За и против сертификации в сфере информационной безопасности
Пожалуй, ни одна другая тема не обсуждается ИБ-специалистами на всех уровнях так часто, как проблема сертификации знаний. Точек зрения на неё, в принципе, практически столько же, сколько и самих специалистов, и лежат они в диапазоне от «сертификация необходима» до «сертификация бесполезна». Что ж, давайте посмотрим, кто и в каких случаях оказывается правым.
О чем идет речь?
Для того, чтобы обсуждать плюсы и минусы чего бы то ни было, для начала необходимо понять, о чём именно идёт речь. Стоит отметить, что нередко споры по поводу сертификации возникают именно из-за того, что спорщики имеют в виду разные виды сертификатов, которые, действительно, не всегда одинаково полезны.
В большинстве случаев, когда говорят о сертификатах, их делят на две большие группы: сертификаты, получаемые организациями, и сертификаты, получаемые отдельными специалистами. Именно последние, как правило, и вызывают наиболее ожесточенные споры. Впрочем, нужно отметить, что в ряде случаев многое из того, что говорится о персональных сертификатах, совершенно справедливо и для их корпоративных «собратьев».
В свою очередь, персональные сертификаты можно разделить на два класса: профессиональные и языковые. Первые, как легко понять из их названия, подтверждают уровень профессионального мастерства их обладателя, вторые же дают возможность определить, обладает ли он необходимыми в сегодняшней ИБ-индустрии знаниями языка (как правило, английского). Конечно, существует небольшое количество сертификатов, которые достаточно сложно отнести к одной из этих двух категорий, однако, как правило, они мало интересуют и работодателей, и большинство самих специалистов.
Корпоративные сертификаты
О корпоративных сертификатах обычно, как уже было отмечено выше, говорят не очень много, потому что их польза для обладающих ими компаний вполне очевидна. Они повышают уровень доверия клиентов, престиж компании и вообще всячески способствуют формированию её положительного имиджа как среди потенциальных клиентов, так и в целом в обществе. Правда, не всегда организация, желающая получить сертификат, находит разумным платить за него – ведь стоит он, как правило, немалой суммы денег. Тем не менее, большинство корпоративных сертификатов, в отличие от персональных, всё-таки окупается за счёт повышения рейтинга компании в глазах потенциальных клиентов.
Но с точки зрения последних всё не так однозначно. С одной стороны, они ожидают, что обладающая большим количеством всевозможных сертификатов компания будет предоставлять более качественные услуги или продавать более качественные товары. К сожалению, далеко не всегда сертификат, выданной известной западной компанией своему партнеру, работающему в СНГ, действительно говорит о высоком уровне этого партнера. Впрочем, в последнее время, благодаря обострившейся конкуренции, случаи злоупотребления обладателями сертификатов привилегий, которые эти сертификаты им дают, стали достаточно редкими.
Необходимо отметить, что корпоративные сертификаты, которыми компания старается повысить свою привлекательность для клиентов, должны быть выданы хорошо известными организациями, авторитетными в мировом или хотя бы региональном масштабе. В противном случае сертификат будет смотреться как насмешка над потребителем, и в итоге приведёт к эффекту отторжения вместо эффекта притяжения. Поэтому к выбору сертификатов, которые хочет получить ваша организация, необходимо подойти максимально аккуратно и тщательно, чтобы вместо пользы не получить за большие деньги вред для своей репутации.
Персональные сертификаты: теоретические плюсы и суровые реалии
К персональным сертификатам отношение как со стороны работодателей, так и со стороны ИТ-специалистов обычно достаточно осторожное. Тем не менее, если такие сертификаты существуют, значит, по всей видимости, они всё-таки для чего-то нужны. Остаётся только выяснить, для чего именно.
Традиционно представители организаций, выдающих сертификаты, делают упор на то, что обладателю сертификата легче найти себе более высокооплачиваемую работу, получить повышение по службе и т.д. Поскольку сегодня именно профессиональные качества специалиста играют определяющую роль в его продвижении по карьерной лестнице, то сертификаты, подтверждающие профессионализм работника, являются хорошим подспорьем в непростом деле восхождения вверх по карьерной лестнице. Помимо этого, во многих случаях сертификаты – это действительно хорошая возможность выделиться на фоне коллектива и удовлетворить личные амбиции в преодолении различные трудностей и препятствий на пути к заветному сертификату.
