Przegląd certyfikatów branżowych Jacek Skorupka AXA Polska CISA, CISSP, CISM... InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 1 Agenda Najważniejsze niezależne certyfikaty branżowe w obszarze bezpieczeństwa informacji Zakres tematyczny i doświadczenie wymagane do uzyskania certyfikatu Egzaminy i certyfikacja Utrzymanie certyfikatów Czy warto - dyskusja InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 2 Najważniejsze certyfikaty branżowe ISACA – CISA, CISM, CGEIT, CRISC (nowy) (ISC)2 – CISSP, SCCP, CAP, CSSLP, CISSP Concentr. CompTIA – Security+ (mały CISSP), Advanced Security Practitioner (w przygotowaniu) SANS- GIAC – Wiele certyfikatów, węższy zakres Inne – CEH (Certified Ethical Hacking – ECCouncil) – ISO 27001 Lead Auditor – ??? InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 3 SANS Certyfikaty InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 4 Najważniejsze certyfikaty branżowe c.d. ISACA CISA – Audyt IT, rozpoznawalny, ceniony wśród audytorów CISM – Zarządzanie bezpieczeństwem informacji CGEIT – IT Governance CRISC – Zarządzanie ryzykiem IT (ISC)2 CISSP – Bezpieczeństwo Informacji, ogólny ale bardzo szeroki zakres, techniczny – rozpoznawalny, ceniony CISSP koncentracje - wiedza ekspercka w jednym z obszarów (architektura, inżynieria, zarządzanie) SCCP – CISSP light CSSLP, CAP – specyficzne certyfikaty tematyczne InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 5 Najważniejsze certyfikaty branżowe c.d. Comp TIA Security+ Techniczny, szeroki zakres, bardzo ogólny Nie jest wymagane doświadczenie GIAC Wiele certyfikatów o relatywnie wąskim zakresie Zazwyczaj powiązane ze szkoleniem Wiedza praktyczna CEH Wiedza techniczna, szeroki zakres Egzamin – test Wymagane szkolenie lub 2 lata doświadczenia InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 6 Zakres tematyczny i wymagane doświadczenie CISA Wymagane doświadczenie 5 lat w audycie IT, kontroli IT, lub bezpieczeństwie IT 1 rok doświadczenia w IT lub audycie 1-2 lata wyższe wykształcenie Obszary wiedzy (domeny) Process of Auditing Information Systems (14%) Governance and Management of IT (14%) Information Systems Acquisition, Development and Implementation (19%) Information Systems Operations, Maintenance and Support (23%) Protection of Information Assets (30%) InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 7 Zakres tematyczny i wymagane doświadczenie CISM Wymagane doświadczenie 5 lat bezpieczeństwie IT, 3 lata w zarządzaniu bezpieczeństwem IT 2 lata CISA, CISSP, wyższe wykształcenie 1 rok –doświadczenie w zarządzaniu IT, inne certyfikaty (np.. MCSE, CompTIA, CBCP) Obszary wiedzy (domeny) Information Security Governance (23%) Information Risk Management (22%) Information Security Program Development (17%) Information Security Program Management (24%) Incident Management & Response (14%) InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 8 Zakres tematyczny i wymagane doświadczenie CISSP Wymagane doświadczenie 5 lat w 2 z 10 domen 1 rok – wyższe wykształcenie 1 rok – inna certyfikacja Obszary wiedzy (domeny) Access Control Application Development Security Business Continuity and Disaster Recovery Planning Cryptography Information Security Governance and Risk Management Legal, Regulations, Investigations and Compliance Operations Security Physical (Environmental) Security Security Architecture and Design Telecommunications and Network Security InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 9 Egzamin – czyli jak zdać ? Nie ściągać ! 70% sukcesu – zrozumienie charakteru pytań – „Most”,”First” „Primary” – Zasada pierwszej myśli Część pytań nie jest punktowanych (ISACA, (ISC)2)! Punktacja – – – – ISACA 450 z zakresu 200-800 (200 pytań) CISSP 700/1000 (250 pytań) CompTIA 750/1000( 100 pytań), CEH 70% (150 pytań) InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 10 Egzamin – jak wygląda ? ISACA 2x w roku – w formie papierowej (ISC)2 raz w roku – j.w. GIAC - online CompTIA, CEH – prometric Przykładowe pytania InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 11 Certyfikacja – nie wystarczy egzamin ISACA – aplikacja podpisana przez przełożonego (pracodawcę) (ISC)2 – aplikacja podpisana przez osobę z certyfikatem (ISC pomoże znaleźć osobę certyfikowaną w razie potrzeby) Comp TIA, GIAC – wystarczy egzamin CEH – szkolenie lub 2 lata doświadczenia w bezpieczeństwie informacji (przed przystąpieniem do egzaminu) InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 12 Utrzymanie certyfikatu To kosztuje ! (ISC)2 – 85 USD/rok ISACA 85 USD/rok (członkowie ISACA 45) SANS 399 USD /4 lata CEH – bez opłat CompTIA – program CE – 49 USD/rok InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 13 Utrzymanie certyfikatu c.d. Wymagania ciągłej edukacji CISSP – 120h / 3 lata min 20h rocznie – 2 grupy A – wymagana, B – opcjonalna (do 40h) – 1 CPE =50 minut CISA/CISM 120h/3 lata min 20h rocznie – Kompatybilne z (ISC)2 SANS 36CMU/4 lata – CMU <> CPE – pierwsze CMU 2 lata po certyfikacji CompTiA – Od 2011 ponowny egazmin po 3 latach lub 50 CEUs. – CEU <> CPE CEH 120/20 ECE – ECE<>CPE InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 14 Czy warto ? Zapraszam do dyskusji ! InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 15 Dziekuje za uwagę j.skorupka@gmail,com InfoTRAMS „Fusion Tematyczny, Bazy Danych, Kariera I Prywatny Sprzęt W Pracy" 16