Web Analytics

הסמכת אבטחת מידע?

לאחרונה הוצעה לי משרת ניהול בכירה בתחום, בחברה בינלאומית, אך לצערי היה תנאי סף בסיסי שמטה החברה בחו"ל לא הסכים לוותר עליו – הסמכה רשמית באבטחת מידע, עם תואר בעל X אותיות לועזיות.
כבר בהתחלה, רק מסיבה זו, לא יכולתי להתקדם עם חברה זו.

למעשה, זו הפעם הראשונה שבה אני נתקל בישראל (לפחות לגבי תפקידים שעניינו אותי) בדרישה זו כדרישת סף, ולא רק למשרות ניהוליות. האם זו התבגרות של התחום? או רק חריגה שהגיעה מחו"ל במקרה ספציפי?

עד היום לא טרחתי לעבור הסמכה שתיתן לי טייטל רשמי, לא בסיסטם ולא באבט"מ.
הסיבות היו מגוונות – כסף, זמן, חיי משפחה אינטנסיביים ובעיקר חוסר הערכה לתארים הללו.
בהחלט ייתכן שהדעות שלי על ההסמכות האלו אינן מבוססות, אבל זה ניסיון חיי המקצועי.

יצא לי להכיר לא מעט בעלי MCSE שלא ממש ידעו מהחיים שלהם, וגם יצא לי לעבור לא מעט קורסים של MS שאולי נותנים בסיס ראשוני להיכרות עם המוצרים, אך לבטח לא מכסים את כל המוצר (גם לא שילוב של כל הקורסים של אותו מוצר) ובוודאי לא מכינים את הלומד לעבודה ויישום בארגון עסקי.
בצד ה-CISSP, שנדמה לי שהוא ההסמכה הנפוצה בישראל, יצא לי להכיר אדם שעבדתי איתו באופן אישי תקופה של יותר משנה, כאשר הוא היה למעשה איש מכירות, ולאחר מספר שנים פגשתי אותו והוא סיפר לי שהוא עשה CISSP והוא כעת יועץ עצמאי שהקים חברה משלו. ואני מכיר את האיש, והוא נחמד וידידותי לסביבה – אבל אני גם יודע שאין לו גישה טכנית, וגם אין לו ניסיון מעשי באבטחת מידע או תשתיות.
וכן, גם שמעתי בחצי-אוזן על הצורך לדעת מה גובה הגדר הנדרש במבחן ההסמכה…

אז המקרה המוזכר בתחילת הפוסט בהחלט גרם לי לחשוב. אולי כדאי בכל אופן לשנס מותניים ולהוציא הסמכה, אפילו שאני יודע שזה מיועד בעיקר לחברות ההשמה ולמעסיקים פוטנציאלים, שיוכלו לקבל סטמפה סטנדרטית שאני מכיר את העבודה, וזה ירגיע אותם ויסייע להם לראות אותי באור חיובי יותר כבר על הסף.
מצד שני, אולי בכל אופן אלמד במהלך ההסמכה דברים שלא ידעתי קודם או אפילו סתם אסדר את הידע בראש באופן יותר מסודר ומובנה?

חשוב לי לשמוע מה דעתכם וניסיונכם לגבי הסמכות אבטחת מידע, באופן רלוונטי לשוק הישראלי – האם בכלל צריך להוציא הסמכה? אם כן, איזו הסמכה? למה דווקא הסמכה זו? מה היתרונות שלה? כיצד כדאי להתכונן אליה? וכן הלאה.
אני חושב שהתשובות שלכם יכולות גם להאיר את דרכם של עובדים המתחילים את דרכם במקצועות אבטחת המידע.
התגובות לרשותכם.

