probabil că nimeni nu a fost mai surprins decât managementul Consorțiului Internațional de certificări de securitate a sistemelor informatice (ISC)2, când studentul indian de liceu Namit Merchant, în vârstă de 16 ani, a luat și a trecut examenul riguros certificat de sisteme de securitate a informațiilor profesionale (CISSP) anul trecut.
chiar înainte ca Merchant să stea la examen, (ISC)2 a pus bazele pentru înăsprirea cerințelor pentru cea mai cunoscută acreditare profesională din industrie. Începând cu ianuarie 2003, solicitanții CISSP vor avea nevoie de o diplomă de patru ani sau de patru ani de experiență de muncă, ceea ce este semnificativ mai strict decât condiția actuală de experiență de trei ani.
schimbarea este un pas în direcția cea bună. Dacă CISSP trebuie să rămână purtătorul standard al certificărilor de securitate, atunci (ISC)2 trebuie să supravegheze în mod corespunzător solicitanții pentru a se asigura că numai cei mai calificați ating această marcă de excelență. Cel puțin, noile cerințe ar trebui să reducă probabilitatea ca (ISC)2 să certifice mai mulți adolescenți. (Aceasta este o veste bună pentru comerciant, deoarece aceasta va însemna probabil că va deține titlul de cel mai tânăr CISSP pentru o lungă perioadă de timp.)
problema este că (ISC) 2 nu are infrastructura necesară pentru a verifica istoricul profesional sau educațional al fiecărui solicitant, ceea ce înseamnă că unii candidați mai puțin scrupuloși vor aluneca probabil prin fisuri.
să nu presupunem că toate omisiunile de verificare vor fi rău intenționate. Cerințele de certificare CISSP existente sunt: (1)sunt de acord cu codul de etică (ISC) 2, (2) promovează examenul și (3) au trei ani de experiență directă în securitate într-unul sau mai multe din cele 10 domenii. Primele două cerințe sunt simple de gestionat-cereți candidatului să semneze angajamentul Codului de etică și să susțină testul. Dar verificarea calificărilor este o întreprindere semnificativă.
verificarea completă a fost făcută în trecut. Înainte de a exista un examen CISSP, (ISC) 2 a acordat certificări profesioniștilor în cadrul programului său „grandfathering” bazat exclusiv pe experiența lor. Acei profesioniști cu bunici au fost cei care au creat corpul comun original de cunoștințe (CBK) și primul examen CISSP. Din moment ce doar un număr mic de oameni au fost bunicul, un comitet de voluntari au fost capabili să se ocupe de volumul de muncă.
dar cu mii de solicitanți din întreaga lume în fiecare an, un singur comitet, evident, nu poate verifica mii de Cereri CISSP (ISC)2 primește în fiecare an. În prezent, procesele de aplicare, verificare, programare a testelor și recertificare sunt contractate la (ISC)2 Services, o ramură a Scholder Measurement Technologies (SMT), compania de testare care menține și punctează examenele CISSP și Systems Security Certified Practioner (SSCP). Dar Scholder nu este responsabil pentru efectuarea verificărilor.
problema monumentală de verificare nu înseamnă (ISC)2 ar trebui să renunțe la standardele sale înalte. În schimb, ar trebui să adopte alte controale complementare care vor îmbunătăți capacitatea sa de a verifica calificările candidaților CISSP.
verificarea la fața locului este o modalitate posibilă de a echilibra costul și cerințele verificării, dar nu este ideală. Auditorii pot găsi înfrumusețarea ocazională de către solicitanți, dar există încă o mare probabilitate ca mulți oameni necalificați să scape de screening.
sponsorizarea este o metodă practică de verificare care necesită un efort minim din partea (ISC)2. Fiecare CISSP este obligat să respecte Codul De etică, astfel încât (ISC)2 poate reduce o parte din povara verificării solicitanților prin faptul că CISSP-urile validează eligibilitatea unui candidat. Este puțin probabil ca un membru în stare bună să riște să-și piardă acreditarea prin sponsorizarea unui solicitant necalificat. În plus, este mult mai ușor să căutați un CISSP existent decât să verificați istoricul Educației și al muncii unui solicitant.
schimbarea modului în care este raportată experiența poate ajuta, de asemenea. Formularul actual de cerere CISSP solicită informații despre angajare, dar este lipsit de informațiile de contact necesare verificărilor de fond. Colectarea fișei postului și a contactelor de verificare, a numărului de ani de experiență și a procentului de lucrări de securitate efectuate ar ajuta candidații să își evalueze în mod corespunzător experiența de „muncă directă” și să faciliteze verificarea. Fișele postului și procentele pot fi comparate cu normele din industrie, iar informațiile de contact pot fi utilizate pentru a verifica componenta de securitate a fiecărei poziții listate.
aceste măsuri nu sunt perfecte, dar ar putea îmbunătăți procesul de verificare și ar reduce numărul de aplicații pe care (ISC)2 ar trebui să le verifice. Efortul organizației de a susține și de a spori valoarea CISSP este cu siguranță lăudabil. Sperăm că (ISC) 2 va urma cerințele sale mai stricte cu practici de verificare și mai definitive.
despre autor: William Stackpole, CISSP, este un voluntar activ (ISC)2 și un fost președinte și membru actual al Comitetului de dezvoltare a testelor CISSP.