A segurança é uma grande preocupação em praticamente qualquer área de TI. Seja você administrador de rede, desenvolvedor ou CIO, sem dúvida, parte do seu dia é ocupada com ameaças externas, malware e possíveis vulnerabilidades em sua rede. Mas você já pensou em levar seu treinamento de segurança para o próximo nível? Entrevistamos Carol Balkcom, diretora de gerenciamento de produtos da CompTIA, para saber mais sobre suas certificações de segurança e como elas podem ajudar os profissionais de TI a administrar um navio mais apertado.
Techopedia: Muitos conhecem a CompTIA por sua certificação A +. Conte-nos sobre suas outras ofertas de segurança.
Carol Balkcom: CompTIA Security + é nosso primeiro exame inteiramente dedicado à segurança e foi lançado originalmente em 2002. Todos os nossos exames são "neutros em relação a fornecedores", o que significa que não estão vinculados aos produtos de nenhum fornecedor - e o Security + não é exceção .
O CompTIA A + e o Network + também possuem componentes de segurança, porque é claro que os técnicos de suporte e os administradores de rede de hoje também devem ter conhecimento sobre segurança. Além disso, os três exames (A +, Network +, Security +) estão na Diretiva 8570 do Departamento de Defesa dos EUA, que exige certificação para o pessoal de garantia de informações. Como resultado, um grande número de profissionais fez essas certificações nos últimos anos.
Para voltar às nossas ofertas de segurança, lançamos formalmente o primeiro da série de exames "Mastery" da CompTIA, nosso praticante de segurança avançada (CASP) da CompTIA.
Techopedia: Conte-nos mais sobre o Security +. Quais são as principais áreas abrangidas e quem é o público principal?
Carol Balkcom: O público principal do Security + são profissionais de TI com dois ou mais anos de experiência prática em segurança de informações técnicas. Existem profissionais certificados pelo Security + em todos os tipos de organizações, da Marinha dos EUA à General Mills e à Arquidiocese da Filadélfia.
Quanto às áreas de assunto no Security +, os "domínios" de amplo conhecimento são segurança de rede, conformidade e segurança operacional, ameaças e vulnerabilidades, segurança de aplicativos, dados e host, controle de acesso e gerenciamento de identidades e criptografia.
Techopedia: E o CASP? Você pode nos contar mais sobre a designação?
Carol Balkcom: Para o Profissional de segurança avançada da CompTIA (CASP), recomendamos pelo menos 10 anos em TI e cinco anos de experiência prática em segurança técnica. Ele é destinado ao arquiteto de segurança que trabalha em uma organização grande e com vários locais. O CASP também analisa as implicações de segurança das decisões de negócios, como a aquisição de uma empresa por outra, como exemplo.
Techopedia: Qual foi a justificativa para o desenvolvimento do CASP?
Carol Balkcom: A idéia do CASP teve origem em discussões com o Departamento de Defesa dos EUA há vários anos. Foi-nos dito que eles queriam um exame mais técnico para a função de trabalho "IA Technical Level III" na Diretiva 8570. A diretiva exige a certificação de todo o pessoal envolvido em atividades de garantia de informações. O nível técnico III é basicamente a pessoa que especifica e supervisiona a segurança da empresa (um ambiente de rede de vários locais, que os militares chamam de "enclave"). É necessário que essa pessoa tenha habilidades técnicas profundas de segurança.
Porém, antes que a CompTIA desenvolva qualquer certificação, procuramos validar a necessidade da indústria no setor em geral. Assim, em uma de nossas pesquisas anuais de segurança, perguntamos se havia uma necessidade do setor por uma certificação de segurança avançada de natureza técnica. As respostas da pesquisa confirmaram que devemos continuar com o desenvolvimento.
Techopedia: Não para destacar sua concorrência, mas muitos profissionais estão familiarizados com o CISSP. Como o CASP difere dessa certificação?
Carol Balkcom: Havia vários especialistas envolvidos no desenvolvimento do CASP que também são CISSPs. A intenção não era desenvolver um exame para competir com o CISSP, mas fornecer uma certificação avançada de natureza técnica. O CISSP é há muito tempo o padrão-ouro para profissionais de segurança que fazem políticas e estão envolvidos no gerenciamento de segurança. O CASP tem como objetivo, por exemplo, medir a capacidade de uma pessoa de executar e implementar estratégias de mitigação de riscos, incluindo a classificação de tipos de informações em níveis da CIA (confidencialidade, integridade e disponibilidade) com base na organização ou setor, e implementando o direito tipo de controles de segurança.
Outra diferença significativa entre o CISSP e o CASP neste momento é que o CASP contém algumas perguntas baseadas no desempenho que devem ser respondidas executando uma tarefa relacionada a um determinado cenário usando uma plataforma de software que exige que o examinador faça escolhas específicas. O foco está no conhecimento técnico do trabalho e em como executá-lo.
Techopedia: Em uma organização como a CompTIA, você deve estar no topo das tendências no mercado de trabalho e das novidades em TI. Você viu mais demanda nessa área nos últimos anos?
Carol Balkcom: Isso não surpreenderá ninguém, mas a resposta é sim. Parcialmente motivada pelo governo dos EUA e pela necessidade de contratados do governo (dos quais existem muitos) para serem certificados para conseguir trabalho, a certificação em TI tem aumentado. O uso corporativo da certificação nos programas de contratação e incentivo aos funcionários permanece forte. Finalmente, estamos vendo crescimento em regiões em desenvolvimento, como Malásia, Oriente Médio, Europa e África, à medida que os governos fornecem financiamento para treinamento e certificação para atender às crescentes necessidades de habilidades de TI.
Techopedia: A questão antiga é o valor de uma certificação versus experiência. Onde você pesa?
Carol Balkcom: A certificação é um indicador, não uma prova da capacidade de desempenho. (Embora as novas perguntas baseadas no desempenho que mencionei anteriormente sejam um passo definitivo na direção de medir a habilidade real.) A certificação é um indicador de que alguém gastou seu tempo e fez um esforço para aprender o que era necessário para fazer e passar em um exame. . Mas certamente a experiência prática - mesmo que a experiência seja apenas em laboratórios durante os cursos - é sempre preferida à certificação sozinha.
Quer sobre a certificação de TI? Confira a seção Carreiras de TI da Techopedia.
Para obter mais informações diretamente da CompTIA, consulte a página oficial do Security + e CASP.
