certyfikacje cybersecurity vs obszary kompetencji
Certyfikacje obszaru cyberbezpieczeństwa, osób, procesów, organizacji to temat szeroki, dla wielu enigmatyczny i pretendujący do pracy dyplomowej. W tym wątku skupiam się na praktycznym aspekcie tj. jaki zakres pokrycia procesów i kompetencji za nimi się kryje.
Temat jest na czasie, bo uczestnicząc w „konkursach” jako dostawca rozwiązań cybersec, w tym SOC widzę spore niezrozumienie, a czasem wręcz nadużywanie roli certyfikatów, które mogą mieć znamiona kierowania do wyboru preferowanego dostawcy. W tym miejscu daję pod rozwagę, czy oddając samochód do naprawy sprawdzam kompetencję mechanika, certyfikacje, szkolenia, formę zatrudnienia, czy ufam warsztatowi, że zatrudnia najlepszego specjalistę, który rozwiąże mój problem? Zdarza się, że wiodące salony samochodowe biorąc odpowiedzialność za efekt zlecają realizację do firm osób zew. które są fachowcami w swojej dziedzinie posiadając lub nie stosowne akredytacje – mówiąc precyzyjnie, nasze auto może być naprawione w „stodole” – jeśli mamy pełną wiedzę procesu to dobrze, jeśli nie to często przepłacamy za wyobrażenie jakości.
Na koniec wielu moich przyjaciół i znajomych z branży nie ma certyfikatów, szkół a robią na prawdę bardzo dobrą robotę.
W Świecie dojrzałych organizacji certyfikacje stanowią pewien check-box, ktoś za nas dokonał weryfikacj rzetelności w działaniu, zgodności z normami i pewność, że wybrany dostawca lub organizacja jest przewidywalna, ma profesjonalną kadrę, a zlecone zadanie wykona należycie.
Nasz wybór oczywiście to wypadkowa budżetu, wiedzy, świadomości, doboru partnerów biznesowych, ale i koniecznych do spełnienia wymogów formalnych. Jak rynek omija konieczność posiadania certyfikatów to już wątek na inną rozprawkę.
Coraz częściej zamawiający stosuje zasadę „my way or higway”. Wskazują na certyfikacje, wysoko wieszają poprzeczkę swoim dostawcom usług, rozwiązań cyberbezpieczeństwa, bezpieczeństwa informacji, czy też swoim kontrahentom. Wymagają spełnienia wymogów formalnych, technicznych, proceduralnych, organizacyjnych – co mnie osobiście cieszy.
Dla reszty temat jest niezauważalny, ze względu na priorytet zasad: „apetyt na ryzyko” i „cena czyni cuda”.