Продажа «корочек». Стоимость сертификатов в инфобезе и маршрут их получения
Security Certification Progression Chart 7.0, октябрь 2020 года
Специалист по информационной безопасности Пол Джерими (Paul Jerimy) проделал большую работу — и составил обширную схему с порядком получения сертификатов во всех областях ИБ: Security Certification Progression Chart. На сегодняшний день она включает в себя 362 программы сертификации.
Похоже, сертификация стала отдельным бизнесом, где учебные центры и центры сертификации думают не столько о проверке знаний специалистов, сколько о прибыли.
Стоимость некоторых сертификатов превышает разумные пределы. Для каждого сертификата в таблице указана стоимость его получения, а также предполагаемые дорожные расходы. Таким образом можно примерно вычислить, сколько стоит собрать все необходимые «корочки» и пройти этот путь до конца.
На диаграмме — все известные автору программы сертификации, связанные с безопасностью. У некоторых ужасная репутация, а некоторые считаются отраслевыми стандартами.
Схема читается снизу вверх.
Сертификаты внизу — самый начальный уровень. Чем выше вы поднимаетесь, тем более продвинутые сертификаты.
Например, специальность «Безопасность сетей и коммуникаций». На нижнем уровне представлены самые базовые экзамены F5 Big-IP Certified Administrator за $135 и CompTIA Network+ за $319, а на вершине пирамиды — сертифицированный эксперт по внедрению решений Cisco в области безопасности (CCIE Sec) — $2050 за корочку плюс около $12 тыс. транспортные расходы и сертифицированный архитектор Cisco (CCAr). Высочайшее звание в иерархии Cisco стоит $15 тыс. за экзамен.
Первая версия таблицы вышла в марте 2020 года, с тех пор она значительно дополнена и уточнена. Сертификаты в иерархии расположены субъективно, с учётом их авторитетности и мнения реальных экспертов — что действительно важно, а что не очень.
Восемь цветов на диаграмме — это восемь областей безопасности согласно классификации (ISC)², Международного консорциума по сертификации в области безопасности информационных систем, который поддерживает сертификацию CISSP. Некоторые сертификаты охватывают несколько областей, поэтому распределены по нескольким «столбцам», но окрашены цветом доминирующего домена.
Области безопасности обычно разбиты на подобласти. Они представлены затенёнными областями внутри основных столбцов. Например, область «Операции безопасности» (Security Operations) включает пентестинг и применение экплоитов, а уже ближе к программному обеспечению синим цветом обозначены такие подобласти операций безопасности, как «Форензика» («Криминалистика») и «Разбор инцидентов».
В общем, для обычной карьеры рекомендуется только одна сертификация на каждые 3–5 строк в определённой области. Нет особого смысла получать примерно такой же сертификат близкого уровня к тому, что уже есть.
Кроме того, если в своей карьере вы собираетесь ограничиться только одним или двумя сертификатами, то Пол Джерими рекомендует выбрать такие, что охватывают несколько областей, как GSEC (GIAC Security Essentials) или CASP+ (CompTIA Advanced Security Practitioner).
Если хотите изучить новую область, но не имеете абсолютно никакого опыта в ней, рекомендуется начать с двух нижних строчек. Однако не стоит недооценивать свой реальный опыт работы.
Кроме реальной практической пользы для «карьеристов», эта схема — ещё и интересный образец интерактивной инфографики.
Хотя на самом деле у большинства профессионалов по информационной безопасности очень мало таких сертификатов, а у некоторых вообще нет ни одного. Как и диплом вуза, эти сертификаты зачастую имеют сомнительную ценность. Но у каждого свой путь. В каком-то смысле сертификация может выступать более практичной альтернативой традиционному высшему образованию или дополнением к нему.