iT邦幫忙

0

為什麼CISSP在台灣不被重視?

CISSP CBK
很多人考過CISSP後,不但沒有升官、也沒有加薪;甚至沒有得到公司應有的重視,反而平白增加不少資安相關的工作負擔,因此感嘆CISSP在台灣不被重視。想要換工作,卻發現雇主都是猴園主人,只拿得出香蕉。更傷人的是,沒有人知道什麼是CISSP! 回過頭,才驚覺CISSP只是自己跟資安圈內人自high的一場遊戲...

事實是這樣嗎? 其實不然。CISSP在台灣受重視的程度雖然跟國外相比差異甚遠,但會有這種落差的根本原因,我認為是企業對CISSP的認知不足,以及證照持有者對CISSP的定位錯誤

CISSP的認知不足

由於過去企業普遍不重視資安,即使稍有資安概念的企業也大多由IT部門來主導資安事務,導致資安被視為技術議題。當資安缺乏業務或商業思維(business mindset),就無法得到經營高層的重視,資安人員在企業自然無法取得足夠的資源及展現應有的績效。再加上資安理論未臻完善,資安依賴從實務來累積經驗,從而披上一門神秘的色彩。尤其是媒體對於駭客的誇張詮釋,讓一般大眾對資安產生刻版印象,一談到資安就想到網路、技術、釣魚、駭客、入侵、暱名者、網軍等。

除了一般大眾的認知不足,即使資訊人員或資安的從業人員,對於資安的認知也相當局限。何謂資安? 何謂風險? 何謂威脅? 光是溝通的基本用語都定義不清,如何能有效地跟雇主及一般大眾溝通,了解他們的安全需求,進而提出解決方案,甚至將資安發展成一門專業呢?

以上認知不足的現象充分的反應在台灣CISSP人數遠遠落後於亞洲其它國家的冰冷的統計數字上! 因為企業不重視資安,以及CISSP考試的成本及門檻較高,導致投資CISSP證照的實質效益不足,所以只有少數追求自我成就的資安人員願意投資在CISSP這張證照。

解決CISSP認知不足的問題,最積極的作法就是建立強大的CISSP社群強大是指實力強數量大! 取得CISSP資格雖不一定代表實力一定強,但卻是一個讓資安人員整體實力變強的好起點!然而,實力強,人數少也是功虧一簣!台灣至少需要1500位以上的CISSP,才能實質滿足台灣的資安需求;CISSP人數夠多,才能讓CISSP資格成為基本門檻,也才能防止讓廠商大玩借牌標案/綁標的遊戲。讓CISSP實質參與每個專案,才能真正提升台灣資安水準及建立資安專業。

此外,目前ISC2台北分會已在籌設階段,明年可望成為ISC2的正式分會。台北分會的成立,將讓CISSP在資安領域有更多貢獻所學的空間,以及更大的影響力及話語權。

CISSP數大便是美、團結力量大!

CISSP的定位錯誤

CISSP題目不難!但準備CISSP很難!CISSP題目的難度,其實只是各專業領域的基本觀念,甚至是常識。因此,對於資深人員而言,CISSP並不難,真正困難的是準備考試的專案管理及執行力。但對於剛好滿足CISSP考試資格(相關工作經驗滿五年)的朋友,可能就是一個不小的挑戰,因為它的考試範圍相當廣,必須要準備一段相當的時間才能考過。當時間拉愈長,讀後面忘前面,若沒有超強的意志力及有效的讀書方法,事實上是相當困難的。

專業是指賴以為生的專門職業;對於資安專業人員,CISSP是基本要求。因此,從事資安的專業人員第一個要認清的無情現實是,CISSP"不是"黃金證照!它只是資安專業的 基準(baseline) 證照。說白了,CISSP是資安人員的基本門檻。當你把資安當作專業,為雇主提供專業服務,取得CISSP證照是最基本要求。在國外,CISSP就是這麼一回事;沒有CISSP,你的資安工作將會不保,而不是你取得CISSP可以加薪多少。以美國為例,這個門檻直接寫在美國國防部的DoD 8570.1政策指示中。

CISSP證照只是創造價值(value)必要條件,而不是充分條件。你費盡千辛萬苦考到的CISSP證照,不會馬上讓你從工程師或基層人員,搖身一變成為CISO資安長,也不會讓你的薪資翻好幾翻。你一開始能獲得的,只有爆表的自信心與成就感,但這也是CISSP最可貴的價值。你的薪資及升遷,還是取決於你能對企業貢獻的價值

資深的資安人員,可以透過CISSP證明自己的專業,以節省說服客戶的口舌時間。尋求學習更多的資安人員,CISSP則是一個建立資安專業的好起點!