К сожалению, как это часто бывает, практика заметно отличается от теории, и далеко не везде сертификаты способны действительно помочь специалистам. Опять-таки, и не всякие сертификаты обладают упомянутыми выше полезными для их обладателя свойствами. Во многих организация более чем скептически относятся к наличию у специалиста сертификатов профессионального соответствия, а кое-где открыто указывают подчиненным, что те должны «заниматься делом», а не получать в рабочее время сертификаты.
Причиной такого отношения является не только большое количество сертификатов, которые может получить любой достаточно нежадный человек, готовый в обмен на «корочку» расстаться с определённой суммой денег. Много нареканий вызывает и сама идея, лежащая с основе института сертификации знаний – фактически, сегодня даже в случае с сертификатами общепризнанных во всём мире сертифицирующих организаций, можно говорить об отсутствии к ним доверия как со стороны работодателей, так и со стороны наёмных работников. Причина этого кроется в фундаментальном несоответствии тех параметров, которые способен удостоверить сертификат, с теми, которые наиболее интересны сегодня подавляющему большинству работодателей.
Сертификация – не панацея
Идея сертификации знаний совсем не нова – по сути, вся современная система образования в любой стране, включая и Россию, использует эту методику для оценки результатов собственной работы и качества подготовки студентов и учащихся. Основной процесс, который лежит в основе сертификации знаний – формализация оценки уровня знаний, приёмов, навыков, которыми владеет испытуемый. Без формализации, увы, процесс сертификации знаний невозможен, потому что в противном случае его было бы невозможно поставить «на поток». Таким образом, ряд моментов, трудных для формализации или вовсе неформализуемых, но имеющих зачастую принципиальное значение для работодателя, просто не могут быть отражены фактом наличия или отсутствия того или иного сертификата.
Ещё одна проблема – ширина знаний, охватываемых сертификатом. Как правило, работодателя мало интересует, насколько хорошо будущий сотрудник разбирается в целом в предметной области. Гораздо интереснее, насколько тот будет способен решать реально возникающие задачи в рамках установившихся в организации бизнес-процессов. Поэтому сертификаты на собеседовании, в любом случае, будут значить гораздо меньше, чем результаты решения тестовых заданий и мнение HR-менеджера о потенциальном кандидате на ту или иную должность.
Нельзя не отметить и существующую проблему, характерную для всех тестовых заданий: если достаточно большое количество человек проходит регулярно одни и те же тесты, практически неизбежна утечка информации, которая даёт возможность получить хорошие результаты, не обладая соответствующим им высоким уровнем знаний и навыков. Наличие таких людей подрывает доверие к сертификату, которым они обладают, как и к самому институту сертификации.
Ещё одной причиной не столько недоверия, сколько неприязни руководителей организаций к сертифицированным ИБ-специалистам – это, как это ни странно, банальная зависть. К сожалению, сегодня не так уж редка ситуация, когда руководитель, не сумевший в своё время получить сертификаты, которыми обладает его подчинённый, использует административные рычаги для усложнения жизни последнего.
Оглядимся по сторонам
Безусловно, доверие к сертификатам не везде одинаково – по оценкам большинства российских ИБ-руководителей, с которыми автору довелось побеседовать на тему сертификации, на Западе уровень доверия к сертификатам значительно выше, чем на постсоветском пространстве, и, соответственно, шансы сертифицированного ИБ-профессионала получить там более высокую заработную плату и обеспечить себе более быстрый карьерный рост там существенно выше.
