provavelmente ninguém ficou mais surpreso do que a gestão do International Information Systems Security Certifications Consortium, (ISC)2, quando estudante indiano de 16 anos Namit Merchant passou no exame rigoroso certificado de segurança de Sistemas de informação profissional (CISSP) no ano passado.
mesmo antes de Merchant sat para o exame, (ISC)2 tinha sido a base para apertar os requisitos para a credencial profissional mais conhecido da indústria. A partir de janeiro de 2003, os candidatos à CISSP necessitarão de um diploma de quatro anos ou de quatro anos de experiência profissional, o que é significativamente mais rigoroso do que o actual requisito de três anos de experiência.
a mudança é um passo na direcção certa. Para que a CISSP continue a ser o porta-estandarte das certificações de segurança, a (ISC) 2 deve policiar adequadamente os candidatos para garantir que apenas os mais qualificados atinjam esta marca de excelência. No mínimo, os novos requisitos devem reduzir a probabilidade de que (ISC)2 irá certificar mais adolescentes. (Esta é uma boa notícia para Merchant, uma vez que isso provavelmente significa que ele vai ter o título de CISSP mais jovem por um longo tempo.)
o problema é que (ISC)2 não tem a infra-estrutura necessária para verificar o histórico profissional ou educacional de cada candidato, o que significa que alguns candidatos menos escrupulosos provavelmente escaparão pelas rachaduras.Não vamos presumir que todos os excessos de verificação serão maliciosos. Os actuais requisitos de certificação do CISSP são:: (1)concordar com o código de Ética (ISC) 2, (2) Passar no exame e (3) ter três anos de experiência direta em segurança em um ou mais dos 10 domínios. Os dois primeiros requisitos são simples de gerenciar — fazer com que o candidato assine o compromisso de código de Ética e faça o teste. Mas verificar as qualificações é uma tarefa importante.
a verificação completa foi feita no passado. Antes de haver um exame CISSP, (ISC)2 concedeu certificações para profissionais sob seu programa de “grandfathering” baseado apenas em sua experiência. Esses profissionais de avô foram os que criaram o corpo comum original de Conhecimento (CBK) e o primeiro exame CISSP. Uma vez que apenas um pequeno número de pessoas foi avô, um comitê de voluntários foram capazes de lidar com a carga de trabalho.
mas com milhares de candidatos de todo o mundo todos os anos, um único Comitê obviamente não pode verificar os milhares de pedidos de CISSP (ISC)2 recebe a cada ano. Atualmente, os processos de aplicação, verificação, agendamento de testes e recertificação são contratados para (ISC)2 Services, um ramo da Scholder Measurement Technologies (SMT), a empresa de testes que mantém e pontua os testes CISSP e sistemas de Segurança Certificado Practioner (SSCP) exames. Mas o Scholder não é responsável por fazer verificações.
o problema monumental de verificação não significa (ISC) 2 deve abandonar seus altos padrões. Em vez disso, deverá adoptar outros controlos complementares que melhorem a sua capacidade de verificar as qualificações dos candidatos ao CISSP.
verificação pontual é uma forma possível de equilibrar o custo e os requisitos da verificação, mas não é ideal. Os auditores podem achar o embelezamento ocasional dos candidatos, mas ainda há uma grande probabilidade de muitas pessoas não qualificadas escaparem ao rastreio.O patrocínio é um método de verificação prática que requer um esforço mínimo por parte do ISC 2. Cada CISSP é obrigado a respeitar o código de Ética, então (ISC) 2 pode reduzir alguns dos encargos de examinar os candidatos, fazendo CISSPs validar a elegibilidade de um candidato. É improvável que um membro de boa reputação corra o risco de perder a sua credencial ao patrocinar um candidato não qualificado. Além disso, é muito mais fácil procurar um CISSP existente do que verificar a educação e o histórico de trabalho de um candidato.
mudar a forma como a experiência é relatada também pode ajudar. O actual formulário de candidatura do CISSP requer efectivamente informações sobre o emprego, mas é desprovido das informações de contacto necessárias para as verificações de antecedentes. Recolher a descrição do trabalho e os contactos de verificação, o número de anos de experiência e a percentagem de trabalho de segurança realizado ajudariam os candidatos a avaliar adequadamente a sua experiência de “trabalho directo” e a facilitar a verificação. Descrições de funções e porcentagens podem ser comparadas com as normas da indústria e informações de contato podem ser usadas para verificar o componente de segurança de cada posição listada.
estas medidas não são perfeitas, mas podem melhorar o processo de verificação e reduzir o número de aplicações que (ISC)2 teria de verificar. O esforço da organização para defender e valorizar o valor do CISSP é certamente louvável. Esperançosamente, (ISC)2 irá acompanhar seus requisitos mais rigorosos com práticas de verificação ainda mais definitivas.
About the author: William Stackpole, CISSP, is an active (ISC)2 volunteer and a former chair and current member of the CISSP Test Development Committee.