by A.Pinya Hom-anek, CISSP,CISA
ACIS Professional Team

เราจะแยกความแตกต่างของใบรับรองผู้ดูแลความปลอดภัยข้อมูลคอมพิวเตอร์ของแต่ละสำนักได้อย่างไร ? ไม่ว่าจะเป็น CISSP, CISA, CISM หรือ GIAC 
GSEC, CNSP, CISSP, Security, CISA, CISM, GCWN, GCFW, GCUX และอีกหลายๆ ใบรับรองสำหรับผู้ดูแลระบบความปลอดภัยข้อมูลคอมพิวเตอร์ทำให้เราสับสนกันพอสมควรว่าใบรับรองใบไหนมีคุณค่าและความน่าเชื่อถือมากกว่ากัน

แวดวงด้าน Computer Security นั้น มีการออกใบรับรองกันอย่างมากมาย ทำให้บางทีบรรดา “IT Professional” ทั้งหลายถึงกับงงว่าใบรับรองจากสำนักไหนจะดีกว่ากันหรือมีความแตกต่างกันอย่างไร ล่าสุดทางสำนักผู้ออกใบรับรองเองก็ยังมีข้อพิพาทระหว่างกัน คู่กรณีก็คือ “International Information Systems Security Certification Consortium” หรือ “ISC2” และ “The Information Systems Audit and Control Association & Foundation” หรือ “ISACA” เรื่องเกิดขึ้นในเดือนพฤศจิกายนที่ผ่านมาทาง “ISC2” แถลงว่าใบรับรองใหม่ล่าสุดของ ISACA ที่มีชื่อว่า “CISM” Certified Information Security Manager นั้น มีความคล้ายจนเกือบเหมือนกันใบรับรอง “CISSP” ของตนเอง ซึ่งทำให้ตลาดเกิดความสับสน และ ทำให้เกิดความซ้ำซ้อนในการสอบอีกด้วย
ขณะที่ในท้องตลาดเต็มไปด้วยใบรับรองจำนวนมาก ทำให้คนไอทีหลายๆคน ต้องลงทุนลงแรง ทุ่มเททั้งแรงกายและแรงใจ (รวมทั้งเม็ดเงินด้วย) เพื่อให้ได้มาซึ่งใบรับรองเหล่านี้ ข่าวดีสำหรับทุกคนก็คือ เราควรจะลงทุนลงแรงเตรียมตัวสอบกันใบรับรองที่ได้มาตรฐานและทั่วโลกให้การยอมรับ ซึ่งในขณะนี้ ก็มีเพียงสำนักใหญ่ๆ 3 สำนักเท่านั้น ที่เป็นที่ยอมรับนับถือในองค์กร เรียกได้ว่าถ้าได้ใบรับรองมาแสดงบนนามบัตรแล้วละก็ไม่ต้องอายใคร และยังเป็นใบรับรองที่ไม่ขึ้นกับผลิตภัณฑ์ที่เราเรียกว่า “Vendor-neutral” อีกต่างหาก 3 สำนักที่ว่าได้แก่ ISC2, ISACA และ SANS Institute ที่มาในนามของ GIAC (Global Information Assurance Certification) ในวงการโดยเฉพาะเวลารับสมัครบุคลากรด้าน Information Security ล้วนให้การยอมรับผู้ที่สอบผ่านในรับรองของทั้ง 3 สำนักนี้เป็นอย่างดี

CISSP สุดยอดของใบรับรองด้านความปลอดภัยข้อมูลคอมพิวเตอร์สำหรับวันนี้
ISC2 เรียกชื่อใบรับรองของตนเองซึ่งได้แก่ CISSP ว่าเป็น ” The Gold Standard ” สำหรับวงการ Information Security บรรดา IT Manager ต่างๆล้วนให้การยอมรับ จากการสำรวจด้านความนิยมของใบรับรองและอัตราเงินเดือน รวมทั้งโบนัสของบริษัท Foote Partner LIC ซึ่งเป็นบริษัทที่วิจัยข้อมูลด้านนี้โดยเฉพาะพบว่าผู้ที่สอบผ่าน CISSP นั้น มีอัตราการเพิ่มของเงินเดือนโดยเฉลี่ยเพิ่มขึ้น 11% จากปีที่แล้ว ซึ่งจัดอยู่ในอันดับต้นๆและ CISSP ยังเป็นใบรับรองที่มีอัตราการเจริญเติบโต เป็นอันดับหนึ่งถ้าวัดกันในแง่ของอัตราการจ่ายผลตอบแทนที่เพิ่มขึ้นถึง 38% ภายใน 1 ปีของการทำงาน