Российский кадровый холдинг «Анкор» обнародовал такие данные: крупные иностранные и федеральные компании, а также системные интеграторы в 70% случаев указывают требование иметь сертификаты для кандидатов ИТ и ИБ-сектора и специалистов, работающих в сфере телекоммуникаций. Более свежие данные, представленные HeadHunter, говорят, правда, только о сертификатах Microsoft, но зато весьма красноречивы: 71% опрошенных сертифицированных специалистов видят ощутимый эффект от наличия сертификата. При ответе на вопрос: "В чем именно вы видите преимущества обладания сертификатом?", 54% опрошенных сообщили, что сертификат помог им при найме на работу; 53% отметили, что стали эффективнее работать; 33% утверждают, что после сертификации получили повышение в должности или в заработной плате на текущем месте работы. Следует отметить, что 37% респондентов считает, что благодаря сертификации растет уважение к ним со стороны окружающих. 80% руководителей, отвечающих за подбор персонала, отметили, что видят те или иные преимущества в найме на работу именно сертифицированных специалистов: 40% из них считают, что сотрудники с сертификатами, как правило, более опытны; 39% уделяют особое внимание независимому подтверждению знаний специалистов; 26% уверены, что работники с сертификатами допускают меньше ошибок; а 24% опрошенных ответили, что сертифицированные сотрудники эффективнее справляются с поставленными задачами. 20% руководителей сообщили, что наличие большего числа сертифицированных специалистов помогает компании получить больше заказов, а 15% сказали, что сертифицированные специалисты пользуются большим авторитетом у коллег и руководства.
Так что, как можно заметить, положительный эффект от получения сертификата, прямой или косвенный, присутствует в абсолютном большинстве случаев. И главный вопрос состоит в том, стоит ли этот эффект тех достаточно больших вложений сил, времени и денег, которых требует престижный сертификат? Очевидно, что универсального ответа на этот вопрос быть не может, поскольку он зависит от организации, профессии, уровня компетенции и множества других факторов, комбинация которых для каждого сотрудника практически уникальна.
Проблема в информированности?
Опрос, проведенный в России HeadHunter'ом, выявил одну очень важную проблему: HR-специалисты зачастую не осведомлены о том, что именно демонстрирует каждый сертификат, и, соответственно, не могут адекватно оценить степень его важности для каждой конкретной вакансии. Можно предположить, что та же проблема существует и на более высоком уровне, поскольку руководителям организаций, и так ежедневно выполняющим массу крупных и мелких задач, просто не хватает сил и времени для того, чтобы ознакомиться с тем, какие сертификаты полезны каждой группе сотрудников.
Тем не менее, как правило, сертификаты тех компаний, чьи технологии используются в организации, высоко оцениваются руководителями всех уровней и HR-специалистами, поэтому наличие сертификатов ИТ-гигантов, имена которых на слуху, в большинстве случаев будет рассматриваться работодателем как весомый бонус к резюме. В то же время наличие сертификатов от ведущих мировых сертификационных институтов уже вряд ли сможет сослужить такую же хорошую службу их владельцу.
На что ориентироваться?
И всё-таки после всего сказанного выше остаётся ощущение, что «всё ясно, что ничего не ясно». Стоит ли ИТ-руководителю обращать внимание на наличие у его теперешних или будущих подчинённых сертификатов, и если да, то какие из них нужны в первую очередь?
Сам факт наличия сертификатов говорит о многом в пользу их обладателя. Как минимум, сертификаты свидетельствуют о честолюбии человека, стремлении расти в профессиональной сфере, желании построить карьеру, целеустремлённости и способности преодолевать трудности. Эти качества весьма полезны для любого специалиста, поэтому в любом случае при прочих равных наличие любых сертификатов, даже выданных не слишком авторитетной организацией, должно рассматриваться как несомненный плюс.
В целом же нужно отталкиваться, конечно же, от специфики технологий и решений, используемых в организации, а также от того, какова профессия обладателя сертификата. Если, к примеру, речь идёт о системных администраторах, то для них, в любом случае, будут полезны сертификаты Cisco (например, Cisco Certified Network Professional). В случае, если администрировать нужно будет Windows-системы, имеет смысл узнать у администратора о наличии у него сертификатов Microsoft – они сегодня, как и продукты компании, являются очень широко распространёнными. Для администраторов баз данных будет приоритетным сертификат Oracle.
Впрочем, ограничиваться только теми технологиями, с которыми затем специалисту придется иметь дело в реальной рабочей обстановке, также не стоит. Необходимо учитывать также и родственные сертификаты: если, к примеру, вы рассматриваете двух равных по опыту и результатам внутренних тестов кандидатов на роль администратора базы данных MySQL, один из которых имеет сертификат Oracle, то имеет смысл остановить свой выбор именно на нём, поскольку он имеет больший потенциал для перехода на новую СУБД.
