ความต้องการบุคคลากรผู้เชี่ยวชาญระบบรักษาความมั่นคงปลอดภัยข้อมูล คอมพิวเตอร์นับวันจะยิ่งเพิ่มขี้นในทุกปีจากสาเหตุหลายประการ เช่น อัตราการเพิ่มขึ้นของภัยอินเทอร์เน็ต และ อาชญากรรมทางคอมพิวเตอร์ ในรูปแบบใหม่ ๆ ทำให้องค์กรต้องการพนักงานผู้เชี่ยวชาญ หรือ ที่ปรึกษาทางด้านระบบความปลอดภัยข้อมูลคอมพิวเตอร์เพิ่มขึ้นเป็นเงาตามตัว ตลอดจนกระแสไอทีภิบาล หรือ "IT Governance" ที่กำลังมาแรง ดังนั้น เรื่องการตรวจสอบระบบสารสนเทศ หรือ "IT Audit" กลายเป็นเรื่องสำคัญที่ทุกองค์กรต้องปฎิบัติรวมถึง องค์กรต้องปรับตัวเข้ากับมาตรฐาน "Best Practice" ทางด้านระบบรักษาความมั่นคงปลอดภัยปลอดภัยข้อมูลคอมพิวเตอร์ต่าง ๆ ไม่ว่าจะเป็น ISO/IEC 17799, CobiT และ ITIL เป็นต้น บางองค์กรต้องปฏิบัติตาม "Regulation" หรือ กฏข้อบังคับต่าง ๆ จากหน่วยงานที่มีหน้าที่ควบคุมองค์กรเหล่านั้นเป็นผู้กำหนดกฏขึ้น และ ต้องปฏิบัติตามกฏหมายด้านไอทีต่าง ๆ ที่ถูกตราขึ้นเพื่อให้เข้ากับยุคสมัย ที่คอมพิวเตอร์กลายเป็นอุปกรณ์สำคัญที่ทุกองค์กรมีความจำเป็นต้องใช้ งานอย่างหลีกเลี่ยงไม่ได้

ในปัจจุบัน ใบรับรองผู้เชี่ยวชาญระบบความมั่นคงปลอดภัยข้อมูลคอมพิวเตอร์นั้น มีมากมายจากหลายสถาบัน ไม่ว่าจะเป็น Security + Certification จาก สถาบัน CompTIA, CISSP และ SSCP Certification จาก สถาบัน (ISC)2, CISA และ CISM Certification จาก สถาบัน ISACA และ GIAC Certification จาก สถาบัน SANS GIAC เป็นต้น ซึ่งใบรับรองจากสถาบันต่าง ๆ นั้น มี จุดเด่น จุดมุ่งหมาย และ มีคุณค่าความแตกต่างที่ไม่เหมือนกันในแต่ละใบรับรอง ใบรับรองที่ได้รับความนิยมจากอุตสาหกรรมคอมพิวเตอร์ในปัจจุบัน ยกตัวอย่าง เช่น

1. Security + Certification จาก สถาบัน CompTIA (www.comptia.org)

Security + Certification เหมาะสำหรับผู้เริ่มต้นในเส้นทางสู่ความเป็นมืออาชีพด้านระบบรักษาความมั่น คงปลอดภัยข้อมูลคอมพิวเตอร์ Security + Certification ต้องการประสบการณ์การทำงานทางด้านความปลอดภัยเครือข่ายขั้นต่ำ 2 ปี ข้อสอบจะครอบคลุมถึงเรื่อง Communication Security, Information Security, Cryptography, Access Control, Authentication, External Attack, Operation Security และ Organization Security การสอบ Security + สามารถสอบได้ที่ศูนย์สอบ Prometric และ Vue ทั่วไป ซึ่งขณะนี้มีผู้เชี่ยวชาญ ด้านระบบรักษาความมั่นคงปลอดภัยที่ได้รับใบรับรอง Security + Certification แล้วกว่า 13,000 คน โดย Security + Certification นั้นเหมาะที่จะเป็น Certification ในขั้นเริ่มต้น สำหรับผู้ที่ต้องการเตรียมตัวสอบ Professional Certification ในระดับสูงต่อไป

