Probabilmente nessuno è stato più sorpreso della gestione dell’International Information Systems Security Certifications Consortium, (IS)2, quando Namit Merchant, studente indiano di 16 anni, ha sostenuto e superato l’esame rigoroso Certified Information Security Systems Professional (CISSP) l’anno scorso.
Anche prima che Merchant si sedesse per l’esame, (IS)2 aveva gettato le basi per stringere i requisiti per le credenziali professionali più note del settore. A partire dal gennaio 2003, i candidati del CISSP avranno bisogno di una laurea quadriennale o di quattro anni di esperienza lavorativa, che è significativamente più severa dell’attuale prerequisito di esperienza triennale.
Il cambiamento è un passo nella giusta direzione. Se il CISSP deve rimanere il portabandiera delle certificazioni di sicurezza, allora (IS)2 deve sorvegliare adeguatamente i candidati per garantire che solo i più qualificati raggiungano questo marchio di eccellenza. Per lo meno, i nuovi requisiti dovrebbero ridurre la probabilità che (IS)2 certifichi altri adolescenti. (Questa è una buona notizia per Merchant, dal momento che probabilmente significherà che terrà il titolo di più giovane CISSP per molto tempo.)
Il problema è che (IS) 2 non ha l’infrastruttura necessaria per verificare la storia professionale o educativa di ogni candidato, il che significa che alcuni candidati meno scrupolosi probabilmente scivoleranno attraverso le fessure.
Non presumiamo che tutte le sviste di verifica saranno dannose. I requisiti di certificazione CISSP esistenti sono: (1)accettare il Codice Etico (IS) 2, (2) superare l’esame e (3) avere tre anni di esperienza di sicurezza diretta in uno o più dei 10 domini. I primi due requisiti sono semplici da gestire-hanno il candidato firmare il Codice Etico impegno e fare il test. Ma verificare le qualifiche è un’impresa significativa.
La verifica completa è stata fatta in passato. Prima che ci fosse un esame CISSP, (IS)2 ha concesso certificazioni ai professionisti nell’ambito del suo programma “grandfathering” basato esclusivamente sulla loro esperienza. Quei professionisti grandfathered sono stati quelli che hanno creato l’originale Common Body of Knowledge (CBK) e il primo esame CISSP. Dal momento che solo un piccolo numero di persone erano grandfathered, un comitato di volontari sono stati in grado di gestire il carico di lavoro.
Ma con migliaia di candidati da tutto il mondo ogni anno, un singolo comitato ovviamente non può verificare le migliaia di applicazioni CISSP (IS)2 riceve ogni anno. Attualmente, i processi di applicazione, verifica, pianificazione dei test e ricertificazione sono appaltati a (Services)2 Services, un ramo di Scholder Measurement Technologies (SMT), la società di test che mantiene e segna gli esami CISSP e Systems Security Certified Practioner (SSCP). Ma Scholder non è responsabile delle verifiche.
Il problema di verifica monumentale non significa che (IS)2 dovrebbe abbandonare i suoi standard elevati. Invece, dovrebbe abbracciare altri controlli complementari che miglioreranno la sua capacità di verificare le qualifiche dei candidati CISSP.
Il controllo a campione è un modo possibile per bilanciare il costo e i requisiti di verifica, ma non è l’ideale. I revisori possono trovare l’abbellimento occasionale dai candidati, ma c’è ancora un’alta probabilità che molte persone non qualificate sfuggiranno allo screening.
La sponsorizzazione è un metodo di verifica pratico che richiede uno sforzo minimo da parte di (IS)2. Ogni CISSP è tenuto a rispettare il Codice Etico, quindi (IS) 2 può ridurre parte dell’onere di vagliare i candidati facendo in modo che i CISSP convalidino l’idoneità di un candidato. È improbabile che un membro in regola rischi di perdere le sue credenziali sponsorizzando un candidato non qualificato. Inoltre, è molto più facile cercare un CISSP esistente che verificare la storia dell’istruzione e del lavoro di un richiedente.
Può anche essere d’aiuto cambiare il modo in cui l’esperienza viene segnalata. L’attuale modulo di domanda CISSP richiede informazioni sull’occupazione, ma è privo delle informazioni di contatto necessarie per i controlli dei precedenti. Raccogliere la descrizione del lavoro e i contatti di verifica, il numero di anni di esperienza e la percentuale di lavori di sicurezza eseguiti aiuterebbe i candidati a valutare correttamente la loro esperienza di “lavoro diretto” e facilitare la verifica. Le descrizioni del lavoro e le percentuali possono essere confrontate con le norme del settore e le informazioni di contatto possono essere utilizzate per verificare la componente di sicurezza di ciascuna posizione elencata.
Queste misure non sono perfette, ma potrebbero migliorare il processo di verifica e ridurre il numero di applicazioni che (IS)2 dovrebbe verificare. Lo sforzo dell’organizzazione per sostenere e migliorare il valore del CISSP è certamente lodevole. Si spera che (IS) 2 seguirà i suoi requisiti più rigorosi con pratiche di verifica ancora più definitive.
Circa l’autore: William Stackpole, CISSP, è un volontario attivo (IS)2 e un ex presidente e membro corrente del comitato di sviluppo della prova di CISSP.