top of page

הסמכות אבטחת מידע :

מבוא - מקורה של "הסמכה":

 

יש להבדיל בין המילים הכשרה והסמכה: הכשרה– מהותה לימודים. הסמכה – מהותה "מעבר מבחן בדיקה" ואישור לבדיקה באמצעות "תעודה". הכרה והבנה של קשת המקצועות הקיימים, והבנת ההיררכיה המקצועית והמינהלית, הינם תנאים גם להבנת ההסמכות הקיימות בענף. 

 

"הסמכה" הינה מונח הקיים בענפים שונים, בהקשרים שונים, ולעיתים סותרים. "הסמכה" ניתנת על-ידי רשות בעלת הסמכוּת לתיתה. דוגמה: "תואר אקדמי" מוכר כהסמכה מטעם משרד החינוך, באמצעות המל"ג (המועצה להשכלה גבוהה). דוגמה נוספת: קורס הפועל לפי תקן המוכר על-ידי מכון התקנים הישראלי (מת"י) או על-ידי מכון התקנים הבינלאומי (ISO), יקבל הסמכה רלבנטית מאותו גוף.

 

ההסמכות "הבינלאומיות" נולדו כתוצר של חברות וגופים בעלי אינטרס עסקי, לפני זמן רב. כפועל יוצא, הן ממשיכות להתנהל מתוקף התוכניות המקוריות, תוך עדכונן במגבלות הצרכים העסקיים של משווקיהן, ללא "זעזועים עסקיים", בהתאם לצרכי הענף, במקום לשכתבן כליל ולהתאימן לעידן הנוכחי.

 

 

הסמכות רשמיות של מדינת ישראל:

המדינה הגדירה מספר תארי הסמכה ללימודים. המסגרת האחראית לתארים אקדמאיים שייכת למשרד החינוך ומכונה "המועצה להשכלה גבוהה" (מל"ג). מסגרת נוספת האחראית להסמכת "הנדסאים" נקראת "המכון הממשלתי להכשרה בטכנולוגיה ומדע" או "האגף להנדסאים וטכנאים מוסמכים" (מה"ט), באחריות משרד התעשיה, המסחר והתעסוקה.

 

ברם, גופים אלו טרם הגדירו הסמכות לעולמות אבטחת המידע, ולפיכך - המסגרת הנותרת להקניית לימודים והסמכות מבוססת על השוק המסחרי החופשי, ואיננה נתונה להשגחת המדינה בכל דרך שהיא!

הפורום הישראלי עוסק בהיבטים אלו של הגדרת מקצועות אבטחת מידע ויצירת מסגרת הסמכות, החל מ- 2007, והמטה הקיברנטי הלאומי שבמשרד ראש הממשלה עוסק אף-הוא בנושא החל משנת 2012.

בימים אלו מוקמות מסגרות ראשונות: (א) מחד - :לימודי סייבר" תיכוניים המוכרים ל- 5 יחידות בגרות, (ב) הכרה בתוכניות לתואר שני לאבטחת מידע וסייבר.

 

הסמכות "השוק החופשי המסחרי":

"הסמכה" – יכול שתנתן גם על-ידי גוף פרטי כלשהו. למשל: הסמכה מטעם חברה שמשווקת קורס מסוים. האם הדבר חוקי? כמובן, אך נשאלת השאלה – איזו משמעות יש להסמכה זו בעיני הציבור. יתכן שהקורס "נחשב" בקהילה, ולכן בוגר הקורס מחזיק בהסמכה המסייעת לו להתקבל לתפקיד מסוים, ומאידך – יתכן ...שלא.

 

לשם ההמחשה: ב- 2004, הושק לראשונה מסלול CISO של מכללת See-Security, ובוגריו זכו בהסמכה מטעם החברה. המשמעות העיקרית לאותה הסמכה באה לידי ביטוי רק בחלוף השנים, כאשר הסתבר שההסמכה נעשתה לסטנדרט מקובל בתעשיית אבטחת המידע, לאחר שמאות בוגרים השתבצו בתפקידי מפתח בקהילת אבטחת המידע.

כלומר: מלכתחילה– ההסמכה של CISO היתה בעלת משמעות נקודתית, ללא הכרת הקהילה בה, ובחלוף הזמן – ההסמכה נעשתה מבוקשת עקב המוניטין המקצועי המשתמע ממנה.

