Detta inlägg handlar om att certifiera sig inom säkerhet. Varför är det intressant?

Det är stor efterfrågan på kunniga inom IT-säkerhet, och detta väntas dessutom öka kraftigt kommande år. Allt större fokus sätts på IT-säkerhet, när fler och fler delar av samhället digitaliseras. Allt mer känsliga data hanteras inom IT, fler och fler läckage och databrott uppmärksammas. Certifiering är ett bra sätt att visa upp sin kunskap, i synnerhet i början av karriären!

Säkerhetscertifiering är dessutom ofta med som krav i konsultupphandlingar, i synnerhet mot Försvarsmakten/FMV/MSB, olika civila myndigheter.

Några organisationer som certifierar inom säkerhet

  • CompTIA (Computing Technology Industry Association)
    • Grundat 1982
  • EC-Council (International Council of Electronic Commerce Consultants)
  • ISACA (Information Systems Audit and Control Association)
    • USA 1967
  • SANS Institute grundade certifieringsenheten 1999 och termen GIAC
    • Många olika kurser och certifieringar
  • (ISC)² International Information Systems Security Certification Consortium
    • Grundat november 1988
    • Kommer ur Special Interest Group for Computer Security (SIG-CS)
    • Vendor-oberoende & Non-profit
  • Specifika certifieringar inom t ex PEN-test: eCPTX (eLearnSecurity Certified Penetration Tester eXtreme)
  • Många tillverkare har egna kurser/certifieringar (inom sina egna lösningar). T ex Cisco CCNA, F5, RSA, Mïcrosoft, IBM, Nexus, McAfee, Fortinet Network Security Expert

CompTIA Security+

  • CompTIA Security+ brukar vara den första säkerhetscertifieringen som man erövrar. Den ger en god baseline inom cybersäkerhet och en bra ansats till lite mer kvalificerade IT-säkerhetsuppdrag.
  • Upptäcka olika sorters manipulation och förstå penetrationstestning och sårbarhetsscanning.
  • Installera, konfigurera och drifta nätverkskomponenter och samtidigt analysera och felsöka olika problem för att stödja intern säkerhet.
  • Implementera säkra nätverksarkitekturer och koncept.
  • Installera och konfigurera identitets- och accesstjänster, med hanteringskontroller.
  • Implementera och sammanfatta riskhantering, best practices, och affärspåverkan.
  • Installera och konfigurera trådlös säkerhet och implementera public-key-infrastruktur
  • Krav är juniornivå på tekniska färdigheter
  • CompTIA Security+ möter ISO 17024standarden, och även DoD (amerikanska försvarsdepartementets) direktiv 01-M.

EC-Council CEH (Certified Ethical Hacker)

En hands-on-certifiering som fokuserar mycket på kommersiella professionella verktyg för hackning, tekniker, metodologier som används av hackare och Informationssäkerhetsprofessionella, för att lagligt hacka organisationers infrastruktur.

CEH är lite mer specialistnivå, 2 års erfarenhet krävs förutom examensprov. Examen inkluderar dessutom praktiska övningar.

Senaste versionen är CEHv11.

Ingående moment:

  • Footprinting and Reconnaissance Scanning
  • Networks Enumeration
  • Vulnerability Analysis
  • System Hacking
  • Malware Threats
  • Sniffing
  • Social Engineering
  • Denial-of-Service
  • Session Hijacking
  • Evading IDS, Firewalls, and Honeypots
  • Hacking Web Servers
  • Hacking Web Applications
  • SQL Injection
  • Hacking Wireless Networks
  • Hacking Mobile Platforms
  • IoT Hacking
  • Cloud Computing
  • Cryptography

ISACA

  • Kan kanske kallas främsta konkurrenten till ISC².
  • Upphov till en rad av de mest kända certifieringarna:
  • CISA – Certified Information Systems Auditor
  • CRISC – Certified in Risk and Information Systems Control
  • CISM – Certified Information Security Manager
  • CGEIT – Certified in the Governance of Enterprise IT
  • CSX-P – Cybersecurity Practitioner Certification
  • CDPSE – Certified Data Privacy Solutions Engineer
  • CISM anses något mindre omfattande än CISSP men de överlappar varandra kunskapsmässigt en del, mindre teknisk men mer administrativ/affärsstrategisk.

SANS/ Global Information Assurance Certification

Några områden inom GIAC (Global Information Assurance Certification) där man kan ta olika certifieringar (alla motsvarar olika kurspaket på SANS (Escal Institute of Advanced Technologies, SANS är egentligen en förkortning för SysAdmin, Audit, Network, and Security):

  • Cyber Defense
  • Penetration Testing
  • Management, Audit, Legal
  • Operations
  • Developer
  • Incident Response and Forensics
  • Industrial Control Systems
  • GSEC (GIAC Security Essentials)

(ISC)²

International Information Systems Security Certification Consortium har ett flertal certifieringar, varav CISSP är den mest kända (och mest omfattande):

  • CISSP – Certified Information Systems Security Professional
  • SSCP – Systems Security Certified Practitoner
  • CCSP – Certified Cloud Security Professional
  • CAP -Certified Authorization Professional
  • CSSLP – Certified Secure Software Lifecycle Professional
  • HCISSP – HealthCare Information Security and Privacy Practitioner
  • CISSP-ISSAP – Information Systems Security Architecture Professional
  • CISSP-ISSEP – Information Systems Security Engineering Professional
  • CISSP-ISSMP – Information Systems Security Management Professional

Som synes finns även tre stycken påbyggnadscertifieringar på CISSP.

