在信息安全的世界，談及IT安全職業(yè)認(rèn)證的價(jià)值，沒有其它話題能比它引發(fā)人們更多兩級(jí)分化的觀點(diǎn)，特別是它們對(duì)于構(gòu)建安全從業(yè)人員的職業(yè)之路的作用。

對(duì)于廠商中立的組織以及安全廠商來說、認(rèn)證培訓(xùn)已經(jīng)成為一種盈利的業(yè)務(wù)，認(rèn)證的話題已經(jīng)變得更具爭(zhēng)議性。在信息安全隊(duì)伍中包括超過8萬名的CISSP和6萬名CISA，人們進(jìn)行職業(yè)認(rèn)證的狂熱腳步?jīng)]有顯示出任何放慢節(jié)奏的跡象。

在那些努力攀爬公司職位階梯的人當(dāng)中，一個(gè)廣為接受的觀點(diǎn)是職業(yè)認(rèn)證會(huì)對(duì)他們的信息安全生涯有著積極的影響?，F(xiàn)在這個(gè)看法正在經(jīng)受職業(yè)認(rèn)證試圖打動(dòng)對(duì)象的審查，包括招聘主管和運(yùn)作安全組織的高管。

與許多招聘人員的建議相反，僅是“配備”安全認(rèn)證，就打算從人群中脫穎而出可能會(huì)被招聘主管們看作是負(fù)面的行為。位于密歇根迪爾伯恩的福特汽車公司的IT安全經(jīng)理Bill Traster認(rèn)為，對(duì)于安全從業(yè)人員來說在選擇安全認(rèn)證時(shí)展現(xiàn)出他們的克制性和選擇性更為重要。因?yàn)榛貓?bào)是會(huì)遞減的，并且相當(dāng)數(shù)量的課程內(nèi)容是重疊的。為了闡明這點(diǎn)，盡管CISSP和CISA認(rèn)證基本上涵蓋了同樣的內(nèi)容，CISSP認(rèn)證是用于安全實(shí)踐者，然而CISA認(rèn)證是設(shè)計(jì)用于審計(jì)人員。

隨著現(xiàn)在有更多范圍的安全認(rèn)證可供人們選擇，鑒別哪些認(rèn)證與某個(gè)人特定的信息安全職業(yè)路線最為相關(guān)是十分重要的。選擇這些認(rèn)證是要合乎邏輯的，并且能顯示出你在安全職業(yè)生涯上的某種方向感，Sapient咨詢公司的CISO Curt Dalton談到。這個(gè)評(píng)論得到Thomas Murphy的認(rèn)可，他是康涅狄格大學(xué)的信息安全主管。他對(duì)于那種充滿跨越不同領(lǐng)域認(rèn)證的簡(jiǎn)歷持謹(jǐn)慎態(tài)度，他認(rèn)為這顯示出求職者的不專注，而且展示出他令人困惑的職業(yè)路線。

通常人們看到，求職者在簡(jiǎn)歷上羅列出他們?cè)?jīng)獲得的每一個(gè)安全認(rèn)證，而不是突出他們工作取得的成就和相關(guān)的經(jīng)驗(yàn)。位于伯靈頓馬薩諸塞州的技術(shù)提供商、 Nuance通信公司的CISO Stan Black認(rèn)為當(dāng)在尋找***的IT安全求職者時(shí)，人們期望優(yōu)秀的安全職業(yè)人員擁有一些認(rèn)證。但是真正杰出的安全人員是多層次的，擁有涵蓋IT以及實(shí)際操作相當(dāng)多的經(jīng)驗(yàn)。并且在其它IT學(xué)科開始其職業(yè)生涯后，他們通常投身于安全及合規(guī)遵從中去。

