Keamanan adalah perhatian utama di hampir semua bidang TI. Apakah Anda seorang admin jaringan, pengembang atau CIO, sebagian dari hari Anda tidak diragukan lagi dihadapkan dengan kekhawatiran tentang ancaman luar, malware, dan kemungkinan kerentanan di jaringan Anda. Tetapi apakah Anda sudah berpikir untuk membawa pelatihan keamanan Anda ke tingkat berikutnya? Kami mewawancarai Carol Balkcom, direktur manajemen produk di CompTIA, untuk mempelajari lebih lanjut tentang sertifikasi keamanan mereka dan bagaimana mereka dapat membantu para profesional TI menjalankan kapal yang lebih ketat.
Techopedia: Banyak yang tahu CompTIA untuk sertifikasi A +-nya. Ceritakan tentang penawaran keamanan Anda yang lain.
Carol Balkcom: CompTIA Security + adalah ujian pertama kami yang didedikasikan sepenuhnya untuk keamanan, dan ujian ini awalnya diluncurkan pada tahun 2002. Semua ujian kami adalah "vendor neutral", yang berarti bahwa mereka tidak terikat dengan produk salah satu vendor - dan Security + tidak terkecuali .
CompTIA A + dan Network + juga memiliki komponen keamanan di dalamnya, karena tentu saja teknisi pendukung dan administrator jaringan saat ini juga harus memiliki pengetahuan tentang keamanan. Selain itu, ketiga ujian ini (A +, Network +, Security +) berada di US Directive Defense Directive 8570 yang membutuhkan sertifikasi untuk personel penjaminan informasi. Akibatnya, sejumlah besar profesional telah mengikuti sertifikasi ini selama beberapa tahun terakhir.
Untuk kembali ke penawaran keamanan kami, awal tahun ini kami secara resmi meluncurkan rangkaian ujian "Penguasaan" CompTIA yang pertama, CompTIA Advanced Security Practitioner (CASP) kami.
Techopedia: Ceritakan lebih lanjut tentang Keamanan +. Apa bidang studi utama yang dicakup dan siapa audiens utamanya?
Carol Balkcom: Audiens utama untuk Security + adalah para profesional TI dengan pengalaman keamanan informasi teknis dua tahun atau lebih. Ada profesional keamanan + bersertifikat di semua jenis organisasi, dari Angkatan Laut AS hingga General Mills hingga Keuskupan Agung Philadelphia.
Adapun bidang subjek dalam Keamanan +, "domain" pengetahuan luas adalah keamanan jaringan, kepatuhan dan keamanan operasional, ancaman dan kerentanan, aplikasi, data dan keamanan host, kontrol akses dan manajemen identitas, dan kriptografi.
Techopedia: Bagaimana dengan CASP? Bisakah Anda memberi tahu kami lebih banyak tentang penunjukannya?
Carol Balkcom: Untuk Praktisi Keamanan Lanjutan CompTIA (CASP), kami merekomendasikan setidaknya 10 tahun di bidang TI dan lima tahun pengalaman keamanan teknis langsung. Ini dimaksudkan untuk arsitek keamanan yang bekerja di organisasi multi-lokasi yang besar. CASP juga melihat implikasi keamanan dari keputusan bisnis, seperti akuisisi satu perusahaan dengan yang lain, sebagai contoh.
Techopedia: Apa alasan untuk mengembangkan CASP?
Carol Balkcom: Gagasan untuk CASP bermula dengan diskusi dengan Departemen Pertahanan AS beberapa tahun yang lalu. Kami diberitahu bahwa mereka menginginkan ujian yang lebih teknis untuk peran pekerjaan "IA Technical Level III" dalam Petunjuk 8570. Arahan tersebut mengamanatkan sertifikasi semua personel yang terlibat dalam kegiatan jaminan informasi. Tingkat teknologi III pada dasarnya adalah orang yang menentukan dan mengawasi perusahaan (lingkungan jaringan multi-lokasi, yang oleh militer disebut keamanan). Orang ini harus memiliki keterampilan keamanan teknis yang mendalam.