2. CISA (Certified Information System Auditor) และ CISM (Certified Information Security Management) Certification จาก สถาบัน ISACA (www.isaca.org)

CISA Certification เหมาะสำหรับผู้ตรวจสอบระบบสารสนเทศ (IT Auditor) และ CISM Certification นั้นเหมาะสำหรับผู้จัดการหรือผู้บริหารระบบความปลอดภัยข้อมูลคอมพิวเตอร์ คุณสมบัติของผู้ที่จะผ่านการรับรองจาก ISACA ได้นั้นต้องมีประสบการณ์ในการทำงานขั้นต่ำ 5 ปี และ ต้องทำคะแนนสอบได้ไม่ต่ำกว่า 75% จากการคิดคะแนนของผู้สอบทั้งหมดทั่วโลก CISA เป็น Certification ในระดับสูงที่ต้องการผู้สอบที่มีประสบการณ์ด้านการตรวจสอบระบบสารสนเทศใน ระดับหนึ่ง หากไม่เคยทำงานด้านตรวจสอบระบบสารสนเทศมาก่อนก็สามารถสอบได้แต่อาจต้องเตรี ยมตัวมากกว่าคนที่มีประสบการณ์มาก่อน CISA Certification กลายเป็นมาตรฐานขั้นต่ำของผู้ตรวจสอบสารสนเทศ (IT Auditor) ทั่วโลก ซึ่งการตรวจสอบของ CISA มักจะอ้างอิงตามมาตรฐาน CobiT ของ IT Governance Institute (www.itgi.org) สำหรับ CISM เป็น Certification ที่เน้นทางด้านการบริหารจัดการ Information Security อย่างเป็นระบบ CISM เหมาะสำหรับผู้บริหารระบบความปลอดภัยข้อมูลสารสนเทศระดับกลางถึงระดับสูง การสอบ CISM จะเน้นเรื่อง Information Security Governance, Risk Management, Information Security Program Management, Information Security Management และ Response Management

3. CISSP และ SSCP Certification จาก สถาบัน (ISC)2 (www.isc2.org)

CISSP และ SSCP Certification เหมาะสำหรับผู้เชี่ยวชาญระบบรักษาความมั่นคงปลอดภัยข้อมูลคอมพิวเตอร์มือ อาชีพระดับสูงที่ต้องการได้รับการยอมรับในระดับสากลเพราะ CISSP Certificationได้รับการรับรอง ISO/IEC 17024 "Personnel Certification System" ขณะนี้มีผู้สอบผ่าน CISSP แล้วกว่า 35,000 คนทั่วโลก ซึ่งในประเทศไทยมีเพียง 43 คน ณ วันนี้ 30 มิถุนายน 2548 ซึ่งถือว่าน้อยมากเมื่อเทียบกับประเทศเพื่อนบ้าน เช่น มาเลเซีย มี CISSP ถึง 107 คน และ สิงค์โปร์มีถึง 742 คน CISSP Certification ต้องการผู้สอบที่มีประสบการณ์ในการทำงานไม่ต่ำกว่า 4 ปี และมีความเข้าใจศาสตร์ด้านการรักษาความปลอดภัยทั้ง 10 ด้าน เรียกว่า CBK หรือ "Common Body of Knowledge" ได้แก่ Access Control, Telecom & Network Security, Application & System Development Security, Security Management, Cryptography, Security Management, Operation Security, Business Continuity Planning & Disaster Recovery Planning, Law Investigation & Ethic และ Physical Security จะเห็นได้ว่าผู้ที่จะสามารถสอบผ่าน CISSP ได้นั้นต้องมีความรอบรู้ศาสตร์ทั้ง 10 ด้านดังที่ได้กล่าวมาแล้ว ซึ่งข้อสอบมีทั้งหมด 250 ข้อใช้เวลา 6 ชั่วโมงเมื่อเทียบกับ CISA และ CISM ถือว่าใช้เวลานานกว่า 2 ชั่วโมง เพราะ CISA และ CISM มีข้อสอบ 200 ข้อ และใช้เวลาทั้งหมด 4 ชั่วโมง

