luultavasti kukaan ei ollut yllättyneempi kuin International Information Systems Security Certifications Consortium, (ISC)2: n johto, kun 16-vuotias Intialainen lukiolainen Namit Merchant otti ja läpäisi tiukan Certified Information Security Systems Professional (CISSP)-kokeen viime vuonna.
jo ennen kauppiaan tenttiin istumista (ISC) 2 oli pohjustanut alan tunnetuimman ammattipätevyyden vaatimusten tiukentamista. Tehokas tammikuu 2003, CISSP hakijat tarvitsevat neljän vuoden tutkinto tai neljän vuoden työkokemus, joka on huomattavasti tiukempi kuin nykyinen kolmen vuoden kokemus edellytys.
muutos on askel oikeaan suuntaan. Jos CISSP on edelleen standard-bearer of security certifications, sitten (ISC) 2 on asianmukaisesti poliisin hakijoiden varmistaa, että vain pätevin saavuttaa tämän merkin huippuosaamista. Vähintäänkin uusien vaatimusten pitäisi vähentää todennäköisyyttä, että (ISC)2 sertifioi enää yhtään teini-ikäistä. (Tämä on hyvä uutinen Merchant, koska se todennäköisesti tarkoittaa hän pitää otsikko nuorin CISSP pitkään.)
ongelmana on ,että (ISC)2: lla ei ole tarvittavaa infrastruktuuria jokaisen hakijan ammatti-tai koulutushistorian tarkistamiseen, mikä tarkoittaa, että jotkut vähemmän tunnolliset ehdokkaat todennäköisesti livahtavat halkeamien läpi.
ei oleteta, että kaikki varmistuksen laiminlyönnit olisivat haitallisia. Nykyiset CISSP sertifiointivaatimukset ovat: (1)hyväksyä (ISC) 2 eettiset säännöt, (2) läpäistä kokeen ja (3) on kolmen vuoden suora turvallisuus kokemus yhdellä tai useammalla 10 aloilla. Kaksi ensimmäistä vaatimusta on helppo hallita . pyydä kokelasta allekirjoittamaan eettinen lupaus ja tekemään testi. Pätevyyden tarkistaminen on kuitenkin merkittävä tehtävä.
täydellinen varmistus on tehty aiemmin. Ennen oli CISSP tentti, (ISC)2 myönnetty sertifikaatit ammattilaisille sen ”grandfathering” ohjelma perustuu yksinomaan heidän kokemuksensa. Nämä grandfathered ammattilaiset olivat niitä, jotka loivat alkuperäisen Common Body of Knowledge (CBK) ja ensimmäinen CISSP tutkimus. Koska vain pieni joukko ihmisiä oli isovanhempia, vapaaehtoisista koostuva komitea pystyi hoitamaan työtaakan.
mutta tuhansia hakijoita ympäri maailmaa joka vuosi, yksi komitea ei ilmeisesti voi tarkistaa tuhansia CISSP hakemuksia (ISC) 2 saa vuosittain. Tällä hetkellä sovellus, todentaminen, testin aikataulutus ja uudelleensertifiointi prosessit ovat sopimus (ISC)2 Services, sivuliike Scholder Measurement Technologies (SMT), testausyritys, joka ylläpitää ja pisteet CISSP ja Systems Security Certified Practorer (SSCP) tentit. Scholder ei ole vastuussa tarkastuksista.
monumentaalinen todentamisongelma ei tarkoita ,että (ISC) 2: n pitäisi luopua korkeista standardeistaan. Sen sijaan, se olisi omaksuttava muita täydentäviä tarkastuksia, jotka parantavat sen kykyä tarkistaa CISSP ehdokkaiden pätevyys.
pistotarkastus on yksi mahdollinen tapa tasapainottaa todentamisen kustannuksia ja vaatimuksia, mutta se ei ole ihanteellinen. Tilintarkastajat voivat löytää satunnaisesti kaunistelua hakijoiden, mutta on silti suuri todennäköisyys, että monet epäpätevä ihmiset välttyvät seulonta.
sponsorointi on käytännön todentamismenetelmä, joka vaatii (ISC)2: n puolelta minimaalista vaivaa. Jokainen CISSP on noudatettava eettisiä sääntöjä, joten (ISC) 2 voi vähentää joitakin taakkaa tarkastusten hakijoiden ottaa CISSPs validoida ehdokkaan kelpoisuus. On epätodennäköistä, että hyvässä asemassa oleva jäsen menettää luottotietonsa sponsoroimalla epäpätevää hakijaa. Sitä paitsi, se on paljon helpompi etsiä olemassa CISSP kuin se on tarkistaa hakijan koulutuksen ja työhistorian.
myös kokemuksen raportointitavan muuttaminen voi auttaa. Nykyinen CISSP hakulomake ei pyydä työllisyystietoja, mutta on vailla yhteystietoja tarpeen taustatarkastuksia. Toimenkuvan ja todentamiskontaktien, vuosien kokemuksen ja turvallisuustyön prosenttiosuuden kerääminen auttaisi hakijoita arvioimaan ”suoraa työkokemustaan” ja helpottaisi todentamista. Toimenkuvia ja prosenttilukuja voidaan verrata alan normeihin ja yhteystietoja voidaan käyttää kunkin listatun toimen tietoturvakomponentin tarkistamiseen.
nämä toimenpiteet eivät ole täydellisiä, mutta ne voisivat parantaa tarkastusprosessia ja vähentää niiden sovellusten määrää, jotka (ISC)2: n olisi todennettava. Järjestön pyrkimys ylläpitää ja parantaa arvoa CISSP on varmasti kiitettävää. Toivottavasti (ISC) 2 seuraa tiukempia vaatimuksiaan entistä lopullisemmilla todentamiskäytännöillä.
tekijästä: William Stackpole, CISSP, on aktiivinen (ISC) 2 vapaaehtoinen ja entinen puheenjohtaja ja nykyinen jäsen CISSP Test Development Committee.