為什麼CISSP在台灣不被重視?

CISSP CBK
CISSP CBK

很多人考過CISSP後,不但沒有升官、也沒有加薪;甚至沒有得到公司應有的重視,反而平白增加不少資安相關的工作負擔,因此感嘆CISSP在台灣不被重視。想要換工作,卻發現雇主都是猴園主人,只拿得出香蕉。更傷人的是,沒有人知道什麼是CISSP! 回過頭,才驚覺CISSP只是自己跟資安圈內人自high的一場遊戲…

事實是這樣嗎? 其實不然。CISSP在台灣受重視的程度雖然跟國外相比差異甚遠,但會有這種落差的根本原因,我認為是企業對CISSP的認知不足,以及證照持有者對CISSP的定位錯誤

CISSP的認知不足

由於過去企業普遍不重視資安,即使稍有資安概念的企業也大多由IT部門來主導資安事務,導致資安被視為技術議題。當資安缺乏業務或商業思維(business mindset),就無法得到經營高層的重視,資安人員在企業自然無法取得足夠的資源及展現應有的績效。再加上資安理論未臻完善,資安依賴從實務來累積經驗,從而披上一門神秘的色彩。尤其是媒體對於駭客的誇張詮釋,讓一般大眾對資安產生刻版印象,一談到資安就想到網路、技術、釣魚、駭客、入侵、暱名者、網軍等。

除了一般大眾的認知不足,即使資訊人員或資安的從業人員,對於資安的認知也相當局限。何謂資安? 何謂風險? 何謂威脅? 光是溝通的基本用語都定義不清,如何能有效地跟雇主及一般大眾溝通,了解他們的安全需求,進而提出解決方案,甚至將資安發展成一門專業呢?

以上認知不足的現象充分的反應在台灣CISSP人數遠遠落後於亞洲其它國家的冰冷的統計數字上! 因為企業不重視資安,以及CISSP考試的成本及門檻較高,導致投資CISSP證照的實質效益不足,所以只有少數追求自我成就的資安人員願意投資在CISSP這張證照。

解決CISSP認知不足的問題,最積極的作法就是建立強大的CISSP社群強大是指實力強數量大! 取得CISSP資格雖不一定代表實力一定強,但卻是一個讓資安人員整體實力變強的好起點!然而,實力強,人數少也是功虧一簣!台灣至少需要1500位以上的CISSP,才能實質滿足台灣的資安需求;CISSP人數夠多,才能讓CISSP資格成為基本門檻,也才能防止讓廠商大玩借牌標案/綁標的遊戲。讓CISSP實質參與每個專案,才能真正提升台灣資安水準及建立資安專業。

此外,目前ISC2台北分會已在籌設階段,明年可望成為ISC2的正式分會。台北分會的成立,將讓CISSP在資安領域有更多貢獻所學的空間,以及更大的影響力及話語權。

CISSP數大便是美、團結力量大!

CISSP的定位錯誤

CISSP題目不難!但準備CISSP很難!CISSP題目的難度,其實只是各專業領域的基本觀念,甚至是常識。因此,對於資深人員而言,CISSP並不難,真正困難的是準備考試的專案管理及執行力。但對於剛好滿足CISSP考試資格(相關工作經驗滿五年)的朋友,可能就是一個不小的挑戰,因為它的考試範圍相當廣,必須要準備一段相當的時間才能考過。當時間拉愈長,讀後面忘前面,若沒有超強的意志力及有效的讀書方法,事實上是相當困難的。

專業是指賴以為生的專門職業;對於資安專業人員,CISSP是基本要求。因此,從事資安的專業人員第一個要認清的無情現實是,CISSP”不是“黃金證照!它只是資安專業的基準(baseline)證照。說白了,CISSP是資安人員的基本門檻。當你把資安當作專業,為雇主提供專業服務,取得CISSP證照是最基本要求。在國外,CISSP就是這麼一回事;沒有CISSP,你的資安工作將會不保,而不是你取得CISSP可以加薪多少。以美國為例,這個門檻直接寫在美國國防部的DoD 8570.1政策指示中。

CISSP證照只是創造價值(value)的必要條件,而不是充分條件。你費盡千辛萬苦考到的CISSP證照,不會馬上讓你從工程師或基層人員,搖身一變成為CISO資安長,也不會讓你的薪資翻好幾翻。你一開始能獲得的,只有爆表的自信心與成就感,但這也是CISSP最可貴的價值。你的薪資及升遷,還是取決於你能對企業貢獻的價值

資深的資安人員,可以透過CISSP證明自己的專業,以節省說服客戶的口舌時間。尋求學習更多的資安人員,CISSP則是一個建立資安專業的好起點!

結論

有的雇主只有香蕉,CISSP要先找對雇主,才不用反證自己不是猴子。
CISSP只有讓台灣的社群夠強大,市場才不會出現香蕉。
資安是一門專業,資安人員要有商業思維,才能幫公司創造價值、為自己加薪。
成敗論英雄。

Leave a Reply