สำหรับ SSCP Certification นั้นเหมาะสำหรับผู้เชี่ยวชาญทางด้านเทคนิคซึ่งแตกต่างกับ CISSP Certification ที่เน้นไปที่ผู้บริหารแต่ก็ยังคงมีคำถามทางด้านเทคนิคอยู่มากพอสมควร

4. SANS GIAC Certification จาก สถาบัน GIAC Global Information Assurance Certification (www.giac.org)

GIAC Certification เหมาะสำหรับผู้ที่ต้องการความเป็นสุดยอดทางด้านเทคนิคขั้นสูง และ เน้นด้านการปฏิบัติงานจริง GIAC เป็น Certification ในลักษณะ "Vertical" ซึ่งต่างจาก CISA, CISSP และ CISM ที่มีลักษณะ "Horizontal" หมายถึง GIAC Certification นั้นเจาะลึกทางด้านเทคนิคในด้านใดด้านหนึ่ง เช่น GCFW เจาะลึกทางด้านไฟร์วอลล์ GCIA เจาะลึกทางด้านระบบป้องกันผู้บุกรุกเป็นต้น ขณะที่ CISA, CISSP และ CISM Certification จะเน้นความรู้ในองค์รวมแบบกว้าง ๆ ไม่เจาะลึกเรื่องใดเป็นพิเศษ ในลักษณะ "Vertical" ดังนั้นผู้ที่ต้องการสอบผ่าน GIAC Certification นั้นควรจะไปเรียนที่สถาบัน SANS เสียก่อน (www.sans.org) และ ต้องทำ "Practical Assignment" เป็นลักษณะงานวิจัยกว่า 100 หน้า A4 และสอบอีก 4 ชั่วโมง ซึ่งข้อสอบจะเน้นเรื่องเทคนิคในเชิงลึกขึ้นกับ GIAC Certification ที่เราเลือกสอบ ซึ่งมีสาขาให้เลือกสอบทั้งหมดกว่า 20 สาขา ขณะนี้ ปี 2005 มีผู้สอบผ่าน GIAC ทั่วโลกเพียง 9,195 คนเท่านั้น คุณสมบัติผู้ที่จะสามารถสอบเป็น GIAC Certified นั้นต้องมีประสบการณ์ขั้นต่ำ 4 ปี

สรุปได้ว่า "Professional Information Security Certification" จากทุกสถาบันล้วนมีจุดเด่นต่างกัน ขึ้นกับประสบการณ์ ความรู้ คุณวุฒิ และ วัยวุฒิ ของผู้สอบที่จะเป็นปัจจัยในการตัดสินใจสอบของผู้เข้าสอบด้วย เพื่อให้ได้มาซึ่งใบรับรองเป็นผู้เชี่ยวชาญระบบรักษาความมั่นคงปลอดภัย ข้อมูลคอมพิวเตอร์ในระดับสากล ซึ่งในปัจจุบันเป็นเรื่องสำคัญที่ไม่ควรจะมองข้ามทั้งในมุมมองของบุคคลใน ด้าน "IT Career Path" และ มุมมองขององค์กรที่ต้องการให้บุคคลากรและที่ปรึกษามีความรู้ความสามารถระดับ มาตรฐานที่ทำให้การปฏิบัติงานด้านการรักษาความมั่นคงปลอดภัยระบบข้อมูล คอมพิวเตอร์มีประสิทธิภาพและมีความปลอดภัยจากภัยอินเทอร์เน็ตทั้ง Virus, Spyware, Malware และ Hacker ในทุกวันนี้ที่มีอัตราเพิ่มขึ้นอย่างน่ากลัว

จาก : หนังสือ eWeek Thailand
ปักษ์แรก ประจำเดือน เดือนกันยายน 548
Update Information : 30 สิงหาคม 2548

Comment

Comment:

Tweet