 

מומחים בכירים בתחום האבטחה נוהגים להתלוצץ על-כך ש"כל מי שהתקין Anti-Virus מכנה עצמו "איש אבטחת מידע", כל מי שהתקין Firewall מכנה עצמו "מומחה אבטחת מידע", וכל מי שיודע ’לקרוא’ Firewall Log, מכנה עצמו "יועץ" ועונב עניבה. 

אם כך, נדרשת "הוכחת לימודים" כלשהי. את ההוכחה כי אדם סיים בהצלחה לימודים מסוג כלשהו, נוכל לכנות "הסמכה", בתנאי, שהמוסד המסמיך מחזיק בערכים של איכות, הקפדה, והפרדה מוחלטת בין אינטרס עסקי לאינטרס פדגוגי.

 

בעולם נפוצות מספר הסמכות מטעם. יש להתייחס אליהן בזהירות ובהסתייגות, משום שאינן מוכרות על-ידי האקדמיה או על-ידי משרד החינוך, ואינן נמצאות לפיכך תחת פיקוח.

 

הסמכות למקצועות יישום (טכנאות) אבטחת מידע:

טכנאי אבטחת מידע צריך לשלוט בהתקנה, בהגדרה, בתחזוקה ובתפעול שוטף של כלי אבטחת מידע.

לשם רכישת ידע זה, נדרש ידע הנוגע לכל יצרן טכנולוגיות בנפרד, והמוכרים שבהם: Cisco, CheckPoint, Symantec, Fortigate ודומיהם. יצרנים אלו משווקים גם קורסים מטעמם, ומספקים "הסמכות מטעם"למשתתפים. נקודת התורפה של הסמכות אלו – היותן "תלויות יצרן".

  • הסמכת Cisco CCNA

הסמכה זו מעידה על רכישת ידע בסיסי בתקשורת וידע בסיסי במוצרי תקשורת ואבטחת מידע של חברת Cisco. עיקר הלימודים להסמכה נוגעת לפן התקשורת, ולא להיבטי אבטחת מידע.
לימודי CCNA הנם חלופה ללימודי התקשורת המסופקים גם בקורסי רשתות כמו MCITP למשל (אשר בהם נלמדים גם נושאי תקשורת וגם נושאי System, בעוד שבקורס CCNA נלמד פן התקשורת בלבד).

  • הסמכת CheckPoint CCSA

הסמכה זו מעידה על הכשרה לתפעול שוטף של Firewall בסביבת NGX של CheckPoint. מוצר זה מתחרה במוצרים רבים אחרים.

 

 

 

הסמכת CISSP של ISC2

מיועדת להגדרה הכללית "מומחה אבטחת מערכות מידע בכיר" ואינה מוגדרת כהכשרה למקצוע מסויים, אלא כשילוב של מקצועות הארכיטקטורה והניהול. המונח CISSP מהווה ראשי תיבות של Certified Information Systems Security Professional. לארגון ISC2 גם הסמכות גבוהות עוד יותר המשווקות על-ידה, לתפקידים מוגדרים יותר של ארכיטקטורה, הנדסה או ניהול.

הארגון מחלק את עולם האבטחה לעשרה חלקים, המכונים על-ידו דומיינים (Domains):

1. Access Control
2. Application Development Security
3. Business Continuity & Disaster Recovery Planning
4. Cryptography
5. InfoSec Governance & Risk Management
6. Legal, Regulations, Investigations & Compliance
7. Operations Security
8. Physical (Environmental) Security
9. Security Architecture & Design
10.Telecommunications & Network Security

 

למבחן שעלותו כ- 600 דולר רשאים לגשת בעלי ניסיון של כ- 5 שנים (על-בסיס הצהרה), בשניים מן הדומיינים לפחות, או 4 שנות ניסיון ותואר אקדמי כלשהו של מכללה או אוניברסיטה. ההסמכה דורשת חידוש מדי שלש שנים בתשלום.