結論

有的雇主只有香蕉,CISSP要先找對雇主,才不用反證自己不是猴子。
CISSP只有讓台灣的社群夠強大,市場才不會出現香蕉。
資安是一門專業,資安人員要有商業思維,才能幫公司創造價值、為自己加薪。
成敗論英雄。

原始出處: 為什麼CISSP在台灣不被重視?


2 則留言

2
CyberSerge
iT邦好手 1 級 ‧ 2020-11-17 09:46:38

個人覺得Security+才是資安人員的基本門檻;CISSP的價值是超過baseline的。

同意證照只是創造價值的條件之一,你能對企業貢獻的價值才是價值。所以考過後可以去別間企業創造價值(咦?)

美國國防部的DoD 8570將baseline certification分得比較細. 資安有不同的工作職務, 如IAT, IAM, IASAE等. 同一類的工作也分不同的level. 針對不同職務, 不同level的工作有不同的基準證照要求.
若是從"專業"的角度來看, Security+算是通識或入門, 我個人比較不會把它當作"專業"的基準證照.

我想我們對於「專業」的定位不同。

我的想法是:只要有基準的知識程度之後,具備一個領域的知識能力,便可算是專業,類似金字塔。例如稽核師Security+ 配CISA;白帽走Security+ 配CEH或OSCP等等。通常這時候已經滿足或快滿足五年工作經驗,由此往上再往CISSP發展,站上另一個階段。

畢竟我覺得把CISSP當作"專業"的基準證照,感覺沒考上CISSP的人就不算專業人士很奇怪。

是的. 文章重在溝通觀念, 所以我儘可能把大家常用, 但可能認知不同的用語作了定義. 我文中的"專業"是指"賴以為生"的專門職業, 不是指厲不厲害或懂多少東西.

對於將知識與技能作為提供服務收取費用的"專業"人員, 他們不用證明自己多厲害, 他們要證明的是能夠向雇主或客戶提供價值, 並穫得認同. 而CISSP證照對這些人而言, 只是一個基本的門檻. 我並不是說沒有CISSP就不厲害或不懂資安. 但我認為只要以資安作為主要工作及職涯發展的上班族,就必須從 "賴以為生" 的專門職業(專業)的角度思考。

"具有專業水準的表現"跟"專業"本身是二個不同的概念。舉例而言, 你可以打高爾夫破72桿(標準桿), 這種表現雖然幾乎是所謂的職業水準, 但它可能只是你的興趣, 而不是你的專業, 因為你不靠它賺錢養家. 靠打高爾夫職業賽賺獎金過生活的選手, 在我的定義裏面, 才叫作專業(pro).

台灣的資安要跟上國外, 資安人員就必須轉變思維, 除了建立個人的資安專業, 也要共同打造一個資安的專門職業(profession). 這也是為什麼促進及保護專業(Advance and protect the profession)是ISC2的四大道德條款之一,也是為什麼ISC2及CISSP在全球的資安體系受重視的原因.

2
海綿寶寶
iT邦大神 1 級 ‧ 2020-11-17 10:25:03

請教一下
就您的看法
這裡面有那幾張證照是受到「重視」的

「重視」的主體是人,所以有第1,2,3方。

  • 第一方是自己,要先看自己重不重視。
  • 第二方是需要你這些"證照"(所代表的技能)的雇主或客戶; 如果他們不是很需要,那他們就不會太重視。
  • 第三方是上述二方之外的其它人,也許他們是你的同事、朋友、家人或其他人,他們也許不重視,但或許比你更重視。

考證照總是會有動機,也需要投入時間跟金錢。既然考了證照,至少表示自己重視這張證照。至於如何讓別人重視,那需要在考照前作好規劃。
專業,需要有明確的目標及有計畫地培養。能讓別人重視自己的證照固然不錯,若能讓雇主/客戶重視自己的專業則更好。如何讓別人重視,也是專業人士應有(或學會)的本事.
CISSP如何能獲得重視,是CISSP社群大家要共同努力的.

我要留言

立即登入留言