位于底特律的云服務(wù)廠商Covisint的CISO Dave Miller認(rèn)為，隨著惡意的黑客與負(fù)責(zé)保護(hù)企業(yè)系統(tǒng)及數(shù)據(jù)的從業(yè)人員之間不斷上升的軍備競(jìng)賽，技術(shù)變化非?？欤灾劣趯?shí)際的經(jīng)驗(yàn)和技術(shù)專長(zhǎng)遠(yuǎn)遠(yuǎn)勝過任何認(rèn)證。他談到云服務(wù)是該公司業(yè)務(wù)的基石，要求安全從業(yè)人員具有很強(qiáng)技術(shù)性的安全手段，這是無法從教室或書本上學(xué)到的。

職業(yè)認(rèn)證能夠展現(xiàn)出某人一直致力于他/她的安全生涯，這一想法在IT安全從業(yè)人員的腦子中根深蒂固。最終，人們招募人員在某種程度上是根據(jù)求職者持有的認(rèn)證進(jìn)行初步地篩選。北卡羅來納州的衛(wèi)生和公眾服務(wù)部的信息安全架構(gòu)師Jim Murphy認(rèn)為，通過搜索職業(yè)認(rèn)證來發(fā)掘候選人的做法是危險(xiǎn)的。因?yàn)檎衅溉藛T沒有意識(shí)到可供選擇的各種認(rèn)證之間的差異，他們可能因此忽略掉可行的求職者。

位于洛杉磯的Stephen S. Wise學(xué)校的CISO David Lam感覺在工作經(jīng)驗(yàn)和職業(yè)認(rèn)證之間必須達(dá)成一種平衡。安全從業(yè)人員也必須考慮哪些認(rèn)證會(huì)對(duì)他們的職業(yè)軌跡產(chǎn)生最為重要的影響，Traster談到。“當(dāng)考慮到應(yīng)該追求哪些安全認(rèn)證時(shí)，你需要考慮到某個(gè)認(rèn)證比起其它認(rèn)證更具價(jià)值，例如行業(yè)的認(rèn)可、一致性、再認(rèn)證要求，它們與實(shí)際工作技能的關(guān)聯(lián)性以及市場(chǎng)上的需求”。

喬治亞州立大學(xué)的CISO Tammy Clark認(rèn)為，在他們的崗位上較長(zhǎng)時(shí)間的求職者需要想辦法擴(kuò)展他們的知識(shí)和經(jīng)驗(yàn)，而安全認(rèn)證是達(dá)到這個(gè)目的一種不錯(cuò)途徑。“對(duì)于潛在的雇主來說用認(rèn)證和培訓(xùn)來充實(shí)你的工作經(jīng)驗(yàn)是***價(jià)值的”，Clark說道。“只要它們給工作來顯著價(jià)值，它們就表明你的技能在不斷進(jìn)步。”

但一個(gè)與認(rèn)證相關(guān)的話題，并且信息安全社區(qū)完全同意的看法：CISSP認(rèn)證在安全認(rèn)證類里面保持著黃金級(jí)別的水準(zhǔn)。位于艾文市的Magellan健康服務(wù)公司的CISO Jerry Garland尋找擁有廣泛安全知識(shí)的求職者，他認(rèn)為CISSP認(rèn)證考試是測(cè)試是否擁有這些知識(shí)的***選擇。Jim Murphy同意，補(bǔ)充到“CISSP認(rèn)證是行業(yè)里最為全面、深入和廣泛認(rèn)可的認(rèn)證，但是對(duì)于到風(fēng)險(xiǎn)管理和合規(guī)遵從，ISACA（信息系統(tǒng)審計(jì)和控制協(xié)會(huì)）的CISA和CISM認(rèn)證也是合適的選擇”。