על-מנת להצטייד בהסמכת CISSP יש לרכוש ספר מהארגון וללומדו, וכן להתאמן על מבחנים קודמים המגדילים את הסיכוי לעבור את המבחן. עקב היקפי הידע העצומים הנדרשים לעומת כמות השאלות הקטנה יחסית, מורכבות השאלות באופן מתוחכם המקשה על המענה. לרבים, מזכיר המבחן את המבחן הפסיכומטרי הנפוץ.

קיימים מעת לעת גם קורסים קצרים המיועדים לסייע במעבר המבחן. קורסים אלו אינם ממוקדים בלמידה וברכישת ידע תעשייתי נדרש, אלא ממוקדים אך ורק בהכנה לצליחת המבחן בהצלחה. בכל מקרה - יש לעיין בדרישות הארגון ISC2.

 

 

הסמכות למקצוע ארכיטקט אבטחת מידע:

מסלול מהנדסי ומנהלי אבטחת מידע CISO .

 

הסמכות למקצוע מנהל אבטחת מידע:

הסמכת CISO, CISSP וCISM .

מסלול הלימודים מתבסס על יחידות הלימוד הבאות:

1. סדנת סקירה – Thinking Security– מקורות הצורך לאבטחת מידע, מושגי יסוד באבטחת מידע, האיומים ואסטרטגיות התשובה עליהם, מקצועות האבטחה, התמחויות והסמכות.
2. מכינת Networking & Protocols– סקירת רענון - חובה
3. קורס Linux Fundamentals.
4. קורס Hacking Techniques.
5. קורס Security Tools & Technologies for Architects.
6. סדנת Secured development.
7. קורס Security Governance.
8. קורסCISO Roles & Functions.
9. מרתון הכנה למבחן CISSP.

 

הלימודים מחייבים הגשת עבודת "RFP & Security Architecture Design", ועבודת "תוכנית עבודה שנתית למחלקת אבטחת המידע". בנוסף, מתקיימים מבחנים נושאיים / קורסיאליים.

 

הסמכת CISOcert הינה נטולת השפעות יצרן (Vendor-Neutral), ומעידה על לימוד מכלול הנושאים הנדרש גם להסמכות CISSP ו- CISM.

המעסיקים בישראל, ובראשם משרד הבטחון וקברניטי חברות הייעוץ לאבטחת מידע, מייחסים להסמכה זו כבוד מקצועי רב, בעטיים של כ- 600 נושאי ההסמכה הקיימים במשק.

 

הסמכת CISM של ISACA

מיועדת לתפקיד מנהל אבטחת מידע. המונח CISM מהווה ראשי תיבות של  Certified Information Security Manager.

גם מבחן CISM זוכה בביקורת דומה: היעד הוא – הרווחים הנובעים מהמבחן, ולפיכך – תשומת הלב ניתנת למבנה  המבחן האידיאלי מבחינת הארגון, ולא לאופן רכישת הידע או לעומקו. ארגון ISACA ממוקם בארה"ב וניזון מהכנסות הנובעות מהתשלום בגין השתתפות במבחנים. ההסמכה מתייחסת  רק לפן הניהולי של אבטחת המידע ומחלקו לחמישה חלקים, המכונים על-ידו דומיינים (Domains):

1.     Security Governance
2.     Information Risk Management
3.     Information Security Program Development
4.     Information Security Program Management
5.     Incident Management & Response

 

למבחן שעלותו למעלה מ- 500$ רשאים לגשת בעלי ניסיון של כ- 5 שנים (על-בסיס הצהרה), בשלשה מן הדומיינים לפחות. ההסמכה דורשת חידוש מדי שלש שנים בתשלום.

על-מנת להצטייד בהסמכת CISM יש לרכוש ספר מהארגון וללומדו, וכן להתאמן על מבחנים קודמים המגדילים את הסיכוי לעבור את המבחן. השאלות נבנות באופן מתוחכם המקשה על המענה. קיימים מעת לעת גם קורסים קצרים המיועדים לסייע במעבר המבחן. קורסים אלו אינם ממוקדים בלמידה וברכישת ידע תעשייתי נדרש, אלא ממוקדים אך ורק בדרך לעבור בהצלחה את המבחן.

 

 

 

 

*כל המידע המופיע בדף זה נלקח מאתר המכללה see-security

 

תרומה באמצעות PayPal
  • Wix Facebook page

CYBER - STARTER © 2016 by BlackJack21.

bottom of page