Сертификация и лицензирование

Что вообще за сертификация?

В мире есть несколько организаций, которые позволяют бизнес-аналитикам получить сертификат и тем самым подтвердить свой профессиональный уровень. Я рассмотрел наиболее распространенные организации и сертификаты, а именно:

В основном эти сертификаты позиционируются для специалистов в бизнес-анализе, но у нас они также рассматриваются как подтверждение уровня для системных аналитиков, аналитиков требований, software analyst и т.д. Тут есть огромное поле для дискуссий, но я не про это.

Что за сертификаты?

Сначала расшифруем аббревиатуры и переведем, но не дословно, а по смыслу.

CISSP (Certified Information Security Systems Professional) – сертифицированный специалист по информационной безопасности.

CISA (Certified Information Systems Auditor) – сертифицированный ИТ-аудитор.

CISM (Certified Information Security Manager) – сертифицированный менеджер по информационной безопасности.

Именно такой состав выбранных для рассмотрения сертификаций объясняется их близостью по темам (доменам), ну и, конечно, наличию у автора статьи опыта проведения подготовки специалистов к данным экзаменам.

Сведем информацию об экзаменах в следующую таблицу:

Что нужно знать и понимать?

Очень не хочется занудно раскрывать объем знаний, который стоит за каждым из доменов (и очень хорошо описан в руководствах по экзаменам), поэтому кратко рассмотрим портрет идеального обладателя каждого из трех сертификатов.

Шаг 2. что с английским?

Оцените, хватает ли ваших знаний английского для понимания вопросов и предлагаемых ответов, если нет, включите в свой план подготовки английский язык.

«бумажная» безопасность

Многие технические специалисты увлекаются технологиями, а вот бизнес-процессы им совершенно не интересны, соответственно корпоративные политики, процедуры, стандарты воспринимаются как ненужные бумажки. С позиций менеджмента подобные документы являются очень важными, так как формируют требования информационной безопасности, которые в свою очередь реализуются с помощью технологий и грамотных действий сотрудников. Соискателю CISSP, СISA, CISM нужно научиться мыслить как управленцу и полюбить процессный подход к менеджменту всей душой.

Cissp

Истинный обладатель CISSP должен очень хорошо ориентироваться во всех современных течениях информационной безопасности и в первую очередь в области менеджмента ИБ. Соискатель должен уметь мыслить в категориях «уязвимость», «риск», «контрмера». Опыт администрирования средств защиты информации или взлома компьютерных сетей (этичного, конечно) будет бесспорно полезен, но на экзамене никто не будет требовать вспомнить какую-то определенную настройку или команду какой-либо системы, так как сертификация не зависит от какого-либо вендора.

На мой взгляд, объем знаний CISSP соответствует объему знаний молодого специалиста, окончившего с хорошими отметками профильную кафедру и имеющему пару лет реального опыта в информационной безопасности в серьезной организации.

Базы вопросов

Можно легко найти и приобрести базы вопросов для подготовки к экзаменам, как официальные от ISC2 и ISACA, так и от сторонних вендоров. Базы вопросов могут быть как в виде программ для тестирования, так в виде учебников. Очень полезный материал, позволяющий постоянно оценивать свою готовность к экзамену.

Вопросы для оценки необходимости стать сертифицированным специалистом

Давайте сведем в один список вопросы, ответы на которые позволят специалистам в области ИБ решить насколько им необходима сертификация.

У меня получился такой «аудиторский» чеклист:

1. Обладаете высшим техническим образованием в ИТ-сфере и средний балл не ниже 4?
2. На работе занимаетесь проектами по большинству тем экзамена?
3. Без словаря читаете английские статьи на профессиональные темы?
4. Есть желание двигаться по карьерной лестнице вверх?
5. Будет время готовиться вечерами и сможете взять несколько дней отгула перед экзаменом?
6. Хоть немного ощущаете себя настоящим менеджером?
7. Готовы к тому, чтобы жить и работать в столице?

Если на большинство вопросов у вас положительный ответ, то определенно стоит ввязаться в это дело, подготовиться, сдать экзамен(ы), а затем постоянно поддерживать свои знания на достойном уровне.

Глоссарий терминов

Даже если на Шаге 2 вы оценили, что ваш уровень владения английским языком подходит для сдачи экзамена, не поленитесь и пролистайте

. Обратите внимание, что в вопросах экзаменов зачастую фигурируют слова, перевод которых на русский язык не всегда однозначен (например, control — контрмера, мера минимизации риска, СЗИ, контроль).

