虽然持有多个安全认证并不是高级网络安全岗位(例如CISO)的硬指标,但一些顶级安全认证确实能为网络安全领导者的简历增光添彩,提高可信度并促进职业发展。
事实上,顶级安全认证并不仅仅是安全人士晋升高级职位的敲门砖,或者业界交流的身份名片,它们还可以帮助安全专业人员面对不断变化的威胁、提高企业安全能力并展示合规和风险管理能力。
总的来说,安全认证可以通过多种方式推动CISO的职业生涯,包括:
验证网络安全技能,并证明你了解认证相关领域的标准化网络安全概念。
职业“投名状”。获取高级安全认证有助建立职业信誉,表明你具备致力深耕网安专业领域的职业精神,而不是从明天“上云”后天“上链”,甚至堕入暗网。雇主喜欢投入时间和精力来雇用和培训“长期主义”的员工,而不是一个投机主义者。
更快地推进职业生涯,因为许多组织都会优先考虑那些花时间获得此类认证的人。
让你的技能快速得到业内同行的认可,这对于保持长期成功的职业生涯非常重要。
创造更多的社交机会,让您可以获得更多的知识并找到其他未来的工作机会。
展示您对持续学习、跟上技术潮流和专业化发展的承诺。
有助于加薪。
总而言之,虽然业界普遍认为安全认证与实际能力并不能划等号,但是对于CISO来说,有些安全认证“也许可以不用,但不能没有。”
以下是多位CISO推荐的五个可以促进高级网络安全人员职业发展的网络安全认证(全球不同地区的认证费用在500-1000美元之间):
CISSP–认证信息系统安全专家
DefenseStorm的CISO William Wetherill表示,CISSP由国际非营利会员协会ISC2提供,是最受广泛认可的认证,专为希望展示对信息安全概念和最佳实践的全面理解的专业人士而设计。
“该认证涵盖了广泛的安全主题,例如资产安全、安全工程和风险管理,”Wetherill说:“CISSP有着更高的认证标准,因为它要求安全专业人员拥有丰富的工作经验、报酬以及来自信誉良好的ISC2 CISSP持有者的推荐。”
Wetherill表示,通过获得CISSP认证获得的知识和技能有助于制定有效的安全策略并以CISO的身份实施最佳实践。
Blue Mantis安全实践负责人Jay Martin表示:“如果你确实希望将自己的职业生涯提升到一个新的水平,那么CISSP认证将是那些走技术实践路线的人的最佳认证”。
NetSPI的CISO Joe Evangelisto表示,CISSP仍然是网络安全业界的事实标准,并且是几乎所有CISO招聘职位描述的必选项。
Vectra AI美洲区首席技术官Brian Neuhaus认为,获得CISSP认证应该是CISO的首要任务。“持有这样的证书表明安全专业人员具备实施和管理一流安全计划所需的知识和技术技能,”他说。
Neuhaus表示,尽管获得CISSP证书并不容易,但CISSP和其他类似证书应该成为安全专业人员稳步努力实现的目标,以有效推进他们的职业生涯。此外,CISSP认证可以帮助专业人士在简历审查期间吸引雇主的注意。
获得CISSP认证必须通过考试,并在ISC2 CISSP公共知识体系(CBK)八个领域中的两个或多个领域拥有至少五年的累积带薪工作经验。五年工作经验要求允许替代。
费用:根据考试管理地点而有所不同。例如美洲和非洲为749美元;英国为585英镑;欧洲、中东和非洲地区,665欧元。
CCSP–认证云安全专家
Gurucul产品解决方案副总裁Sanjay Raja表示,ISC2推出的一项值得注意的新认证是云安全专家认证,该认证与供应商无关。CCSP认证在全球范围内得到认可,表明您拥有先进的技术专业知识和对有效设计、监督和保护云中的数据、应用程序和基础设施的理解。
Spin AI的支持总监Nick Harrahill表示,随着CISO变得更加专业,他们可能会考虑CCSP认证。“它与CISSP类似,但更关注云安全—非常适合支持或大量利用云技术的CISO”。
获得CCSP安全认证必须通过考试并拥有至少五年的IT累积工作经验。必须在信息安全领域学习三年,在ISC2 CCSP CBK的六个领域中的一个或多个领域学习一年。五年工作经验要求允许替代。
费用:根据考试管理地点而有所不同。例如美洲和非洲为599美元;英国,479英镑;欧洲、中东和非洲地区555欧元。
认证信息安全经理(CISM)
Wetherill表示,由ISACA提供的认证信息安全经理是CISO的另一项重要认证,因为它是专门为负责管理和监督信息安全项目的专业人员设计的,这使其成为展示管理和领导力的绝佳方式。
“CISM认证提供了有关如何制定和实施有效的信息安全策略的重要信息,该策略与组织的总体目标相一致,同时涵盖广泛的主题,例如风险管理、事件管理和信息安全治理,所有这些对于CISO角色至关重要,”Wetherill说。
CISM认证提供必要的技能和知识来平衡业务运营和强大的安全措施,更侧重于管理和领导技能,而CISSP则更具技术性。
Martin表示,对于更多关注治理、风险和合规性或安全管理路线的CISO,强烈建议ISACA的CISM。
获得CISM认证必须通过考试,通过考试后五年内申请认证,并且具有五年的信息安全工作经验。应试者必须在三个或更多工作实践分析领域拥有至少三年的信息安全管理工作经验。五年要求允许例外和替代。
费用:ISACA会员考试费为575美元,非会员考试费为760美元。通过考试后,考生需一次性支付50美元的CISM认证申请处理费。
注册信息系统审计师(CISA)
Wetherill表示,认证信息系统审计师是ISACA为负责审计、监控和评估公司信息安全和业务系统的专业人员提供的另一项重要认证。
“CISA认证得到全球认可,并在IT行业备受推崇。它要求专业人员验证其在信息安全审计、控制和保证方面的知识和熟练程度,”Wetherill说,“CISA认证让人们深入了解如何识别、分析和评估信息安全漏洞和风险。这些技能对于CISO有效履行其工作并保护其组织免受网络威胁至关重要。”
WatchGuard Technologies首席安全官Corey Nachreiner表示,一些认证(例如CISA)更适合审计员等专业安全角色。如果审计公司的网络安全是您的工作重点,ISACA的CISA会有所帮助。
Martin对此表示同意,他表示,对于寻求审计师或评估专家等职业的CISO,强烈推荐ISACA的CISA。
此外,CISA等基于风险的认证可以帮助CISO履行其主要职责,了解和管理企业的IT风险,Veracode的CISO Sohail Iqbal补充道。
获得CISA认证必须通过考试并在通过考试后五年内申请认证。应试者还必须具有至少五年的专业信息系统审计、控制或安全工作经验。必须在CISA工作实践领域工作至少两年。五年要求允许例外和替代。
费用:ISACA会员考试费为575美元,非会员考试费为760美元。通过考试后,考生需一次性支付50美元的CISA认证申请处理费。
GIAC战略规划、政策和领导(GSTRT)
Frank Kim表示,SANS研究所提供的GIAC战略规划、政策和领导力认证表明您拥有职业生涯下一步所需的知识和技能,并且有能力制定与企业产生共鸣的战略计划,Sans研究所研究员。
“如果您需要超越技术细节以更有效地与高级领导层和董事会沟通,该认证表明您知道如何与战略目标保持一致,创建路线图,构建业务案例,创建安全策略并领导你的团队走向成功,”他说。
要获得此认证,您必须通过考试。
费用:GIAC认证考试费用为979美元。