förmodligen var ingen mer förvånad än förvaltningen av International Information Systems Security Certifications Consortium, (ISC)2, När 16-årig indisk gymnasieelever Namit Merchant tog och passerade den rigorösa Certified Information Security Systems Professional (CISSP) examen förra året.
redan innan Merchant satt för provet hade (ISC) 2 lagt grunden för att skärpa kraven för branschens mest kända professionella referens. Från och med januari 2003 kommer CISSP-sökande att behöva en fyraårig examen eller fyra års arbetslivserfarenhet, vilket är betydligt strängare än den nuvarande treåriga erfarenhetsförutsättningen.
förändringen är ett steg i rätt riktning. Om CISSP ska förbli standardbäraren av säkerhetscertifieringar, måste (ISC) 2 korrekt polisansökare för att säkerställa att endast de mest kvalificerade uppnår detta märke av excellens. Åtminstone bör de nya kraven minska sannolikheten för att (ISC)2 kommer att certifiera fler tonåringar. (Detta är goda nyheter för Merchant, eftersom det sannolikt kommer att innebära att han kommer att hålla titeln yngsta CISSP under en lång tid.)
problemet är att (ISC) 2 inte har den infrastruktur som krävs för att verifiera varje sökandes yrkes-eller utbildningshistoria, vilket innebär att vissa mindre noggranna kandidater sannolikt kommer att glida genom sprickorna.
låt oss inte anta att alla verifieringsövervakningar kommer att vara skadliga. De befintliga CISSP-certifieringskraven är: (1)godkänn (ISC) 2 Code of Ethics, (2) godkänd tentamen och (3) har tre års direkt säkerhetserfarenhet inom en eller flera av de 10 domänerna. De två första kraven är enkla att hantera-låt kandidaten underteckna etiska löftet och ta testet. Men att verifiera kvalifikationer är ett betydande företag.
fullständig verifiering har gjorts tidigare. Innan det fanns en CISSP-examen, (ISC)2 beviljade certifieringar till proffs under sitt ”grandfathering” – program baserat enbart på deras erfarenhet. De farfar yrkesverksamma var de som skapade den ursprungliga Common Body of Knowledge (CBK) och den första CISSP-undersökningen. Eftersom endast ett litet antal personer var farfar, kunde en volontärutskott hantera arbetsbelastningen.
men med tusentals sökande från hela världen varje år kan en enda utskott uppenbarligen inte verifiera de tusentals CISSP-ansökningar (ISC)2 mottar varje år. För närvarande är applikations -, verifierings -, testschemaläggnings-och omcertifieringsprocesserna kontrakterade till (ISC)2 Services, en gren av Scholder Measurement Technologies (SMT), testföretaget som underhåller och värderar CISSP och Systems Security Certified Practioner (SSCP) tentor. Men Scholder är inte ansvarig för att göra verifieringar.
det monumentala verifieringsproblemet betyder inte (ISC)2 bör överge sina höga standarder. I stället bör den omfatta andra kompletterande kontroller som kommer att förbättra dess förmåga att verifiera CISSP-kandidaternas kvalifikationer.
Spot-kontroll är ett möjligt sätt att balansera kostnaden och kraven för verifiering, men det är inte idealiskt. Revisorer kan hitta enstaka utsmyckning av sökande, men det finns fortfarande en stor sannolikhet att många okvalificerade människor kommer att undkomma screening.
sponsring är en praktisk verifieringsmetod som kräver minimal ansträngning på (ISC)2: s del. Varje CISSP är skyldig att följa etisk kod, så (ISC)2 kan minska en del av bördan av prövning sökande genom att ha CISSPs validera en kandidats behörighet. Det är osannolikt att en medlem i god ställning riskerar att förlora sin referens genom att sponsra en okvalificerad sökande. Dessutom är det mycket lättare att leta upp en befintlig CISSP än att verifiera en sökandes utbildning och arbetshistoria.
att ändra hur upplevelsen rapporteras kan också hjälpa. Det nuvarande CISSP-ansökningsformuläret begär anställningsinformation, men saknar den kontaktinformation som krävs för bakgrundskontroller. Att samla arbetsbeskrivning och verifieringskontakter, antal års erfarenhet och andelen säkerhetsarbete som utförs skulle hjälpa kandidaterna att korrekt bedöma sin ”direkta arbetslivserfarenhet” och underlätta verifieringen. Arbetsbeskrivningar och procentsatser kan jämföras med branschnormer och kontaktinformation kan användas för att verifiera säkerhetskomponenten i varje listad position.
dessa åtgärder är inte perfekta, men de kan förbättra granskningsprocessen och minska antalet applikationer som (ISC)2 skulle behöva verifiera. Organisationens ansträngningar att upprätthålla och förbättra värdet av CISSP är verkligen lovvärt. Förhoppningsvis kommer (ISC)2 att följa upp sina strängare krav med ännu mer definitiva verifieringsmetoder.
om författaren: William Stackpole, CISSP, är en aktiv (ISC)2 volontär och en tidigare ordförande och nuvarande medlem av CISSP Test Development Committee.