Дополнительные материалы

По тем областям знаний, где вы себя чувствуете неуверенно, лучше читать дополнительные материалы, которые, как правило можно найти на профильных сайтах (

Еще немного об этике

И у ISC2, и у ISACA есть кодекс профессиональной этики – его лучше прочитать и запомнить, так как вопросы по этике обязательно будут и хорошее ее знание принесет несколько дополнительных баллов.

Зачем это нужно?

Думаю, что каждый аналитик, покопавшись в предмете, сможет найти для себя ответ на этот вопрос. Я же рассмотрел три, наиболее часто упоминаемые причины в принципе, для любой сертификации:

Давайте разберемся подробнее. Я запустил опрос в сообществах и чатах аналитиков и собрал около четырех десятков ответов о том, что думают по этому поводу сами аналитики.

Большая часть аналитиков не считает, что сертификация приводит к более высокой зарплате. А что думают работодатели?

В других сферах IT в требованиях к кандидатам частенько мелькают названия сертификатов в той или иной технологии и, подозреваю, что сертификация до сих пор приносит хорошие дивиденды обладателям этих документов. Что не так с аналитиками? Может быть это у нас только так?Давайте посмотрим вакансии в России и за ее пределами.

2% в лучшем случае! Только 2% работодателей хотя бы просто упоминают в своих вакансиях названия сертификатов или организаций.

Не буду вдаваться в подробности расчетов. Просто поясню, что я отбирал вакансии Бизнес-аналитикBusiness analyst на соответствующем ресурсе, перебирал все варианты названий сертификатов и в зачет брал лучший результат. Так, например, в Германии неожиданно, самым популярным оказался IREB.

Как подготовиться?

Исходя из собственного опыта подготовки к экзаменам и проведения

предлагаю следующий алгоритм.

Какие могут быть сложности?

Обсудим некоторые подводные камни, о которых нужно помнить при подготовке к экзаменам.

Книги

Без пары хороших книг подготовка будет просто невозможной. Лучше всего полистать все, какие сможете получить, и подобрать подходящие именно вам, исходя из стиля изложения и актуальности материала (лучше смотреть книги, изданные за последние 2-3 года).

, и это очередной вклад в развитие информационной безопасности в России от группы компаний «Эшелон».

Кстати, в Сети можно найти неформальный перевод на русский язык устаревшей версии учебника для подготовки к CISSP

– пробежаться по вопросам тоже не помешает (на самом старте изучения). Начать готовиться лучше, используя литературу именно на русском языке (для погружения в предметную область), а заканчивать – массированным штудированием примерных вопросов исключительно на английском языке (см. базы вопросов ниже).

Курсы подготовки

Стоит ли идти на специализированные курсы? Стоит, если хотите сразу за пару дней погрузиться в тематику экзамена и увидеть всю картину в целом. Нужно понимать, что никакой курс не заменит самостоятельное чтение книг и решение пробных тестов.

Длительность этой фазы подготовки, если ни одного подобного экзамена ранее не сдавали, 3-4 месяца (в среднем по часу в день), если опыт успешной сдачи есть и уровень знаний высок, то срок может быть сокращен и до недели (разумеется, в режиме полного погружения).

Мнение автора

Какие я сделал выводы по итогам этого небольшого исследования. Сертификация вряд ли даст вам возможность получить более высокооплачиваемую работу. Но я также считаю (хотя мне нечем это подкрепить), что получение сертификата может быть хорошим аргументом, чтобы обосновать повышение зарплаты, если в вашей компании не предусмотрено регулярных процедур с оценкой вашей работы или грейдов с внятно описанными требованиями. Мне сложно представить руководителя, который скажет, что “это вы для себя рожали”.

Думаю, что подготовка к сертификации имеет смысл, если вы хотите развиваться в этой области дальше. Если же вы видите свой дальнейший путь в другой области: в роли архитектора, владельца продукта или менеджералида, то, вероятно, вам будет полезнее потратить время на развитие навыков и компетенций, востребованных в этой области.

Всем удачи на проектах! Занимайтесь тем, что вам интересно и повышайте свою квалификацию!

Мнение экспертов

Никита Харичкин, преподаватель курса “Системный аналитик”, руководитель отдела системной аналитики в СБЕРе

Рекомендуете ли Вы аналитикам сертифицироваться и почему?

