אחת הסיבות בגללה לא כתבתי כאן כבר זמן מה היא שהתכוננתי לבחינת CISSP (שזה, אם ממש מתעקשים, Certified Information Systems Security Professional), אותה עברתי השבוע (אני עדיין לא מוסמך באופן רשמי, אבל את החלק הקשה עברתי). לכל אורך הלימודים וההכנה לא יכולתי שלא לשים לב לקווי הדמיון בין ההסמכה הזו, לבין הסמכה אחרת שמתחבאת אצלי במגירה כבר כמה שנים, הלא היא CTFL של ISTQB. גם כאן, השימוש במילה "הסמכה" הוא, בלשון המעטה, נדיב, מה שלא מפריע לגוף המסמיך לקשור כתרים לתעודה הזו ולטעון שהיא מעידה על מקצועיות אין-קץ. ההסמכה הזו, למרות המוניטין הקצת יותר מוצלח שלה, לא באמת משפרת את היכולת שלי לתפקד בעולם אבטחת התוכנה ולא חידשה לי שום דבר שנראה לי שימושי כרגע - אולי אספתי כמה מילות מפתח שאוכל לחפש בהמשך אם אכנס לתחום חדש, אבל זה פחות או יותר הכל. גם בתחום חיפוש עבודה (שלא עומד כרגע על הפרק, תודה ששאלתם) אין להסמכה הזו יתרון נראה לעין - חיפוש באולג'ובס העלה תשע משרות שהכילו התייחסות לCISSP, אף לא אחת מהן קשורה לפיתוח תוכנה או בדיקות. באופן משעשע במקצת, קיבלתי את אותו מספר משרות כשחיפשתי ISTQB (על CTFL, אין ממצאים בכלל). אני מוכן להאמין לסיפורים שסיפר המדריך בקורס על חברה שאיבדה עסקה של מיליונים כי הצד השני לא הסכים לדבר עם מי שאין לו את ההסמכה, אבל המצב בארץ לא נראה לי דומה, וממילא - עסקאות של מיליונים זה תפקידם של אנשים אחרים.
כשדיברתי על כך עם חברה, היא שאלה שאלה שלא הקדשתי לה מספיק מחשבה כדי לנסח את התשובה באופן רהוט (ולכן אני כותב כאן) - אם זה המצב, למה לטרוח? רק כדי לתלות תעודה על הקיר? זה לא משפיע על הגדרת התפקיד שלי, על תנאי השכר או על היכולת שלי לעשות עבודה טובה. למה להתאמץ כדי לעבור את המבחן?
התשובה שלי לזה היא שמבחינתי מדובר בראש ובראשונה בהצהרת רצינות - הבחירה שלי לעבור הסמכה לא מיועדת רק להוסיף לי ידע (למרות שזה יהיה נחמד מאוד אם זה יקרה), אלא גם להראות - לסביבה ולי עצמי, שאני לוקח ברצינות את העניין שיש לי באבטחת תוכנה. יש בהסמכה הזו שלושה חלקים שמאפשרים לי להרגיש שלם עם ההצהרה הזו -
- הבחינה קשה. מספיק קשה כדי שלא ארצה להיבחן בה שוב עכשיו אחרי שהתכוננתי, ובוודאי שלא בעוד שנה כשרוב החומר יישכח (ובינינו - מה שנה? שבועיים). לצורך ההשוואה, אם מישהו יעיר אותי באמצע הלילה ויבקש שאעבור מחדש את בחינת CTFL, אני די בטוח ביכולת שלי לעבור אותה, ואם משמיטים מקרי קיצון של מחסור חמור בשינה או מחלה קשה - אני לא מבין איך אפשר להיכשל בבחינה הזו.
- חלק בלתי נפרד מהזכות לתואר CISSP היא החובה להמשיך ללמוד כל הזמן - מוסמכים נדרשים להציג הוכחות לכך וכך נקודות לימוד בכל שנה. יש מגוון רחב של דרכים להשיג את נקודות הלימוד האלה, אבל המשמעות הבסיסית שלהן היא שמוסמך מפגין לפחות עניין מינימלי להישאר מעודכן.
