I en värld som allt mer globaliseras skapas olika former av igenkänning och identitet. Vad förväntas av en informationssäkerhetsansvarig? Är certifiering mer än att man suttit av en vecka på ett konferenshotell? För mig handlar certifiering i grunden om att man på enkelt sätt kan bedöma vad en person kan, eller åtminstone exponerats för, och ett vitsordande av att denne är en del i en gemensam kunskapsbas. Ledarskap är komplicerat som det är, det kan jag säga som före detta krigskompanichef, men tekniskt ledarskap är än mer komplext.

Läs också: Så kan vi lära av vikingarna för bra digitalt ledarskap

Certified Information Systems Security Professional (CISSP)
CISSP för mig en garant för att man tillgodogjort sig en grundläggande kunskapsbas, en på engelska kallad ”Common Body of Knowledge”, eftersom certifieringen spänner över flera fält. Det gör att CISSP blir en startpunkt, en grundplåt, i en informationssäkerhetskarriär. CISSP är välkänd och etablerad. Med den i botten kan du bygga på med de efterföljande certifieringarna.

Certified in Risk and Information Systems Control (CRISC)
Jag gillar CRISC och anledning är mycket enkel. Förkortningens betydelse har en del av förklaringen. Stora delar av den övergripande, strategiska och operativa säkerhetsarbetet drivs av strukturerade och rationella riskbedömningar. Det är kärnan i it-säkerhet. Om man är driven i ”risk management” så har man goda förutsättningar att göra ett fullgott arbete i övriga domäner av säkerhet eftersom risk och riskhantering går som en röd tråd genom verksamheten. Andra certifieringar som CISSP och CISM har riskhantering som en del av kunskapsprövningen men CRISC lyfter det till en högre nivå.

Det här är en artikel från Expert Network
I USA är CRISC sedd som den informationssäkerhetscertifiering som ger mest valuta för insatsen och kostnaderna att skaffa den. Så kombinationen av risk, struktur och kontrollfunktioner i CRISC ger en kunskapsbekräftelse som är åtråvärd. CRISC är skapat av Information Systems Audit and Control Association (ISACA) som också står bakom CISM.

Information Systems Security Management Professional (CISSP-ISSMP)
Efter en erhållen CISSP finns fördjupad kunskapsprövning i specifika fält. CISSP-ISSMP kan ses som en CISSP med starka drag av CISM, vilket understödjer en ambition att söka sig till informationschefsbefattningar.

Fördelen med CISSP-ISSMP är att den är fokuserad på att leda större säkerhetsarbete och det kan låta luftigt men säkerhetsarbete har en tendens att haverera i detaljer, det som sker exakt nu och de stora penslarna kommer aldrig fram. Kombinationen av CISSP och management, antingen som CISM eller CISSP-ISSMP, anser jag är en genuin styrka. Många inom informationssäkerhet är antingen eller – taktiska tekniker eller otekniska strateger – men detta är en form av certifiering som lägger ihop bägge bitarna till en enhet.

Läs också: Så säkrar du nätverket i en krypterad värld

Certified Information Security Manager (CISM)
Certified Information Security Manager (CISM) från Information Systems Audit and Control Association (ISACA) är fokuserad på att leda säkerhetsarbete, att sätta upp en informationssäkerhetsstruktur, hantera risk, minska exponering, förklara för ledningen vad som sker och få kontroll på incidenter. CISM passar den som eftersträvar att bli mellannivåchef med sikte på en karriärutveckling till högre höjder.

CISM är fokuserat på att understödja affärsverksamheten, precis som CISSP-ISSMP, och säkerställa att säkerhetsarbetet inte är ett hinder för verksamheten utan snarare en tillgång. Kritiken mot CISM brukar vara att den inte är tillräckligt teknisk utan så fokuserad på ledarskap men det är just poängen. Att leda säkerhetsarbete är inte att taktiskt gräva ner sig i detaljer, utan kunna tillräckligt mycket om vad som sker och varför det sker, och därefter leda verksamhet.

Fakta

Befattning: Assistant Professor och forskare
Företag: United States Military Academy (West Point)
Linkedin: https://www.linkedin.com/in/kallberg/
Hemsida: http://www.informationwarfare.com
Expertområden: Ledarskap, it-säkerhet, strategisk it-säkerhet, framtida riskmiljöer.
Bakgrund: Arbetar med att fundera över cyber i en större kontext och hur det kommer att se ut fem-tio år från nu.
Artikelns innehåll reflekterar enbart författarens enskilda inställning och saknar koppling till dennes tjänsteställning och arbetsgivare.