La sécurité est une préoccupation majeure dans presque tous les domaines de l'informatique. Que vous soyez un administrateur réseau, un développeur ou un CIO, une partie de votre journée est sans aucun doute occupée par les inquiétudes concernant les menaces extérieures, les logiciels malveillants et les vulnérabilités possibles de votre réseau. Mais avez-vous pensé à faire passer votre formation en sécurité au niveau supérieur? Nous avons interviewé Carol Balkcom, directrice de la gestion des produits chez CompTIA, pour en savoir plus sur leurs certifications de sécurité et comment ils peuvent aider les professionnels de l'informatique à gérer un navire plus serré.
Techopedia: Beaucoup connaissent CompTIA pour sa certification A +. Parlez-nous de vos autres offres de sécurité.
Carol Balkcom: CompTIA Security + est notre premier examen entièrement consacré à la sécurité, et il a été lancé à l'origine en 2002. Tous nos examens sont «neutres vis-à-vis des fournisseurs», ce qui signifie qu'ils ne sont liés à aucun produit d'un fournisseur - et Security + ne fait pas exception. .
CompTIA A + et Network + contiennent également des composants de sécurité, car bien entendu, les techniciens de support et les administrateurs réseau doivent également être bien informés sur la sécurité. Soit dit en passant, ces trois examens (A +, Network +, Security +) portent sur la directive 8570 du département américain de la Défense qui exige la certification du personnel d'assurance de l'information. En conséquence, un grand nombre de professionnels ont obtenu ces certifications au cours des dernières années.
Pour revenir à nos offres de sécurité, plus tôt cette année, nous avons officiellement lancé le premier de la série d'examens «Mastery» de CompTIA, notre CompTIA Advanced Security Practitioner (CASP).
Techopedia: Parlez-nous de Security +. Quels sont les principaux sujets traités et qui est le public principal?
Carol Balkcom: Le principal public de Security + est constitué de professionnels de l'informatique ayant au moins deux ans d'expérience pratique en sécurité des informations techniques. Il existe des professionnels certifiés Security + dans tous les types d'organisations, de l'US Navy à General Mills en passant par l'archidiocèse de Philadelphie.
En ce qui concerne les domaines de sécurité +, les "domaines" de connaissances généraux sont la sécurité des réseaux, la conformité et la sécurité opérationnelle, les menaces et les vulnérabilités, la sécurité des applications, des données et des hôtes, le contrôle d'accès et la gestion des identités et la cryptographie.
Techopedia: Et CASP? Pouvez-vous nous en dire plus sur la désignation?
Carol Balkcom: Pour le CompTIA Advanced Security Practitioner (CASP), nous recommandons au moins 10 ans en informatique et cinq ans d'expérience pratique en sécurité technique. Il est destiné à l'architecte de sécurité travaillant dans une grande organisation multi-sites. Le CASP examine également les implications sécuritaires des décisions commerciales, telles que l'acquisition d'une entreprise par une autre, par exemple.
Techopedia: Quelle était la justification du développement du CASP?
Carol Balkcom: L'idée du CASP est née des discussions avec le département américain de la Défense il y a plusieurs années. On nous a dit qu'ils voulaient un examen plus technique pour le poste «IA niveau technique III» dans la directive 8570. La directive exige la certification de tout le personnel engagé dans des activités d'assurance de l'information. Le niveau technologique III est essentiellement la personne qui spécifie et supervise la sécurité de l'entreprise (un environnement en réseau à plusieurs emplacements, que les militaires appellent «enclave»). Cette personne doit posséder des compétences techniques approfondies en matière de sécurité.
Mais avant que CompTIA ne développe une certification, nous recherchons la validation par l'industrie de la nécessité de cette certification dans l'industrie plus large. Ainsi, dans l'une de nos enquêtes de sécurité annuelles, nous avons demandé s'il y avait un besoin dans l'industrie d'une certification de sécurité avancée de nature technique. Les réponses au sondage ont confirmé que nous devrions poursuivre le développement.
Techopedia: Pas pour mettre en avant vos concurrents, mais de nombreux professionnels connaissent bien le CISSP. En quoi CASP diffère-t-il de cette certification?
Carol Balkcom: Il y avait plusieurs experts en la matière impliqués dans le développement du CASP qui sont également des CISSP. L'intention n'était pas d'élaborer un examen pour concurrencer le CISSP, mais de fournir une certification avancée de nature technique. Le CISSP est depuis longtemps la référence pour les professionnels de la sécurité qui élaborent des politiques et participent à la gestion de la sécurité. Le CASP est destiné, par exemple, à mesurer la capacité d'une personne à exécuter et à mettre en œuvre des stratégies d'atténuation des risques, y compris la classification des types d'informations en niveaux de CIA (confidentialité, intégrité et disponibilité) en fonction de l'organisation ou de l'industrie, et la mise en œuvre du droit type de contrôles de sécurité.
Une autre différence significative entre le CISSP et le CASP à l'heure actuelle est que le CASP contient des questions basées sur les performances auxquelles il faut répondre en exécutant une tâche en rapport avec un scénario donné à l'aide d'une plate-forme logicielle qui oblige le preneur d'examen à faire choix spécifiques. L'accent est mis sur la connaissance technique du travail et sur la manière de l'exécuter.
Techopedia: Dans une organisation comme CompTIA, vous devez être au courant des tendances du marché du travail et de l'actualité de l'informatique. Avez-vous constaté une augmentation de la demande dans ce domaine au cours des dernières années?
Carol Balkcom: Cela ne surprendra personne, mais la réponse est oui. En partie motivée par le gouvernement américain et par la nécessité pour les entrepreneurs gouvernementaux (parmi lesquels il y en a beaucoup) d'être certifiés afin d'obtenir du travail, la certification informatique est en augmentation. L'utilisation par les entreprises de la certification dans les programmes d'embauche et d'incitation des employés reste forte. Enfin, nous assistons à une croissance dans des régions en développement telles que la Malaisie, le Moyen-Orient, l'Europe et l'Afrique alors que les gouvernements financent la formation et la certification pour répondre aux besoins croissants en compétences informatiques.
Techopedia: La question séculaire est la valeur d'une certification par rapport à l'expérience. Où pesez-vous?
Carol Balkcom: La certification est un indicateur, pas une preuve de la capacité à performer. (Bien que les nouvelles questions basées sur les performances que j'ai mentionnées plus tôt soient une étape définitive dans la direction de la mesure des compétences réelles.) La certification est un indicateur que quelqu'un a pris le temps et fait l'effort d'apprendre ce qui était nécessaire pour passer et réussir un examen. . Mais certainement une expérience pratique - même si l'expérience est uniquement dans les laboratoires pendant les cours - est toujours préférée à la certification seule.
Vous voulez une certification informatique? Consultez la section Carrières informatiques de Techopedia.
Pour plus d'informations directement de CompTIA, consultez la page officielle de Security + et CASP.