Paul Mueller ดำรงตำแหน่ง VP of Technology Service ของบริษัท Schneider National Inc. ซึ่งเป็นบริษัทให้บริการรถบรรทุกหนักขนส่งสินค้าที่ใหญ่ที่สุดในทวีปอเมริการเหนือ เป็นผู้หนึ่งที่สอบผ่าน CISSP ได้ให้ความเห็นว่าใบรับรอง CISSP นั้น เป็นส่วนสำคัญส่วนหนึ่งของประวัติการทำงานของผู้บริหารทาง IT โดยทั่วไป
การที่บริษัทจะเลือกจ้างงานผู้บริหารทางด้านไอทีนั้น ผู้ที่ได้รับใบรับรอง CISSP จะดูมีน้ำหนักมากกว่าใบรับรองจากสำนักอื่นๆ ทำให้โอกาสที่จะได้งานจึงมีสูงตามไปด้วย
“ผมคิดว่าต้องใช้ทั้งเวลา ความพยายาม ความตั้งใจเพื่อที่สอบให้ผ่าน นอกเหนือจากความยากของตัวข้อสอบเอง” Mueller กล่าว

“ข้อสอบค่อนข้างหินพอสมควรเลยทีเดียว และต้องมีความรู้กว้าง แทบทุกด้านของ Information Security ถึงจะมีโอกาสสอบผ่าน CISSP”
ข้อสอบ CISSP เน้นวัดความรู้ในเชิงกว้าง ไม่ใช่เชิงลึกในด้านใดด้านหนึ่ง Alex Bradstreet ตำแหน่ง “Senior IT Consulting Manager ของ Baker Newman & Noyes LLC บริษัทรับปรึกษาทางบัญชีในเมือง Portland ผู้ซึ่งเป็นอีกคนหนึ่งที่ได้รับใบรับรอง CISSP กล่าวว่า “ข้อสอบเปรียบได้กับความลึก 2 นิ้ว แต่ความกว้าง 1 ไมล์” ซึ่งหมายถึงข้อสอบจะไม่ลงลึกในทางเทคนิค แต่จะออกกว้างๆครอบคลุมศาสตร์ในทุกด้านของ Information Security
ขณะที่ GIAC นั้นเน้นไปในทางเชิงลึกทางด้านเทคโนโลยีสารสนเทศและ CISM เน้นไปทางด้านการจัดการระบบรักษาความปลอดภัย CISSP จะเน้นไปทาง “Best Security Practices”, “Security Control” และการดำเนินธุรกิจให้สอดคล้องกับ Security Control ต่างๆ อย่างเหมาะสม

ถ้าเรื่อง Audit ต้องใบรับรองของ ISACA
ก่อนที่จะสอบ CISSP นั้น Mr. Bradstreet บอกว่าตัวเขาเองสนใจ CISA (Certified Information Security Auditor) และ CISM ของ ISACA ซึ่งเขาพบว่าใบรับรองทั้ง 2 ใบนี้เน้นทางด้านการจัดการบริหารมากว่าด้านเทคโนโลยี
จากการที่ ISACA เน้นทางด้านการบริหารเป็นพิเศษ ทำให้ Dwayne R Johnson ตำแหน่งที่ปรึกษาด้านการบริหารของบริษัทข้ามชาติทำธุรกิจด้าน Entertainment รายหนึ่ง สนใจที่จะลงทุนสอบผ่านทั้ง CISA และ CISSP และเขายังมีประสบการณ์ที่สามารถจะได้รับใบรับรองอีกใบเพิ่มได้แก่ CISM ของ ISACA อีกด้วย