Tetapi sebelum CompTIA mengembangkan sertifikasi apa pun, kami mencari validasi industri dari kebutuhan untuk itu di industri yang lebih luas. Jadi dalam salah satu survei keamanan tahunan kami, kami bertanya apakah ada kebutuhan industri untuk sertifikasi keamanan canggih yang sifatnya teknis. Tanggapan survei menegaskan bahwa kita harus melanjutkan pengembangan.
Techopedia: Bukan untuk menyoroti pesaing Anda, tetapi banyak profesional yang akrab dengan CISSP. Apa perbedaan CASP dari sertifikasi itu?
Carol Balkcom: Ada beberapa ahli materi pelajaran yang terlibat dalam pengembangan CASP yang juga CISSP. Tujuannya bukan untuk mengembangkan ujian untuk bersaing dengan CISSP, tetapi untuk memberikan sertifikasi lanjutan yang bersifat teknis. CISSP telah lama menjadi standar emas bagi para profesional keamanan yang membuat kebijakan dan terlibat dalam manajemen keamanan. CASP dimaksudkan untuk, sebagai contoh, mengukur kemampuan seseorang untuk melaksanakan dan menerapkan strategi mitigasi risiko, termasuk mengklasifikasikan tipe informasi ke dalam level CIA (kerahasiaan, integritas dan ketersediaan) berdasarkan organisasi atau industri, dan menerapkan hak semacam kontrol keamanan.
Perbedaan signifikan lainnya antara CISSP dan CASP pada saat ini adalah bahwa CASP berisi beberapa pertanyaan berbasis kinerja yang harus dijawab dengan melaksanakan tugas sehubungan dengan skenario yang diberikan menggunakan platform perangkat lunak yang mengharuskan peserta ujian untuk membuat pilihan spesifik. Fokusnya adalah pada pengetahuan teknis tentang pekerjaan itu dan bagaimana melaksanakannya.
Techopedia: Di organisasi seperti CompTIA, Anda harus berada di atas tren di pasar kerja dan apa yang sedang hangat di bidang TI. Sudahkah Anda melihat lebih banyak permintaan di bidang ini selama beberapa tahun terakhir?
Carol Balkcom: Ini tidak akan mengejutkan siapa pun, tetapi jawabannya adalah ya. Sebagian didorong oleh pemerintah AS dan oleh kebutuhan akan kontraktor pemerintah (yang banyak di antaranya) disertifikasi untuk mendapatkan pekerjaan, sertifikasi TI terus meningkat. Penggunaan sertifikasi oleh perusahaan dalam program perekrutan dan insentif karyawan tetap kuat. Akhirnya, kami melihat pertumbuhan di daerah berkembang seperti Malaysia, Timur Tengah, Eropa dan Afrika sebagai pemerintah menyediakan dana untuk pelatihan dan sertifikasi untuk mengatasi meningkatnya kebutuhan keterampilan TI.
Techopedia: Pertanyaan kuno adalah nilai sertifikasi versus pengalaman. Di mana Anda menimbang?
Carol Balkcom: Sertifikasi adalah indikator, bukan bukti kemampuan untuk melakukan. (Meskipun, pertanyaan berbasis kinerja baru yang saya sebutkan sebelumnya adalah langkah yang pasti untuk mengukur keterampilan yang sebenarnya.) Sertifikasi adalah indikator bahwa seseorang meluangkan waktu dan berusaha untuk mempelajari apa yang diperlukan untuk mengikuti dan lulus ujian. . Namun yang pasti pengalaman langsung - bahkan jika pengalaman itu hanya di laboratorium selama kursus - selalu lebih disukai daripada sertifikasi saja.
Ingin tentang sertifikasi IT? Lihatlah bagian Karir IT Techopedia.
Untuk info lebih lanjut langsung dari CompTIA, lihat halaman resmi untuk Security + dan CASP.