Я рекомендую прохождение сертификации. Но перед этим специалисту стоит оценить свои возможности и саму необходимость сдачи экзамена на стандарт в текущем периоде карьеры. Потому что важно четко понимать свои ожидания от сертификации: подходит ли именно этот сертификат, какую пользу он принесет в работе как самому специалисту, так и работодателю. Кроме этого, стоит проверить, нет ли более простого и быстрого способа получить ожидаемую пользу, и оценить, получится ли выделить время на подготовку к сертификации, если она все-таки нужна. 

Сертификация полезна для закрепления знаний и улучшения качества своих артефактов в реальной работе. Кроме этого, опора на теорию помогает направить дискуссию в конструктивное русло, будь то выступление на конференции или планерка внутри команды. Еще одним не очевидным плюсом сертификации является выделение темных и светлых областей в собственных компетенциях. То есть стандарт помогает понять, в чем специалист уже преуспел, а что нужно улучшить, какие темы совершенно в новинку. Он может составить индивидуальный план развития в соответствии со стандартом, продемонстрировать руководителю свои сильные стороны и понять, какие новые навыки нужно освоить, чтобы запросить соответствующие задачи. 

Но не стоит рассматривать сертификацию как инструмент для повышения заработной платы на текущем месте работы. Однако специалист может договориться с руководителем об оплате или выделении рабочих часов на подготовку к сдаче экзамена. С точки зрения руководителя наличие сертификата не будет решающим, но точно выделит сотрудника среди сотни других.

На каком этапе карьеры аналитика Вы бы рекомендовали задумываться о сертификации, если, конечно, рекомендуете?

Сертификацию не следует проходить до приобретения 2-3 лет опыта по специальности. Для стартовых позиций и младших специалистов гораздо важнее осваивать новое, углубляться в предметные области, все гипотезы проверять на практике и учиться на своих и чужих ошибках. В течение этого периода за знаниями и экспертизой лучше обращаться к руководителю или наставнику. Он даст конкретную обратную связь с деталями по контексту. И это будет намного полезнее для специалиста и проекта, чем получение общих теоретических знаний. А спустя 3 года работы можно задуматься, стоит ли на данном этапе подтверждать свои компетенции.

К выбору сертификата, при этом, необходимо подходить с умом. Не стоит брать экзамены начального уровня, если вы уже переросли его. Равно как и браться за серьезный сертификат, будучи младшим специалистом. Каждый сертификат декларирует требуемый уровень подготовки и количество часов опыта. Поэтому стоит отталкиваться от этого –– если перерывов в карьере не было, то 1 год включает примерно 1700 часов.

Какие способы подготовки к экзаменам Вы могли бы порекомендовать?

Любая теория выветрится, если не будет отработана на практике. Не нужно ничего зубрить –– это будет бесполезно как для сдачи экзамена, так и для вашего развития. Для подготовки специалисту следует последовательно изучать стандарт и сразу искать задачи для применения полученных знаний. И при любом сомнении, правильно ли он делает или как лучше действовать в ситуации, обращаться к стандарту как к справочнику, находить нужную информацию и применять ее.

В подготовке также помогает комьюнити единомышленников, которые тоже начали готовиться к выбранному вами сертификату. Если рядом никого нет, то создайте это движение сами внутри компании или региона. Живое обсуждение и сторонние мнения благоприятно повлияют и на мотивацию, и на конечный результат.

Денис Гобов – Senior Business Analyst, DataArt; Основатель тренинговой компании по бизнес-анализу; Вице-президент по профессиональному развитию, Украинское отделение IIBA

Рекомендуете ли Вы аналитикам сертифицироваться и почему?

Рекомендую. Но при этом основную практическую пользу вы получите именно от процесса подготовки. Возьмем три момента времени: начало подготовки, день до экзамена, день после экзамена. Разница между первой и второй – значительная, если вы серьезно подошли к вопросу. А между 2 и 3 – минимальная. Сертификат – хороший стимул довести дело до конца. 

Что дает сертификация: 

• структуризацию знаний и целостную картину деятельности;

• наличие сертификата от серьезной международной организации выделяет вас на фоне других сотрудников/кандидатов на рынке труда;

• повышает ЧСВ/снижает неуверенность в вашем профессионализме (пресловутый эффект самозванца).

Регулярные опросы, проводимые IIBA, свидетельствуют, что сертифицированные аналитики получают в среднем больше чем несертифицированные. Но я к этому утверждению отношусь с некоторым скепсисом. Эта зависимость может работать и в другую сторону: лучше зарабатывающие бизнес-аналитики не прочь потратить деньги на сертификацию.

На каком этапе карьеры аналитика Вы бы рекомендовали задумываться о сертификации, если, конечно, рекомендуете?