Join the Conversation

11 Comments

  1. הנושא של הסמכה פורמלית בתחום אבטחת מידע מתחיל לתפוס יותר בארץ. בגופים מוסדיים כגון בנקים זה הפך לתנאי סף למנהלי אבטחת מידע ומכיון שאני אפילו מכיר כמה אישית, ידוע לי על כאלה שהגם שיש להם תואר שני, ידע ונסיון של שנים בתחום, עדיין נדרשו ע"י בנק ישראל לעבור הסמכה רשמית. אגב הסמכה זו אינה חייבת להיות CISSP, היא יכולה להיות הסמכה בקורס ישראלי כלשהו, למשל ההסמכה של אונ' ת"א ואבנת (לה"ב), ההסמכה של הטכניון, ההסמכה של מכללת נס + 2Bsecure וכן הלאה. העיקר שיש אינדיקציה שלמדת את התחום באופן רשמי. אינני יודע כמובן לגבי אותה משרה שהוצעה לך, יתכן ושם היית נדרש להסמכה בינ"ל כלשהי, אם כי אני מעז להניח שגם תעודה מאונ' ת"א או הטכניון, שהם מוסדות אקדמיים מוכרים, היתה עושה את העבודה.
    CISSP אינה הסמכת אבטחת המידע היחידה בעולם, יש עוד כמה אם כי הן פחות ממותגות ו/או מאד מאד ארוכות ומפרכות. אני חושב שדה-פקטו CISSP הוא הסטדנרט.
    לגבי ההסמכה עצמה, בזמנו כשעוד עסקתי בתחום אבטחת המידע חשבתי לעשות את המבחן ואפילו טרחתי וקראתי את הספר ועברתי על הלומדה הרשמית. אני מוכרח לומר שהתרשמתי לטובה מהעומק של ההסמכה. נכון שיש שם התעסקות גם בפרטים טפלים ובמיוחד כאלה שרלבנטים לשוק האמריקאי, אבל בהחלט יש שם העמקה בנושאי הצפנה ובמתודולוגיה של אבטחה, הגנה, מערכות מידע וכן הלאה. אני מוכרח לומר שבהחלט למדתי מכך. בסופו של דבר לא ניגשתי למבחן ועזבתי (לפחות בשלב זה…) את תחום האבטחה כידוע, אבל אני מאמין שהייתי ניגש. המבחן הוא אכן קשה, אבל זה בגלל כמות החומר העצומה והעובדה שהוא מדבר על פרטי פרטים שצריך לזכור.
    שורה תחתונה – בדיוק כמו שתואר במשפטים אינו הופך אותך לעו"ד דגול, אין ספק שגם הסמכה טכנית או לצורך הענין כל הסמכה מקצועית אחרת, אינה הופכת אותך לבעל מקצוע טוב. עם זאת, ההסמכה מהווה משהו פורמלי מצד אחד עבור המעסיק ועוד נדבך ידע עבור זה שעבר אותה. השילוב של תיאוריה ופרקטיקה הוא הטוב ביותר.

    יש

  2. היי,
    אני שמעתי על ה CISSP לפני שנתיים.
    אני עובד כסיסטם כ 5 שנים מתוכם שנתיים עבדתי עם מוצרי אבטחת מידע.
    לפני חודשיים החלטתי לעשות מעשה וללמוד ל CISSP (המבחן ב 11.12.08 )
    קניתי ספר AIO וקראתי את כולו ועכשיו אני עובר הדרכות CBT ומבחנים באינטרנט ומתוכנות שונות .
    אני מרגיש הרבה יותר בטוח בידע שלי בתחום המחשוב ואני מרגיש שלמדתי המון על תחומים שלא ידעתי וחיזקתי את הידע בתחומים שהידע שלי עליהם היה בקווים כלליים.
    היום, לפני שעברתי את הבחינה, אני מרגיש שההשקעה שלי בלימוד לבחינה – החזירה את עצמה.
    כולנו מכירים הרבה אנשים בתחום שכשאשר שואלים אותם איך זה עובד ? הם מגמגמים או שעונים תשובות שגויות.
    אני, היום, כבר לא מגמגם. אני עונה לעניין וגם מוסיף מידע שהרבה בתחום לא מכירים.
    אני עובד במוסד גדול ואני מרגיש את ההתפעלות מהידע שלי.
    בקיצור, ההסמכה הזו מומלצת, או לפחות ללמוד להסמכה הזו.
    אני מחפש ללמוד עם מישהו לקראת הבחינה – אז אם מתאים למישהו אנא שלח/י מייל ל [email protected]
    להית'
    תמיר.