通常來說，廠商贊助的認(rèn)證確實(shí)有一些重量，但是它依賴于工作職位。因?yàn)檫@些認(rèn)證趨向于具體的產(chǎn)品。Jim Murphy認(rèn)為廠商的認(rèn)證增強(qiáng)個(gè)人技能，但是沒有增加個(gè)人整體的信息安全熟練度。然而Jim Murphy堅(jiān)定地認(rèn)為那些負(fù)責(zé)網(wǎng)絡(luò)安全和架構(gòu)的人員應(yīng)該擁有除了CISSP以外的廠商認(rèn)證。Lam謹(jǐn)慎地表示：“某些廠商創(chuàng)建的認(rèn)證考試很容易通過，沒有太大的意義。而其它的認(rèn)證顯示出的某種專長(zhǎng)在你尋找工作時(shí)可能派上用場(chǎng)”。Miller解釋到他更愿意派他的職員去參加像Black Hat大會(huì)那樣提供當(dāng)前技術(shù)趨勢(shì)實(shí)際培訓(xùn)的行業(yè)性會(huì)議。盡管他確實(shí)認(rèn)可獲得特定產(chǎn)品認(rèn)證的價(jià)值，但前提是該產(chǎn)品使用的是業(yè)內(nèi)占主導(dǎo)地位的技術(shù)，如思科公司。

任何工作在有嚴(yán)格合規(guī)要求的行業(yè)，如金融服務(wù)業(yè)的人知道可能有數(shù)百種認(rèn)證可以選擇，這更加凸顯了選擇的重要性。Clark建議那些在政府機(jī)構(gòu)領(lǐng)域?qū)ふ衣毼坏娜诵枰P(guān)注安全認(rèn)證規(guī)劃。她注意到很多在高校的同事近年來已經(jīng)獲得CISSP認(rèn)證。給公共健康部門以及歐洲客戶提供云服務(wù)，使得Miller要配備分析師來加強(qiáng)安全團(tuán)隊(duì)，它們需要擅長(zhǎng)在HIPAA合規(guī)遵從、以及EU數(shù)據(jù)保護(hù)法案。隨著合規(guī)遵從框架的問題得到解決，行業(yè)各部分有望更加專業(yè)。

在信息安全領(lǐng)導(dǎo)們中逐漸達(dá)成的一致看法是需要增加非傳統(tǒng)的認(rèn)證來補(bǔ)充他們的技能。Thomas Murphy和Clark都認(rèn)為項(xiàng)目管理學(xué)會(huì)的PMP認(rèn)證有價(jià)值，那些持有該認(rèn)證的人的技能可以幫助內(nèi)部的安全項(xiàng)目更加有效地運(yùn)作。耶魯紐海文衛(wèi)生系統(tǒng)的CISO Steve Bartolotta建議醫(yī)療行業(yè)的管理者用FACHE認(rèn)證來充實(shí)管理經(jīng)驗(yàn)，然而Garland支持更多的主管在像CPP這樣的員工發(fā)展項(xiàng)目上獲得認(rèn)證，這些組織開創(chuàng)了Myers-Briggs評(píng)估方法。

我們處在一個(gè)由簡(jiǎn)歷占統(tǒng)治地位的世界中， LinkedIn網(wǎng)站的個(gè)人簡(jiǎn)介已經(jīng)為搜索引擎進(jìn)行過優(yōu)化。多面手的招聘人員既沒有時(shí)間，也沒有專業(yè)知識(shí)來篩選簡(jiǎn)歷尋找相關(guān)的工作經(jīng)驗(yàn)。相反他們搜索關(guān)鍵字和詞組，所以通過認(rèn)證是一個(gè)簡(jiǎn)單的預(yù)選資格。然而實(shí)際上這是不公平的，并且最終對(duì)這個(gè)行業(yè)是有消極影響的。招聘主管們想看到擁有最相關(guān)工作經(jīng)驗(yàn)的求職者，而不是那些根據(jù)認(rèn)證列表選擇出的人。但是招聘人員不會(huì)改變他們篩選候選人的方法。因此，通過認(rèn)證可能會(huì)繼續(xù)在IT安全文化中根深蒂固下去。

隨著時(shí)間的推移，我們有望看到更多專業(yè)的招聘人員涌現(xiàn)出來。他們只關(guān)注信息安全市場(chǎng)，并且與潛在的候選人有長(zhǎng)期關(guān)系。這對(duì)于行業(yè)來說會(huì)是積極的發(fā)展，因?yàn)檫@是一種將技能和經(jīng)驗(yàn)與職位需要匹配的更佳方法，讓招聘主管們專注于他們的日常工作中。