ขณะนี้ CISSP เป็นใบรับรองที่เหมาะสำหรับทุกคนที่อยู่ในวงการ Information Security แต่ CISM นั้น เหมาะสมกับระดับผู้บริหารที่ไม่จำเป็นต้องมีความรู้ทางด้านเทคนิคมากนัก Johnson กล่าว ในบริษัทของเขา มีพนักงานรับผิดชอบด้าน Information Security อยู่ทั้งหมด 45 คน โดยกลุ่มที่ทำงานทางด้าน เทคนิคนั้นเขาจะแนะนำให้สอบ CISSP และกลุ่มระดับบริหารจัดการก็แนะให้สอบ CISM เช่นกัน

หลายคนที่สอบผ่านทั้ง CISA และ CISSP แถมยังมีใบรับรองพ่วงท้ายอีก ซึ่งใบรับรองเหล่านี้เป็นลักษณะที่เรียกว่า “Nut & Bolts” หมายถึงมีรายละเอียดปลีกย่อยทางด้านเทคนิคในเชิงลึกถึงขั้นคำสั่งในการใช้งานเลยทีเดียว Johnson กล่าวว่า “CISA นั้นเป็นมาตรฐานในการทำงานด้านตรวจสอบ (Audit) ระบบความปลอดภัยและการจัดการกับความเสี่ยง (Risk) แต่เราต้องการทั้ง CISA และ CISSP (ซึ่งเน้นทางด้านเทคนิคมากกว่า CISA) ตลอดจนใบรับรองจากทาง GIAC (ซึ่งเป็นสุดยอดการวัดความสามารถทางเทคนิคในเชิงลึก) ถึงจะเรียกได้ว่าสมบูรณ์แบบ”

GIAC สุดยอดการวัดความรู้ลึกทางด้านเทคนิค
ถ้าจะเปรียบเทียบก็คือมีความแตกต่างอย่างสุดขั้วระหว่าง CISM และ GIAC เพราะ GIAC นั้นเน้นความรู้ด้านเทคนิคเป็นหลักในการวัดความสามารถของผู้ที่ต้องการจะสอบให้ได้ใบรับรองของทาง GIAC ซึ่งมีทั้งหมด 11 ประเภท ครอบคลุมทั้งด้าน Firewall, IDS, Netware Audit, UNIX Security, Windows Security ตลอดจน Incident Response และ Forensic ด้วย
GIAC Certified Intrusion Analyst (GCIA) และ GIAC Certified Incident Handler (GCIH) เป็นสุดยอดของใบรับรองที่ได้รับอัตราเงินเดือนเพิ่มขึ้นสูงที่สุดที่ 12% และ 10% ตามลำดับ (จากการจัดอันดับทั้งหมด 14 ใบรับรอง) ขณะที่ CISA และ CISSP อยู่ที่ 9% และ 11% ตามลำดับ

David Hoelzer ดำรงตำแหน่ง Director ของ GIAC Certification Program กล่าวว่าความแตกต่างระหว่าง GIAC กับใบรับรองอื่นๆ ก็คือผู้ที่จะผ่าน GIAC ได้นั้นต้องผ่านการทำงานวิจัยที่ทาง GIAC เรียกว่า “Practical Assignment” เสียก่อน ซึ่งต้องใช้เวลาและความสามารถในการทำพอสมควร ผู้ที่สอบผ่านทาง GIAC จะ upload ผลงานของท่านใน Web Site ของ GIAC เอง (www.giac.org/cert.php) David ยังกล่าวเสริมว่า “ผู้ที่ทำงานในลักษณะ Day-to-day นั้นจำเป็นต้องมีความรู้จริงและรู้ลึกในสิ่งที่ตนรับผิดชอบอยู่ ควรจะมีความสามารถที่จะแก้ปัญหาทางด้าน Security ที่เกิดขึ้นในแต่ละวัน ยกตัวอย่างเช่น ถ้าได้รับมอบหมายให้ทำการติดตั้ง Firewall ก็ควรจะมีความรู้จริงในด้านการออกแบบและติดตั้งอย่างลึกซึ้ง ซึ่งส่วนใหญ่แล้วควรต้องมีประสบการณ์ในการทำงานในด้านนี้มาพอสมควร ซึ่งเห็นได้ว่า GIAC นั้น เป็นใบรับรองที่เน้นความสามารถในการปฏิบัติงานจริงเป็นหลัก”

จาก : หนังสือ eWeek Thailand
Update Information : 4 เมษายน 2546