Путеводитель по карьере в кибербезопасности
Шрифт:
Сертификат Security-i - более доступен для начинающего специалиста по сравнению с сертификатом CISSP. Несмотря на то что CompTIA рекомендует кандидатам пройти сертификацию Network-ь и иметь не менее двух лет опыта работы в сфере кибербезопасности, это не обязательное требование. Человек, получивший необходимые технические знания другими способами (например, освоив обучающий материал самостоятельно или по какой-либо программе), может сдать экзамен и получить сертификат Security+. Тем не менее здесь требуется проходить программу непрерывного образования. Чтобы подтвердить сертификат Security-i-, его держатель должен заработать 50 так называемых единиц непрерывного образования (CEU, continuing education unit) в течение трех лет.
В финансовом плане сертификат Security+ также более доступен. На момент написания книги пройти экзамен стоило 379 долларов. Это недешево, но более чем на 300 долларов дешевле, чем сдача экзамена CISSP. Ежегодная плата за продление сертификата Security+ составляет 50 долларов. Подготовительные курсы предлагают многие поставщики образовательных услуг, и они в целом также дешевле курсов по CISSP. Стоимость дистанционных курсов, предлагаемых непосредственно CompTIA, варьируется в диапазоне от 499 до 899 долларов. Обучение под руководством инструктора обойдется дороже, однако цена даже самого дорогого пакета не превышает 2000 долларов.
В целом сертификат Security+ позволяет оценить широкий спектр тем и знаний в области безопасности, а потому актуален практически для любого специалиста. В этом смысле он очень похож на CISSP. Тем не менее по затратам и требованиям это более подходящий начальный вариант для тех, кто ищет свою первую работу. Хотя на некоторых должностях, в частности государственных, сертификат CISSP необходим, большинство работодателей признают и другие, подтверждающие то, что кандидат обладает определенным уровнем знаний в области кибербезопасности и технологий.
Популярность программы Security+ среди людей, желающих начать карьеру в этой сфере, постепенно растет, но это не единственный доступный им вариант. Существуют и другие сертификаты, правда, более специализированные. Далее мы рассмотрим один из них.
Программа сертификации Certified Ethical Hacker (СЕН, «Сертифицированный этичный хакер»), запущенная в 2010 году организацией ЕС-Council, относительно новый вариант. Как следует из названия, она предназначена для оценки навыков этичных хакеров (которых обычно называют пентестерами или специалистами по тестированию на проникновение). Сертификация СЕН претерпела множество изменений в плане как содержания, так и программ для управления ею. Многие из этих изменений, скорее всего, были обусловлены критикой со стороны представителей ИБ-сообщества, считавших процесс сертификации недостаточно строгим. Таким образом, хотя большинство работодателей воспринимает этот сертификат как доказательство, что у соискателя есть фундаментальные знания в области тестирования на проникновение, в целом он пользуется меньшим уважением по сравнению с другими.
С самого начала программа СЕН предназначалась для специализированного обучения и для оценки способности применять инструменты, методы и концепции, относящиеся к тестированию на проникновение. Обратите внимание на слова «обучение» и «оценка». В отличие от многих других программ сертификации, включая обсуждавшиеся ранее, в рамках программы СЕН обучение тесно связано с самим экзаменом. Сдать его можно и не проходя формальный курс обучения, но для этого организация EC–Council требует, чтобы у кандидата был двухлетний опыт работы в сфере ИБ. Чтобы подтвердить этот опыт, необходимо подать заявку, приложив свое резюме, и заплатить 100 долларов за ее проверку и за допуск к экзамену. Также следует отметить, что EC–Council — одна из немногих коммерческих сертификационных организаций.
Согласно документу EC–Council СЕН Exam Blueprint version 3.0, экзамен позволяет оценить знания в следующих семи областях:
— общие знания;
— анализ/оценка;
— безопасность;
— инструменты/системы/программы;
— процедуры/методология;
— регулирование/политика;
— этика.