CISSP följer ANSI ISO/IEC Standard 17024:2003. U.S. Department of Defense (DoD),  Information Assurance Technical (IAT), Managerial (IAM), System Architect and Engineer (IASAEDoDD 8570 certification requirement samt det brittiska  UK National Recognition Information Centre (UK NARIC –  Level 7 .

Översikt olika säkerhetscertifieringars omfattning

Här är kan du se en interaktiv karta

Varför CISSP?

CISSP är en guldstandard att sträva efter för IT-säkerhetspersonal. Den förblir på topp och är ett krav för en majoritet av de högre IT-säkerhetsrollerna, högst rankad av alla säkerhetscertifieringarna, anses vara svårast av alla säkerhetscertifieringar.

CISSP-certifieringen visar att man har den avancerade kompetens, kunskap och engagemang som krävs för att nå högre befattningar och uppdrag.

”Det här är ingen promenad i parken” säger en kursleverantör till CISSP. Vi håller med.

CISSP är väldigt bred, fokuserar på den operativa sidan medan till exempel CISM är mer specifikt riktad mot den strategiska sidan av IT-säkerhet och kopplingen till affärsmålen.

Många undersökningar visar att CISSP är den mest kända av alla säkerhetscertifieringar:

Vilka roller kan behöva CISSP-certifiering?

Först och främst de ansvariga rollerna, Chief Information Security Officer (CISO) och  Chief Information Officer (CIO). Även Director of Security/IT Director/Manager är certifieringen relevant. Sen tillkommer alla mer operative roller, t ex Security Systems Engineer, Analyst, Manager, Auditor, Architect och de lite mer perifera rollerna såsom t ex nätverksarkitekt.

Vad krävs för CISSP?

  • Minst 5 års erfarenhet inom minst 2 av domänerna (skall styrkas)
  • Endorsement (rekommendation) av annan CISSP:are
  • Ostraffad för IT-relaterade brott
  • Klarat av svår examenstentamen på testcenter
    • (ISC)² authorized test center (PVTS Select Pearson VUE), finns på några platser I Sverige.
    • 100-150 frågor skall besvaras på 180 minuter
    • Adaptiva frågor, datorbaserat test. Progressivt svårare beroende på svaren.
    • Minst godkänt inom ALLA 8 domänerna.
    • Både kunskapsfrågor och problemlösning testas.
    • Tentamen kostar €650 ($699) /tillfälle.
    • Omtenta 1 efter 30 dagar, 2 efter 60 dagar, 3 efter 90 dagar och max 4 ggr/år om man inte klarat tentan.
  • Erlagt medlemsavgift i ISC².
  • Certifiering gäller i 3 år, och kräver aktivitet under varje år, s k
    • CPE (Continuous Professional Education):
      • Aktiv i (ISC)²
        • local chapters
        • konferenser
        • utbildning
        • skriva artiklar
        • examensfrågor
        • etc
      • Man behöver 120 CPE-poäng över tre år för att behålla CISSP-certifikatet.

CISSP domäner och vikt

CISSP består av 8 olika domäner som viktas lite olika (viktningen inom parentes):

  1. Security and Risk Management                                  (15%)
  2. Asset Security                                                                 (10%)
  3. Security Architecture and Engineering                      (13%)
  4. Communication and Network Security                      (14%)
  5. Identity and Access Management                              (13%)
  6. Security Assessment and Testing                                (12%)
  7. Security Operations                                                      (13%)
  8. Software Development Security                                 (10%)

Erfarenheter från CISSP

Många testtentor, quiz och liknande finns tillgängligt i litteratur, kursmaterial och online, bra att göra som del av tentaplugg. Det är bra att gå CISSP-kurs men det räcker absolut inte för att klara provet om man är ny på området. Inte ens officiell kursbok med övningsbok på sammanlagt över 1500 sidor är tillräckligt. Det som är synnerligen bra att ha inför CISSP är en universitetsutbildning i botten (kryptologi, algebra, datasäkerhet, algoritmer, nätverk, kommunikation, datorarkitektur…) Man måste också  – de facto – ha den erfarenhet som nominellt krävs inom t ex datakom, telekom, säkerhet, mjukvaruutveckling och datorarkitektur.

CISSP är ett fantastiskt sätt att göra sina erfarenheter och sitt kunnande synlig!