Другий день зачитуюсь в Kostiantyn Korsun в коментах, як люди без жодного професійного сертифіката з кібербезпеки дискутують про їхню потрібність чи непотрібність. Чесно, думав що ці часи в минулому, але ніколи не кажи ніколи. Тому спробую пояснити свою позицію, яку я напрацював у глобальному диспуті на цю тему. Адже ні для кого не секрет, що українська спільнота кібербезпеки переживає ті самі срачі, що й західна професійна тусовка, але із запізненням в 5-7 років.
Отже, по-перше: професійні сертифікати з кібербезпеки не мають стосунку до вендорських сертифікатів. Навіть якщо вендор з кібербезпеки. Навіть якщо сертифікація дуже об‘ємна, іспит складний, та вимагає неабиякого практичного досвіду. Сертифікати вендорів – це артефакти системи контролю якості доставлення їхніх продуктів та сервісів уздовж ланцюга постачання. Іншими словами, щоб некваліфіковані та недосвідчені люди не стали на перешкоді бізнес-моделі вендора. Фарбу там не подряпали, не в ту розетку штекер не встромили тощо.
Звісно, я тут трохи накидую на фен, адже топові вендорські сертифікати вимагають фундаментальних знань з базових технологій, системної інженерії, архітектури тощо. Але колись давно я мав задачу в рекордні терміни провести близько 50 співбесід з потенційними архітекторами безпеки, половина з яких була обвішана шпалерами з логотипами Cisco, IBM, RSA, Microsoft, CheckPoint, McAfee… Я мав тоді на ці заходи дуже небагато часу, тому моїм першим питанням було: «Існує 10 фундаментальних принципів побудови захищених систем. Назвіть 3 з них». Таким чином я відфільтровував для продовження співбесіди 2 з 10 кандидатів.
По-друге, професійні сертифікати з кібербезпеки відрізняються між собою просто драматично. Є дуже базові, є середнього рівня, є такі що цілком підходять для вивчення самостійно, а є такі що здобуваються дуже нелегко та вимагають спеціального навчання.
По-третє, і в цьому головний прикол, – всі вони після отримання здаються не такими вже й цінними. Це нормальна реакція мозку людини, і основа цього явища пояснюється неврологічними процесами, які я навряд чи зможу зараз описати. Підкреслю лише, що довга та виснажлива робота винагороджується досягненням мети, та з часом і досягнення здається не таким вже й героїчним, і робота – не такою вже й важкою. Всі наші рішення, вчинки, помилки змінюють нас. І сьогодні, з висоти цих змін, наші минулі дії, думки та емоції виглядають по-іншому. Ми можемо посміхнутися, згадавши минулі страхи, зніяковіти, пригадавши минулі слова та вчинки, та без особливої гордості сприймаємо професійні здобутки. Здав і здав.
І ми не маємо манери приховувати ці думки від наших колег, які з того цілком логічно роблять висновки, що нічого складного та цінного в сертифікатах немає. Бо так сказала людина, яка пройшла квест з отримання того папірця. Тут немає нічого неприродного – людина, яка не має уявлення про предмет, спирається в його сприйнятті на досвід людини, яка має про предмет повніше уявлення. Ось і маємо, що несертифіковані спеціалісти «перестрибують» ментальний бар’єр та «зрізають» до результату, яким з ними поділилися інші. Але при цьому вони все ще не мають уявлення про те, що говорять, бо формулюють запозичені погляди, у формуванні яких не брали участі.
Я в жодному разі не стверджую, що люди без професійних сертифікатів не повинні обговорювати їхню відносну цінність. Люди можуть обговорювати все, що заманеться, якщо в них на те є час та натхнення. Просто годі сподіватися, що в результаті цих обговорень вони домовляться про щось конструктивне. Їхні аргументи лежать в площині, яка паралельна дійсності: вони можуть запозичити факти та переказати їх зі слів очевидців, але не мають змоги оцінити їхню справжність. Це теорія без експериментів, бодай подумки.
Саме тому я в певний момент прийняв рішення не обговорювати цінність сертифікатів із колегами, які їх не отримали. А з тими, хто їх має, залюбки пліткую, кепкую з ляпів в програмах навчання, та навіть жартую про їхню зарозумілість, безглуздість та відірваність від реальності. Можемо навіть зібратися якось після завершення чергового трирічного циклу та спалити наші CISSP/CISA/CISM тощо, хто зі мною?
Шкода, що деколи ці наші балачки чують ті, хто не в темі.
P.S. Тут напевно буде доречним вказати, що автор цього допису володіє CISSP, CISA та OSCP. Я, також, мав змогу отримати SCSA (Sun), CCNA (Cisco), CEH, та ISO27001LA, але продовжувати їх не став. Це може щось вам сказати про перші три згадані ачівки, але то вже зовсім інша історія.
Раз вже пішла така жара, то я спитаю. При прийнятті на роботу надаєш перевагу кандидатам з цими сертифікатами? З яких сертифікатів починати конкретно? В університеті нас готують до здачі CCNA (Security, Routing&Switching).
Важко сказати. CISA напевно вже не такий потрібний, хоча звісно це плюс. CISSP потрібен для розширення світогляду, але не критичний. OSCP/OSCE/AWAE – однозначно великий плюс. Інші по ситуації.
Бодя, я теж в Шевчена щасливо і на шару попав на CCNA програму (тоді окрім Routing&Switching нічого в природі ще не існувало).
Велика її перевага, в тому, що теорія і практика по мережам настільки вдало і щільно підібрані, що це економить купу енергії і часу читання менш вдалих книжок чи проходження лівих курсів. Плюс Cisco як не крути є стандартом на який рівняються. Так, що раджу проходити і складати іспит. Це потім вже з 10+ роками досвіду можна сидіти і думати здавати чи не здавати.