- הבחינה דורשת ניסיון מינימלי (והמלצה ממוסמך אחר) - בחינה, בטח בפורמט של "נחש את התשובה הנכונה", לא יכולה להעיד על כשירות לתפקיד, כי יש אנשים שפשוט מיומנים במעבר מבחנים. דרישת הניסיון הזו מפצה במקצת על המגבלה המשמעותית הזו.
דבר אחד שחסר לי הפעם, ודווקא הצלחתי לחלץ מההכנה למבחן CTFL, היה תהליך הלימוד - גם כאשר הבחינה עצמה חסרת ערך והקשר בין חומר הלימוד למציאות קלוש, אפשר לנצל את ההכנה לבחינה כדי להתבונן על תהליכים וללמוד -לאו דווקא את החומר לבחינה, אבל מספיק דברים קשורים מסביב כדי לעורר מחשבה. במקרה של CISSP, גודש החומר (שעדיין גורם לי לסחרחורת) והמיקוד בפרטים טכניים למדי לא משאירים זמן למבט תהליכי או להבנה ומחשבה. בכל זאת - כהכרזת רצינות, אני די מרוצה. זמן העמקה ומחשבה יהיה בהמשך, כשאמשיך ללמוד כדי לשמר את התעודה.
----------------------------------------------------
One of the reasons I didn't write here lately is that I was preparing to take the CISSP exam, which I did this week. While preparing, I couldn't help but notice some similarities and dissimilarities with a certificate I already posses - the ISTQB CTFL. For starters, calling either of those a "Certification", in the sense of "testimony of capability" is quite generous. In both cases, the way to pass the test is to memorize some data which might be even correct or relevant, and when choosing an answer based on that data, the test-takers should remember to skew their perception so that the subject of the certification is the number one priority. Passing the CISSP test (note - unlike the CTFL, passing the test isn't enough to be eligible for CISSP), and learning towards it, didn't really improve my ability to work, and it didn't add much to what I know about security. Even when looking at the selfish aspect of opening new job opportunities, this certificate does not have much to offer - There is nothing in my current workplace which requires it (and I know of), and when I reviewed a job posting site and the few openings that mention CISSP are something along the lines of "we are looking for someone to configure our firewalls and manage our networks", which is really not what I would look for if I was looking for a new position.
When I spoke about taking the exam with a friend, she asked me "why bother?" If this doesn't add knowledge and won't find you new work opportunities - there's really no value in taking the exam, right?
That's a good question, and one I didn't think thoroughly enough to have an eloquent answer (hence this post).
My answer is that even if we assume that the certificate itself is useless and adds zero value (which I don't say - I think this certification could be much stronger, but it still has some value for me), I regard having the certificate as as a statement of taking security seriously as a career path. What enables me to regard this certificate as this statement are three main differences between CISSP and CTFL:
- The exam is difficult. Difficult enough so that I won't be comfortable attempting it again now, when I am as prepared as I was when I attempted the exam. Certainly, it is not something I would try in a year (or a couple of weeks) from now - when the material learned specifically for the exam will be forgotten. For CTFL, if you want me to take again the test, feel free to wake me up in any hour of the night and I expect to pass it. In any other hour of the day where I'm not sleepy, I can't imagine managing to somehow fail it.
- A condition for keeping the CISSP certificate is to continue learning relevant material - a CISSP must gain a certain amount of CPE (Continued Professional education) each year.
- Gaining the certificate requires five years of experience (and vouching from a person that was already certified). A test, even if it is a difficult one and not a multiple choice memorization test, cannot really attest for a person's fit to work. Past experience, on the other hand, can do that to some extent.
One other difference that I liked less is that when preparing for the exam there was no real learning happening, and considering the wide scope of the material (I'm still dizzy when I think about it) - I don't think there could be any learning process crammed into it. When learning for the CTFL test, I had time to go over the basic concepts and think them through, and force the preparation to be valuable for me. Well, I will have this time of going deeper when I learn to keep the certificate valid (that is, after I will get it). All in all, I'm quite satisfied with making this statement.