יש להבדיל בין המילים הכשרה והסמכה: הכשרה– מהותה לימודים. הסמכה – מהותה "מעבר מבחן בדיקה" ואישור לבדיקה באמצעות "תעודה". תנאי סף להבנת ההסמכות הקיימות בענף, הינה הכרה והבנה של קשת המקצועות הקיימים, והבנת ההיררכיה המקצועית והמינהלית. "הסמכה" הינה מונח הקיים בענפים שונים, בהקשרים שונים, ולעיתים סותרים. "הסמכה" ניתנת על-ידי רשות בעלת הסמכוּת לתיתה. דוגמה: "תואר אקדמי" מוכר כהסמכה מטעם משרד החינוך, באמצעות המל"ג (המועצה להשכלה גבוהה). דוגמה נוספת: קורס הפועל לפי תקן המוכר על-ידי מכון התקנים הישראלי (מת"י) או על-ידי מכון התקנים הבינלאומי (ISO), יקבל הסמכה רלבנטית מאותו גוף. "הסמכה" – יכול שתנתן גם על-ידי גוף פרטי כלשהו. למשל: הסמכה מטעם חברה שמשווקת קורס מסוים. האם הדבר חוקי? כמובן, אך נשאלת השאלה – איזו משמעות יש להסמכה זו בעיני הציבור. יתכן שהקורס "נחשב" בקהילה, ולכן בוגר הקורס מחזיק בהסמכה המסייעת לו להתקבל לתפקיד מסוים, ומאידך – יתכן ...שלא. לשם ההמחשה: ב- 2004, הושק לראשונה מסלול CISO של See Security, ובוגריו זכו בהסמכה מטעם החברה. המשמעות העיקרית לאותה הסמכה באה לידי ביטוי רק בחלוף השנים, כאשר הסתבר שההסמכה נעשתה לסטנדרט מקובל בתעשיית אבטחת המידע, לאחר שמאות בוגרים השתבצו בתפקידי מפתח בקהילת אבטחת המידע. כלומר: מלכתחילה– ההסמכה של CISO היתה בעלת משמעות נקודתית, ללא הכרת הקהילה בה, ובחלוף הזמן – ההסמכה נעשתה מבוקשת עקב המוניטין המקצועי המשתמע ממנה. בעולם נפוצות מספר הסמכות מטעם. יש להתייחס אליהן בזהירות ובהסתייגות, משום שאינן מוכרות על-ידי האקדמיה או על-ידי משרד החינוך, ואינן נמצאות לפיכך תחת פיקוח. הסמכות למקצוע הנדסה / ארכיטקטורת אבטחת מידע הסמכת CISSP של ISC2מיועדת לתפקיד מהנדס/ארכיטקט אבטחת מידע. המונח CISSP מהווה ראשי תיבות של Certified Information Systems Security Professional. הביקורת המהותית ביותר אודות תעודת CISSP הינה ביקורת פדגוגית הנוגעת ליעילות של המבחן ("בדיקת הידע"). כיצד ניתן לבחון את הידע הכרוך בהיקף עצום של נושאים, בעזרת שאלות "סגורות" ("מבחן אמריקאי"), אשר עליהם יש לענות במרחב זמן קצרצר. מנהלי אבטחת מידע בכירים נוהגים לומר על כך: "One Million Miles Wide and Two Inches Deep". תהייה נוספת נוגעת להתעלמות ההסמכה המשווקת מהיבט הבנת התקיפה. הבנת שיטות ההתקפה מהווה מהות ועיקר להבנת דרכי ההגנה והשלכותיהן על הצלחת ההתקפה. ארגון ISC2 נוסד בארה"ב וניזון מהכנסות הנובעות מהתשלום בגין השתתפות במבחנים. לפיכך – על-מנת למקסם את הרווח הנובע מהקהל הפוטנציאלי, קיימת הגבלה על היקף המבחן ועל עומק הידע הרלבנטי, על-מנת שלא להקטין את קהל היעד אשר מסוגל לגשת למבחן. הארגון מחלק את עולם האבטחה לעשרה חלקים, המכונים על-ידו דומיינים (Domains) ואינו עוסק ב"ניהול אבטחת מידע": 1. Access Control
2. Application Development Security
3. Business Continuity & Disaster Recovery Planning
4. Cryptography
5. InfoSec Governance & Risk Management
6. Legal, Regulations, Investigations & Compliance
7. Operations Security
8. Physical (Environmental) Security
9. Security Architecture & Design
10.Telecommunications & Network Security למבחן שעלותו למעלה מ- 500$ רשאים לגשת בעלי ניסיון של כ- 5 שנים (על-בסיס הצהרה), בשניים מן הדומיינים לפחות, או 4 שנות ניסיון ותואר אקדמי כלשהו של מכללה או אוניברסיטה. ההסמכה דורשת חידוש מדי שלש שנים בתשלום. על-מנת להצטייד בהסמכת CISSP יש לרכוש ספר מהארגון וללומדו, וכן להתאמן על מבחנים קודמים המגדילים את הסיכוי לעבור את המבחן. עקב היקפי הידע העצומים הנדרשים לעומת כמות השאלות הקטנה יחסית, מורכבות השאלות באופן מתוחכם המקשה על המענה. קיימים מעת לעת גם קורסים קצרים המיועדים לסייע במעבר המבחן. קורסים אלו אינם ממוקדים בלמידה וברכישת ידע תעשייתי נדרש, אלא ממוקדים אך ורק בדרך לעבור בהצלחה את המבחן. בכל מקרה - יש לעיין בדרישות הארגון ISC2. מסלול מהנדסי ומנהלי אבטחת מידע של See Security מכין את הסטודנטים, בין השאר, גם להסמכת CISSP.
