC) 2 weitere Jugendliche zertifiziert. (Dies ist eine gute Nachricht für Merchant, da es wahrscheinlich bedeuten wird, dass er den Titel des jüngsten CISSP für eine lange Zeit halten wird.)
Das Problem ist, dass (ISC) 2 nicht über die Infrastruktur verfügt, um die berufliche oder pädagogische Vorgeschichte jedes Bewerbers zu überprüfen, was bedeutet, dass einige weniger gewissenhafte Kandidaten wahrscheinlich durch die Ritzen rutschen werden.
Gehen wir nicht davon aus, dass alle Überprüfungsfehler böswillig sind. Die bestehenden CISSP-Zertifizierungsanforderungen sind: (1) Stimmen Sie dem (ISC) 2-Ethikkodex zu, (2) bestehen Sie die Prüfung und (3) verfügen Sie über drei Jahre direkte Sicherheitserfahrung in einer oder mehreren der 10-Domänen. Die ersten beiden Anforderungen sind einfach zu verwalten – lassen Sie den Kandidaten den Code of Ethics Pledge unterzeichnen und den Test ablegen. Die Überprüfung der Qualifikationen ist jedoch ein bedeutendes Unterfangen.
Die vollständige Überprüfung wurde in der Vergangenheit durchgeführt. Bevor es eine CISSP-Prüfung gab, gewährte (ISC) 2 Fachleuten im Rahmen ihres „Grandfathering“ -Programms Zertifizierungen, die ausschließlich auf ihrer Erfahrung beruhten. Diese Großväter waren diejenigen, die den ursprünglichen Common Body of Knowledge (CBK) und die erste CISSP-Prüfung schufen. Da nur eine kleine Anzahl von Menschen Großvater war, konnte ein Komitee von Freiwilligen die Arbeitsbelastung bewältigen.
Aber mit Tausenden von Bewerbern aus der ganzen Welt jedes Jahr kann ein einzelnes Komitee offensichtlich nicht die Tausenden von CISSP-Anträgen (ISC) 2 überprüfen, die jedes Jahr eingehen. Derzeit werden die Anwendungs-, Verifizierungs-, Testplanungs- und Rezertifizierungsprozesse an (ISC) 2 Services vergeben, eine Niederlassung von Scholder Measurement Technologies (SMT), dem Testunternehmen, das die CISSP- und Systems Security Certified Practioner (SSCP) -Prüfungen durchführt und bewertet. Scholder ist jedoch nicht für Überprüfungen verantwortlich.
Das monumentale Verifikationsproblem bedeutet nicht, dass (ISC)2 seine hohen Standards aufgeben sollte. Stattdessen sollte es andere ergänzende Kontrollen einführen, die seine Fähigkeit verbessern, die Qualifikationen von CISSP-Kandidaten zu überprüfen.
Stichprobenprüfung ist eine Möglichkeit, die Kosten und Anforderungen der Überprüfung auszugleichen, aber es ist nicht ideal. Auditoren können gelegentliche Verschönerungen durch Bewerber feststellen, aber es besteht immer noch eine hohe Wahrscheinlichkeit, dass viele unqualifizierte Personen dem Screening entgehen.
Sponsoring ist eine praktische Verifizierungsmethode, die minimalen Aufwand auf (ISC)2s Seite erfordert. Jeder CISSP ist verpflichtet, sich an den Ethikkodex zu halten, so dass (ISC) 2 einen Teil der Belastung durch die Überprüfung von Bewerbern reduzieren kann, indem CISSPs die Eignung eines Bewerbers validieren. Es ist unwahrscheinlich, dass ein Mitglied mit gutem Ruf riskiert, seine Anmeldeinformationen zu verlieren, indem es einen unqualifizierten Bewerber sponsert. Außerdem ist es viel einfacher, ein bestehendes CISSP nachzuschlagen, als die Ausbildung und den Arbeitsverlauf eines Bewerbers zu überprüfen.
Das Ändern der Art und Weise, wie Erfahrungen gemeldet werden, kann ebenfalls hilfreich sein. Das aktuelle CISSP-Antragsformular fordert Beschäftigungsinformationen an, enthält jedoch keine Kontaktinformationen, die für Hintergrundprüfungen erforderlich sind. Das Sammeln von Stellenbeschreibungs- und Überprüfungskontakten, die Anzahl der Jahre Erfahrung und der Prozentsatz der durchgeführten Sicherheitsarbeiten würden den Kandidaten helfen, ihre „direkte Arbeit“ richtig einzuschätzen und die Überprüfung zu erleichtern. Stellenbeschreibungen und Prozentsätze können mit Branchennormen verglichen werden, und Kontaktinformationen können verwendet werden, um die Sicherheitskomponente jeder aufgelisteten Position zu überprüfen.
Diese Maßnahmen sind nicht perfekt, aber sie könnten den Überprüfungsprozess verbessern und die Anzahl der Anwendungen reduzieren, die (ISC) 2 überprüfen müsste. Die Bemühungen der Organisation, den Wert des CISSP aufrechtzuerhalten und zu steigern, sind sicherlich lobenswert. Hoffentlich wird (ISC) 2 seinen strengeren Anforderungen mit noch definitiveren Verifizierungspraktiken folgen.
Über den Autor: William Stackpole, CISSP, ist ein aktiver (ISC)2-Freiwilliger und ehemaliger Vorsitzender und aktuelles Mitglied des CISSP Test Development Committee.