  3. היי,
    אני לומד ל CISSP ואני חושב שעצם הלמידה תורם רבות לידע בתחום.
    אני מחפש ללמוד עם מישהו.
    הבחינה שלי ב 11.12 .
    המייל שלי [email protected]
    תמיר

  4. אני מצטער, אבל לדעתי אם חברה דורשת הסמכה רשמית בתחום ולא מסתמכת על מוניטין וניסיון, זה אומר שהחברה אינה גמישה ומלאה בנהלים ודרישות רשמיות.

    כל עוד קיימות חברות אחרות בשוק, אני אמנע בכוונה מללכת לחברות כאלה, ואשתמש בדרישה הזו על מנת לנפות חברות בהן אינני מעוניין לעבוד עוד לפני שלב הראיון. לחברת כח האדם אומר שאם החברה דורשת הסמכה, שלא יטרחו כלל לשדך ביננו מכיוון שאינני מעוניין.

    זה לא אומר שלא אעשה את ההסמכה, פשוט עקב הלימוד שכרוך בה… מתישהו כשיהיה לי זמן.

    — אריק

  5. היי אריק, אני חושב שאתה קצת קיצוני לכיוון השני… (-;
    בהחלט יכול להיות שאתה צודק, אבל דרישת ההסמכה אינה "הוכחה" למסקנות שלך ותמיד שווה להקשיב לצד השני בטרם מקבעים דעה אודותיו.
    בנוסף, תזכור שזה די קשה להוכיח ניסיון ומוניטין, בייחוד כאשר פעמים רבות אלו שמראיינים/בוחנים אותך אינם מצוידים בכלים המתאימים לבצע הערכות מסוג זה. לכן, הם לרוב נתלים בהסמכות שהן כלי חיצוני.

    אני רואה בהסמכה גם משהו חיובי של התבגרות המקצוע, סטנדרטיזציה שלו וסינון מסוים של מי שלא מתאים. לא הכל שלילי…

  6. היי,
    עברתי את בחינת CISSP . עכשיו מתחיל המסע האמיתי. לעבור את אישור הוועדה ואז לשמור על מעורבות גבוהה בתחום כדי לשמור על ההסמכה – עניין לא פשוט. לכל מי שחשב בכיוון – אחרי שעברתי את הבחינה התחלתי לגשש וגיליתי שמעבר הבחינה כבר פותח דלתות ומגלים עניין. אבל אני עדיין מגשש….

  7. מזל טוב תמיר!
    ותודה ששיתפת אותנו בתהליך.
    אם יש לך עצות או טיפים בתור מי שעבר – אשמח אם תפרט בתגובה נוספת. תודה.

  8. שלום רב,

    אני מתכנן ללמד לאחד ממבחני הסמכה לתארים באבטחת מידע , האם ללמד את CISSP או CISA/CISM

    אשמח ללמד יחד .

    אלכס

  9. היי,
    בהמשך לתגובה של איתן אני חושב שהכי חשוב זה לא לזלזל בחומר. ללמוד את כל הנושאים ממספר מקורות רב ככל האפשר. (גם אם אתה לא קורא את כל החומר של המקורות האחרים, משתלם לקרוא עוד נקודת מבט בנושאים ספציפיים)
    אני בנוסף קראתי חומרים שמרחיבים את הידע בנושאים כמו pen testing BCP CERT – וזה עזר.
    חשוב גם לעשות בחינות מלאות (250 שאלות) מספר רב של פעמים כדי לקבל את התחושה של הדבר האמיתי.
    ה CISSP דורש 5 שנים עם זאת אפשר לחסוך שנה אם עושים תעודה שמאושרת ע"י ה ISC2.
    אני עשיתי את Security+ . דרש שבועיים של למידה לא אינטנסיבית. עברתי על המסמך דרישות ולמדתי נושאים שלא היו ב CISSP כמו Domain Kitting .
    ה- CISA נמצא בתכנון לחודש דצמבר 2009 ….
    תמיר.

Leave a comment

האימייל לא יוצג באתר. שדות החובה מסומנים *