הסמכת CISO של See Security – ראה בהמשך.הסמכות למקצוע מנהל אבטחת מידעהסמכת CISM של ISACAמיועדת לתפקיד מנהל אבטחת מידע. המונח CISM מהווה ראשי תיבות של Certified Information Security Manager. גם מבחן CISM זוכה בביקורת דומה: היעד הוא – הרווחים הנובעים מהמבחן, ולפיכך – תשומת הלב ניתנת למבנה המבחן האידיאלי מבחינת הארגון, ולא לאופן רכישת הידע או לעומקו. ארגון ISACA ממוקם בארה"ב וניזון מהכנסות הנובעות מהתשלום בגין השתתפות במבחנים. ההסמכה מתייחסת רק לפן הניהולי של אבטחת המידע ומחלקו לחמישה חלקים, המכונים על-ידו דומיינים (Domains): 1. Security Governance
2. Information Risk Management
3. Information Security Program Development
4. Information Security Program Management
5. Incident Management & Response למבחן שעלותו למעלה מ- 500$ רשאים לגשת בעלי ניסיון של כ- 5 שנים (על-בסיס הצהרה), בשלשה מן הדומיינים לפחות. ההסמכה דורשת חידוש מדי שלש שנים בתשלום. על-מנת להצטייד בהסמכת CISM יש לרכוש ספר מהארגון וללומדו, וכן להתאמן על מבחנים קודמים המגדילים את הסיכוי לעבור את המבחן. השאלות נבנות באופן מתוחכם המקשה על המענה. קיימים מעת לעת גם קורסים קצרים המיועדים לסייע במעבר המבחן. קורסים אלו אינם ממוקדים בלמידה וברכישת ידע תעשייתי נדרש, אלא ממוקדים אך ורק בדרך לעבור בהצלחה את המבחן. מסלול מהנדסי ומנהלי אבטחת מידע של See Security מכין את הסטודנטים, בין השאר, גם למרבית הנושאים הכלולים בהסמכת CISM.הסמכת CISO של See Securityמיועדת לתפקיד מהנדס / ארכיטקט אבטחת מידע ולתפקיד מנהל אבטחת מידע. להבדיל מהסמכות CISSP ו- CISM, הסמכת See Security איננה מהווה "מטרה". המטרה על-פי המכללה הינה הלמידה עצמה, ורכישת ידע פרקטי תעשייתי. ההסמכה לתלמידים הינה בחזקת הוכחה לרכישת הידע. מסלול הלימודים מתבסס על יחידות הלימוד הבאות: 1. סדנת סקירה – Thinking Security– מקורות הצורך לאבטחת מידע, מושגי יסוד באבטחת מידע, האיומים ואסטרטגיות התשובה עליהם, מקצועות האבטחה, התמחויות והסמכות.
2. מכינת Networking & Protocols– סקירת רענון - חובה
3. קורס Linux Fundamentals.
4. קורס Hacking Techniques.
5. קורס Security Tools & Technologies for Architects.
6. סדנת Secured development.
7. קורס Security Governance.
8. קורסCISO Roles & Functions.
9. מרתון הכנה למבחן CISSP. הלימודים מחייבים הגשת עבודת "RFP & Security Architecture Design", ועבודת "תוכנית עבודה שנתית למחלקת אבטחת המידע". בנוסף, מתקיימים מבחנים נושאיים / קורסיאליים. הסמכת CISOCERT הינה נטולת השפעות יצרן (Vendor-Neutral), ומעידה על לימוד מכלול הנושאים הנדרש גם להסמכות CISSP ו- CISM. המעסיקים בישראל, ובראשם משרד הבטחון וקברניטי חברות הייעוץ לאבטחת מידע, מייחסים להסמכה זו כבוד מקצועי רב, בעטיים של כ- 450 נושאי ההסמכה הקיימים במשק. הסמכות למקצועות יישום (טכנאות) אבטחת מידעטכנאי אבטחת מידע צריך לשלוט בהתקנה, בהגדרה, בתחזוקה ובתפעול שוטף של כלי אבטחת מידע. לשם רכישת ידע זה, נדרש ידע הנוגע לכל יצרן טכנולוגיות בנפרד, והמוכרים שבהם: Cisco, CheckPoint, Symantec, Fortigate ודומיהם. יצרנים אלו משווקים גם קורסים מטעמם, ומספקים "הסמכות מטעם"למשתתפים. נקודת התורפה של הסמכות אלו – היותן "תלויות יצרן". |