Для серьезных сертификаций, например, CBAP/CCBA от IIBA или PMI-PBA от PMI, требуется наличие опыта работы. Поэтому я рекомендовал смотреть в сторону сертификаций, как только вы наработаете опыт и решите его структурировать. Другими словами, 2 года опыта и можно начинать смотреть в сторону сертификаций. 

Какие способы подготовки к экзаменам Вы могли бы порекомендовать?

Если тезисно:

• прочитать свод знаний от организации, сертификат которой хотите получить, несколько раз;

• применять теорию на практике;

• трнироваться отвечать на вопросы, похожие на экзаменационные (лучше выбирать проверенных временем провайдеров баз вопросов);

• пройти обучение на курсах (проверьте, что они построены на нужном вам своде знаний, тренер тоже сертифицирован, а выпускники – успешно сертифицируются);

• почитать, что рекомендуют коллеги, уже прошедшие сертификацию.

Дарья Таткова, преподаватель курса “Системный аналитик”, системный аналитик в сфере финтех. В настоящий момент — главный аналитик в СБЕРе.

Рекомендуете ли Вы аналитикам сертифицироваться и почему?

Сертификация системных аналитиков не так распространена, как сертификация других IT-специалистов (например, программистов). К счастью, в последние годы стали появляться квалификационные институты, подтверждающие навыки и в сфере аналитики. И это безусловный плюс, потому что в первую очередь среди специалистов увеличивается общая грамотность, что позволяет структурировать знания и требования к работе.

Сертифицироваться нужно не столько ради самой корочки, сколько ради обучения. Вдумчивая подготовка к экзаменам позволяет заполнить существующие пробелы в собственных знаниях, дает возможность почувствовать себя увереннее и в целом расширяет профессиональный кругозор.

На каком этапе карьеры аналитика Вы бы рекомендовали задумываться о сертификации, если, конечно, рекомендуете?

К выбору сертификата я бы подходила после нескольких лет опыта по направлению –– будучи не ниже middle-специалиста. В начале работы, когда нет четкого понимая вектора движения карьеры, сделать правильный выбор сертификата сложно.

Какие способы подготовки к экзаменам Вы могли бы порекомендовать?

Многие предпочитают экономить на прохождении сертификации, занимаясь самостоятельно. Однако профессиональное обучение, помимо самих знаний, дает такие бонусы, как возможность обмена опыта и нетворкинг. Намного лучше совмещать самоподготовку с обучением в команде (онлайн или оффлайн).

Денис Бесков, руководитель компании по подготовке системных аналитиков, поделился своим мнением по этому вопросу в презентации по этой ссылке.

Спасибо всем, кто согласился ответить на вопросы!

P.S.: Сори, что пришлось порезать ссылки на ваши курсы. Хабр счел это за рекламу.

Мышление ит-аудитора

Для успешной сдачи экзамена CISA нужно хорошо представлять, как мыслит ИТ-аудитор. ИТ-аудиторы проверяют, как выполняются требования внутренних и внешних документов и мыслят совершенно иначе, нежели ИТ-специалисты, нацеленные на то, «чтобы все работало, а остальное – не важно».

Поясню на следующем примере. В ООО «Ромашка» доступ к системам предоставляется на основе заявок по электронной почте и выполняется определенная цепочка согласований. Для администратора отработанная заявка – ненужный мусор, который можно удалить в новогоднюю ночь, автоматически очищая архивы, а для ИТ-аудитора, эта заявка представляет собой важное свидетельство, подтверждающее выполнение процедуры, которую нужно хранить, как золото.

Для освоения методик, применяемых реальными ИТ-аудиторами, очень полезно стать членом ISACA (кстати, отделение ISACA есть в Москве ) и тем самым получить доступ к базе полезных методологических документов. Как уже видели в таблице, членство в ISACA дает существенные скидки как на сами экзамены, так и на продление.

Но если сертификаты не нужны, кто вообще их получает?

Итак, мы пришли к выводу, что сертификаты не слишком востребованы у работодателей, и сами аналитики это понимают. Остается вариант, что подготовка к сертификации – это путь к более полным и системным знаниям. И когда этот путь пройден, то почему бы и не получить заслуженный сертификат?

Но экзамены – дело не дешевое. Готовы ли аналитики сами оплачивать экзамены?

Из ответивших на опрос аналитиков сертификаты оказались всего у 4 респондентов, у 3 из них – сертификаты IIBA.

Интересно, что здесь заявленная готовность платить за сертификацию самостоятельно не подтвердилась. Но, думаю, это можно списать на недостаточность выборки.

