Wer bietet welche Zertifikate an?
Das vom (ISC)² angebotene CISSP (Certified Information Systems Security Professional) gehört seit Jahren weltweit zu den anerkanntesten Standards. Der CISSP belegt, dass man über fundiertes Wissen aus allen relevanten Security-Bereichen verfügt, angefangen bei Netzwerk- und Applikationssicherheit über sicherere Geschäftsprozesse, bis hin zu physikalischer Sicherheit. Eine Erweiterung des CISSP mit dem auch von (ISC)² angebotenen ISSAP (Information Systems Security Architecture Professional)-Zertifikat ist dann sinnvoll, wenn der Fokus stärker auf Architektur-Security liegen soll.
Auditierung ist ein weiteres wichtiges Feld, auf dem sich Security-Verantwortliche zertifizieren lassen können. Hierbei kann der Interessierte zwischen einem standard- oder einem prozessorientierten Zertifikat wählen. Als standardorientiertes Zertifikat ist das ISO/IEC27001 Lead Auditor vorzuziehen. Die Qualifikation, diesen internationalen Standard für Security-Management in unterschiedlichen Umgebungen anzuwenden, ist bei vielen Unternehmen gefragt. Aber auch das eher prozessorientierte CISA (Certified Information Systems Auditor) Zertifikat von ISACA ist im Markt anerkannt, vor allem, wenn man in der Beratung tätig ist und Auditierung anbietet. Es ist zweifelsohne wichtig, sich weiterzubilden und sich diese Maßnahmen auch zertifizieren zu lassen, dennoch wird der Wert eines Auditors weniger an der Anzahl seiner Zertifikate, sondern überwiegend an seiner Berufserfahrung, der Art, Größe und Komplexität der Bereiche, die der bereits auditiert hat, wie auch an seinen Kommunikationsfähigkeiten, vor allem in Bezug auf das leitende Management, gemessen.
Als Security-Verantwortlicher sollte man neben dem technischen und sicherheitsrelevanten Know-how auch über betriebswirtschaftliches Wissen verfügen, um in der Lage zu sein, Geschäftsprozesse und die Unternehmensstrategie, die entscheidende Variablen des Security-Managements sind, zu verstehen. Dieses Wissen kann im Rahmen des international etablierten CISM (Certified Information Security Manager)- Zertifizierungsprogramms oder des neueren CGEIT (Certified in the Governance of Enterprise IT) -Zertifizierungsprogramms erlangt werden.
Beide Zertifikate werden von ISACA angeboten. Das CGEIT ist in dem Sinne keine Security-Zertifizierung, da es hauptsächlich vermittelt, warum die IT und somit auch die IT-Security ein immer bedeutenderer Bestandteil der Unternehmensführung geworden ist. Die meisten Unternehmen haben verstanden, dass die Anwendung von IT-Systemen in den täglichen Geschäftsprozessen Security-Management notwendig macht. Aus diesem Grund haben diejenigen, die das Know-how nachweisen können und das entsprechende Zertifikat haben, gute Chancen auf dem Arbeitsmarkt.
Für diejenigen, die im SDLC (Software Developing Lifecycle) ihre Aufgabenbereiche haben, ist das CSSLP (Certified Secure Software Lifecycle Professional) oder das nur in Deutschland von ISSECO angebotene CPSSE (Certified Professional for Secure Software Engineering)-Zertifikat interessant. Da 70 Prozent aller Sicherheitsvorfälle auf unsicher entwickelte Software zurückzuführen sind, bietet (ISC)² mit dem CSSLP ein Zertifizierungsprogramm an, das sich fundiert mit Sicherheitsaspekten in der Softwareentwicklung beschäftigt.