Но, пожалуй, всё-таки самым главным правилом ИБ-руководителя в отношении всевозможных сертификатов должно стать «доверяй, но проверяй». То есть сертификат не должен рассматриваться как самодостаточная декларация ИТ-специалистом уровня своих знаний и навыков, а должен рассматриваться в практическом разрезе с оглядкой на реальные нужды организации.
10 самых оплачиваемых сертификатов 2015 года
На основе результатов исследования самых востребованных ИТ-навыков 2015 года и обзора заработных плат, проведенного Knowledge и Windows IT Pro осенью 2014 года, Джон Хейлс, VMware инструктор в Global Knowledge, выбрал самые высокооплачиваемые сертификаты. На вершине пьедестала – сети, ИТ-безопасность и управление системами.
1. Certified in Risk and Information Systems Control (CRISC)
Среднегодовая зарплата: 119,227 $
Сертификат предназначен для ИТ-специалистов, менеджеров проектов и других, в чьи обязанности входит выявление и управление рисками с помощью соответствующих информационных систем управления.
2. Certified Information Security Manager (CISM)
Среднегодовая зарплата: 118,348 $
Сертификат нацелен больше на управление, чем на ИТ-профессионалов. Его обладатель становится сертифицированным менеджером, отвечающим за безопасность информации.
3. Certified Information Systems Security Professional (CISSP)
Среднегодовая зарплата: 110,603 $
Статус CISSP может получить специалист, имеющий практический опыт в информационных технологий и информационной безопасности.
4. Project Management Professional (PMP®)
Среднегодовая зарплата: 109,405 $
Один из самых востребованных в мире сертификатов в области управления проектами. Доступен для специалистов из различных отраслей.
5. Certified Information Systems Auditor (CISA)
Среднегодовая зарплата: 106,181 $
Сертификат для специалистов, имеющих опыт работы в области аудита, мониторинга, контроля и/или оценки ИТ и/или бизнес систем.
6. Certified ScrumMaster
Среднегодовая зарплата: 101,729 $
Еще один сертификат, связанный с управлением. Изначально был ориентирован на разработке программного обеспечения. Сейчас применяется и в других областях.
7. Cisco Certified Design Associate (CCDA)
Среднегодовая зарплата: 99,701 $
Сертификат для сетевых инженеров, инженеров поддержки и техников, обладающих фундаментальными знаниями проектирования сетей.
8. Citrix Certified Professional – Virtualization (CCP-V)
Среднегодовая зарплата: 97,998 $
Сертификат пришел на смену Citrix Certified Enterprise Engineer (CCEE). Сфокусирован на технологии XenDesktop 7. Для его получения необходимо иметь сертификат Citrix Certified Associate – Virtualization (CCA-V).
9. Cisco Certified Network Professional (CCNP) Routing and Switching
Среднегодовая зарплата: 97,038 $
Сертификат подтверждает способность настраивать и обслуживать сети корпоративного уровня. Свидетельствует о наличии профессиональных знаний о сетевых технологиях.
10. Juniper Networks Certified Internet Associate – Junos (JNCIA-Junos)
Среднегодовая зарплата: 96,734 $
В десятке это единственный сертификат начального уровня. Свидетельствует о наличии базовых знаний в области сетей, маршрутизации и коммутации, а также Junos OS.
Самыми оплачиваемыми сертификатами безопасности являются позиции 1, 2, 3 и 5. Лучшие по бизнесу – пункты 4 и 6. В копилку сетей – пункты 7, 9 и 10.
Резюме
Во многом споры вокруг сертификатов напоминают споры о полезности высшего образования. Одни говорят, что в современном обществе без него не достичь успеха, другие своим примером демонстрируют опровержение этого тезиса. В любом случае, и те, и другие сходятся на том, что «хуже не будет», а значит, при наличии достаточного количества свободного времени и достаточной целеустремленности получение профессионального сертификата – далеко не худшее времяпровождение. Ну а с точки зрения руководителя, повторюсь, сам по себе сертификат является достаточно неплохой рекомендацией для сотрудника.