Обращайте внимание на first, last, except, not

Необходимо внимательно читать вопросы и обращать внимания на слова, влияющие на выбор ответа напрямую: одно дело выбрать из списка контрмеру, которую надо внедрить в первую очередь, и другое дело – в последнюю.

Отбросить бредовый вариант сразу и не тормозить

Самый распространенный формат вопросов на всех рассматриваемых экзаменах так любимый западным миром MCQ (multiple choice question) – вопрос с несколькими вариантами ответов (как правило, 4). Прежде чем взяться за тренировку с вопросами экзаменов, попробуйте решить обратную задачу – придумать такой MCQ на тему, в которой вы разбираетесь, как никто другой.

Вы увидите, что придумать более-менее близкие варианты к единственному правильному не так уж и просто, и вы обязательно включите один вариант, который будет по сути совершенно бредовый. А это значит, что при ответе на вопросы нужно сразу же исключать явно неправильный и искать лучший из оставшихся трех, и в большинстве случаев он виден сразу.

Пара лайфхаков

В этом разделе хочется привести несколько идей, которые могут облегчить подготовку и сдачу экзаменов.

Планирование непрерывности бизнеса и восстановления после сбоев (bcp/drp)

Во всех рассматриваемых экзаменах попадаются вопросы на тему BCP/DRP. В настоящее время подобные проекты реализуются только в довольно крупных организациях, соответственно лишь небольшой процент специалистов сталкивается с данными вопросами на практике. Для проработки этих тем лучше всего дополнительно изучить публикации двух профильных сообществ специалистов:

Предложение/спрос

Давайте посмотрим, сколько всего специалистов, обладающих данными сертификатами, кем и где они работают – заглянем в социальные сети и на страницы ассоциаций. В прошлой статье, посвященной интернет-разведке мы уже

и использовали для этого специальный инструментарий, в этот раз ограничимся простым просмотром результатов поиска.

В сети Linkedin, к которой сейчас довольно ограниченный доступ, можно найти 539 аккаунтов российских пользователей с сертификатами CISA, 330 — c CISSP и 129 — c CISM.

Пролистывая профили пользователей, указавших данные сертификаты, можно увидеть, что их обладатели, как правило, занимают руководящие должности в крупных компаниях, многие задействованы в консалтинговой сфере (BIG4, ИТ-интеграторы и т.п.)

По официальной статистике ассоциаций ISC2 и ISACA сейчас в России всего 200 обладателей сертификатов CISSP, 203 CISA и 60 CISM (данная статистика по CISA и CISM включает только сертифицированных специалистов, являющихся также членами ассоциации ISACA).

Чтобы понять, а есть ли спрос на подобных специалистов, посмотрим наличие вакансий для людей, обладающих такими сертификатами и уровень зарплат, который им готовы предложить работодатели. Сведем результаты выдачи с сайта HH по нашим ключевым словам (названия сертификатов) в следующую таблицу:

Очевидно, что в основном такие специалисты востребованы в крупных городах и в особенности в столицах. Уровень зарплат достойный, но, конечно, же зарплату платят не за наличие сертификата, а за работу.

Анализируя эти данные нужно также помнить, что руководящие должности в крупных организациях часто замещаются без публикации вакансий. Поэтому реальный спрос на таких специалистов несколько выше.

При пожаре выносить первым!

Если для ответа на вопрос необходимо оценить приоритеты для спасения активов и в списке есть человеческая жизнь, то у нее всегда будет приоритет номер один. Сейфы с деньгами и документами можно смело оставить на милость стихии.

Сертификация и лицензирование

Списывание

У нас зачастую принято довольно снисходительно относиться к тем, кто списывает на экзаменах. В западной культуре списывание считается серьезным проступком, требующем соответствующего наказания. Правилами запрещается списывать на экзаменах ISACA и ISC2, процесс сдачи контролируется, нарушителей изгоняют с позором.

Шаг 1. где я?

Выяснить в чем хорошо разбираетесь, а в чем не очень. Просмотреть вопросы по всем доменам или пройти пробные тесты. Определить какие домены для вас легкие, а по каким нужно «прокачаться».

Шаг 4. подготовка в последнюю неделю перед экзаменом

Как правило, подготовка к экзамену растягивается на длительный срок и в конце можно немножко подзабыть, что изучали вначале. Поэтому целесообразно взять несколько дней отгула перед экзаменом, чтобы пролистать целиком свои материалы. В любом случае, в конце подготовки придется уделить пару дней для зубрежки отдельных технических параметров.