אפתח בציטוט הבא (מתוך הכתבה הזו):
For 14 months, candidate after candidate trudged through Andre Gold's office hoping to be offered a coveted position with the Continental Airlines information security team. Gold saw them all during his hunt for talentCISSPs, CISMs, MSCEs, each with impressive technical chops, but....
"They could not define risk, or they did it by what the CISSP book says," says Gold, director of information security for the airline. "To the business side, it's important to have an entity that can articulate risk in terms of the business. I can find people who write rules and put in firewalls. All I ask them is, 'Why? What's the risk? How will it impact revenue?'"
מזה זמן רב אני מתלבט האם לעשות את ה-CISSP או לא. יש לי הרבה טענות כנגד ההסמכה - זה מבחן טריוויה שלאחריו אתה יכול להיות מוסמך ולא להבין כלום באבטחת מידע. ראיתי מוסמכים שבאמת לא מבינים יותר מדי (וגם כאלה שדווקא כן). המבחן מדגיש דווקא פריטי ידע שאולי פחות מהותיים בעבודה היומיומית. אין בו את הידע האמיתי של אבטחת מידע, אלא בעיקר ידע על אבטחת מידע. הוא עולה כסף ואני אצטרך להשקיע יותר זמן ממה שבא לי בשביל לעבור אותו.
מצד שני, לאט לאט במודעות הדרושים יש בהחלט דרישה לבעלי הסמכת CISSP. זה רק עניין של זמן עד שיגידו לי - מר בחור, ניסיון או לא, אתה יודע מה זה Dumpster Diving?
עם השנים פיתחתי מן עמדה כזו שאם אתעלם מהמבחן מספיק זמן הוא יחלוף וישכחו שהוא היה קיים. קצת כמו ה-MCSE שהיה פעם תואר יוקרתי (?!) והיום הוא רק תואר. לשמחתי ניב שלח לי את הקישור למאמר הזה שטוען בדיוק את הטענה הזו.
כנראה שאעבור עוד שנה בלי לעשות CISSP (או CISM).
ורק כהערת סיום - תעודות זה אחלה. אבל צריך לזכור למה הן נוצרו - כדי שהעצלנים לא יצטרכו להתאמץ (אני מתכוון למגייסים ולא לנושאי התעודה). כל מה שתעודה מבטיחה זה שהנושא בה עבר את המבחן. לא שהוא מתאים לארגון, לא שהוא יודע להפעיל את הידע שלו ולא שהוא מתאים לבעיה שדורשת פתרון. לרוב הארגונים עצלנות זה דבר נוח (נראה לי שככה מגייסים היום כוח אדם), אבל צריך לזכור שיש לזה מחיר. מי שחושב לגייס אדם רק כי יש לו CISSP ומוותר על מבחן מקצועי אמיתי עושה חצי עבודה.
בבלוג זה
בכל הבלוגים