Сертификационные курсы СЕН может пройти любой желающий. Несмотря на то что EC–Council дает некоторые рекомендации относительно того, кому следует записываться на них, обязательных требований к участникам она не предъявляет. Благодаря этому курсы доступны для начинающих профессионалов. Каки большинство других подобных проектов, СЕН ставит непременное условие: участвовать в программе непрерывного образования. Чтобы подтвердить сертификат, EC–Council требует, чтобы его держатель заработал 120 кредитов непрерывного образования EC–Council (ЕСЕ) в течение трех лет.
В плане затрат программа сертификации СЕН несколько отличается от тех, что мы рассматривали ранее. Получить допуск к экзамену, не проходя подготовительный курс, трудно, а потому трудно определить его итоговую стоимость. EC–Council требует, чтобы держатели сертификатов вносили ежегодный членский взнос 80 долларов США для поддержания их актуальности. Отличие здесь заключается в том, что членский взнос распространяется на все имеющиеся у человека сертификаты EC–Council (организация предлагает еще несколько более продвинутых и специализированных сертификатов). Стоимость подготовки к экзамену СЕН варьируется от 1899 долларов США за дистанционный курс для самостоятельного изучения до 2999 долларов США за курс очного обучения (цены актуальны на момент написания книги).
В целом, несмотря на доступность для начинающих специалистов по кибербезопасности, сертификат СЕН имеет существенные недостатки. Главный из них — стоимость, если только вы уже не работаете в компании, готовой оплатить сертификацию, чтобы помочь вам перейти на более высокую должность. Другой недостаток — узкая специализация программы. Если вы уверены, что хотите заниматься тестированием на проникновение, то сертификат СЕН может стать хорошей инвестицией. Однако, если в будущем вы захотите сменить направление деятельности, он может стать ограничивающим фактором.
Сертификаты, которые мы обсудили, самые распространенные среди начинающих ИБ-специалистов. Однако, как вы видели на рис. 5.1, существует множество других вариантов, предлагаемых различными организациями и продавцами продуктов. Надеюсь, приведенное выше описание сертификатов CISSP, Security-i - и СЕН дало вам более четкое представление о важных аспектах, которые необходимо учитывать при выборе программ сертификации. Все они различаются по объему оцениваемых знаний, стоимости и условиям, касающимся непрерывного образования. Некоторые из наиболее технически ориентированных даже требуют сдачи практического экзамена, где надо выполнять задачи в лабораторной среде на время.
Подробное описание всех сертификационных программ выходит за рамки этой главы и заслуживает отдельной книги. Однако сфера меняется так быстро, что гораздо важнее уметь анализировать и оценивать каждую из программ с точки зрения ваших собственных целей, чем знать все подробности о каждой из них. Тем не менее нам необходимо ответить еще на один вопрос, связанный с сертификатами.
Заголовок предыдущего раздела «Алфавитный суп из сертификатов по кибербезопасности» — отсылка к метафоре, которой многие представители ИБ-сообщества описывают длинные списки аббревиатур, что некоторые люди указывают рядом со своими именами в резюме, на визитных карточках и так далее. На самом деле многие нынешние специалисты по кибербезопасности имеют по 10, 15 и даже 20 сертификатов.
Кому-то может показаться, что больше — значит лучше, но так ли это на самом деле? Работает ли в этом случае закон убывающей отдачи? Как насчет сложностей, связанных с поддержанием актуальности сертификатов? А затраты? Все это необходимо учитывать, обдумывая, сколько вы хотите сертификатов. Однако такие вопросы станут актуальны на более позднем этапе карьеры. Сейчас важно определиться с тем, что нужно для ее начала.
Признаюсь, я еще ни разу не видела, чтобы в вакансии указывалось, что соискателю необходимо иметь более одного сертификата. Хотя иногда наличие нескольких ключевых сертификатов действительно может выделить вас на фоне остальных или повысить шансы на получение какой-то конкретной должности, как правило, это не обязательное требование. Для начала вам достаточно просто иметь сертификат. Многие работодатели этого требуют, другие просто считают преимуществом. Во всяком случае наличие сертификата говорит о том, что вы серьезно относитесь к развитию своих навыков и обладаете достаточными знаниями для того, чтобы сдать экзамен.