对于广大安全专家来说,现在如果能够深入掌握非安全类别的专业技能并通过认证测试获取到相应资格的话,就可以在应对不断变化的网络威胁环境时提供有力支持。此外,由于在行业内基本安全认证已经成为人手必备的大众化技能,这些认证还能够帮助拥有者通过展现自身特色而达到脱颖而出的目标。
按照沃奇卫士技术公司亚太区副总裁斯科特·罗伯逊的观点,如果技术人员连最新木马的具体活动模式以及垃圾邮件发送者使用的新型社会化工程技术之类最基础的常识都无法掌握,就意味着标准认证什么也代表不了。
罗伯逊指出,对于日常信息安全环境来说,面临的现实状况就是各种新威胁总处于不断发展变化之中,每个星期都会产生并发展出新类型的黑客入侵以及攻击方式来。他还进一步解释说,由于针对网络发起来自遥远外部的各种渗透攻击行为正日益呈现出持久化的趋势,因此,公司不应该继续将对面临的所有安全威胁进行全面管理看着为一种只需要考虑自身情况的简易项目。
格林阿莫安全公司首席执行官约瑟夫·斯坦伯格也支持这一观点,确信来自其它类别的专业认证确实可以为信息安全工作带来非常有力的支持。按照他的观点,如果有人希望从事信息安全管理领域相关工作,或者寻找涉及到信息安全方面业务机会的话,管理以及商业等类别的认证就具有相当高的实用价值。
他还补充说,在某些情况下,安全认证也需要利用非安全类别认证来作为进入的前提条件。对此,斯坦伯格作出了详细的说明:如果被认证者没有获得思科认证网络支持工程师(CCNA)基础认证,表明自己已经掌握思科网络技术方面专业技能的话,就不可能获得安全领域的相关认证。
按照罗伯逊的观点,除了基本技能之外,信息安全专业人员还需要掌握应用程序、协议、网络、用户行为以及业务本身等类别的专业知识,而这其中的很多内容都超出了信息安全认证会涉及到的具体范围。
接下来,斯坦伯格还利用具体案例进行了补充说明。如果技术人员对于人际网络的情况毫无认识,就绝对不可能成为“身份认证系统部署领域的顶尖专家”。并且,他还指出,如果员工被提升到更高级岗位上的话,所承担的职责几乎肯定就会上升到需要负责多方面安全性的程度,而这就需要与具备不同专业知识的各类人员进行全面协调与沟通合作。
斯坦伯格进一步补充说,如果用户选择将关注重点放在与专业认证相关的技能之上,也可以让自己变成为特定领域的安全专家。当然,他还利用具体案例进行了解释说明:信息系统安全管理专家(ISSMP)就属于信息系统安全认证专家的附加“专业”认证。它表明获得认证的人不仅在信息安全方面拥有非常丰富的专业知识,而且还具备了信息安全管理及相关领域内的出色技能。
全面认证依然属于极为重要的基础项目
按照斯坦伯格的观点,对于信息安全专业人员来说,信息系统安全管理专家(ISSMP)之类的全面安全认证依然属于拥有额外价值的项目,能够让潜在雇主对自身在该领域内拥有的专业知识以及经验情况有着比较客观的基础认识。他还补充说,对于希望申请自己公司信息安全方面职位的人来说,这些认证就属于最基本的入门砖。
作为维护以及管理CISSP认证项目的专业组织,国际信息系统安全认证协会(ISC2)在接受ZDNet的采访时声称会对安全认证所涉及到的具体内容进行定期更新。按照ISC2负责CISSP项目的主席弗雷迪·谭的说法,由于该协会的八万名成员都在安全行业内工作,可以对整个过程进行全面审视,因此对于认证测试中应当包含什么具体项目,以及哪些技能属于非常重要的类型之类的实际问题有着充分的认识。
斯坦伯格指出,由于拥有基础安全认证资格的人员数目出现了“非常显著”的增长,从而导致全面以及专业认证可以带来的独特价值优势有所下降。他还进一步解释说,这导致人们对认证价值的期望下降到了最低程度,并变得对安全专业人员的专业知识以及实际经验情况更为重视。
按照斯坦伯格的观点,既然认证可以为人们实际具备的知识技能情况提供“担保”,因此拥有特定技术方面经验或者掌握某种安全技术的人就应该尽力获取相应的认证资格。
他还指出:“这就可以为潜在雇主提供足够的保证,确保简历上列出来的多年丰富经验已经转换为非常有价值可以重复利用的专业技能”。