СБ и должно контролировать IT и HR. Не в смысле руководить, а именно контролировать. По уму это делается через политики и контроль их выполнения. Инсайдеров и дураков еще никто не отменял.
Как уже написали, экзамен теперь адаптивный. Он короче, и его легче сдавать.
Я CISSP, и я считаю экзамен полезным для трех вещей:
1. Консолидация и расширение знаний в тех областях, в которых как ИБ специалист Вы не работаете. С этим справляются и много других экзаменов по ИБ, например, Security+ или, как ни странно, тот же CEH.
2. Правильный майдсет. Я видел много ИБ специалистов, которые думают реактивно, а не проактивно, и очень технично. Это вообще такая общая болезнь, с которой CISSP в какой-то мере помогает справится, т.к. многие ИБ — это переученные ИТ, и они всегда думают снизу вверх, а не сверху вниз.
3. Создание общего словаря. Двум ИБ с CISSP всегда проще и быстрее договорится.
Я видел много критики CISSP, она упирается, в основном, в то, что сертификат не дает полезных знаний, и стать ИБ он не помогает. Вроде того, что «у нас работают 5 ребят, все великолепные спецы, и все без CISSP». Цель CISSP не в том, чтобы сделать из человека спеца в его области, эта сертификация в принципе этого не может сделать. Цель именно в том, что я писал выше. Помимо прочего, CISSP уже подразумевает, что человек сдающий специалист в какой-то ИБ области (5 лет работы).
Ну и есть еще пункт 4, для Северной Америки CISSP — это способ пройти HR фильтр. Берут все равно после тех. интервью, но по крайней мере Вы скорее получите интервью, чем тот, у кого CISSP нет.
Я CISSP, и я считаю экзамен полезным для трех вещей:
1. Консолидация и расширение знаний в тех областях, в которых как ИБ специалист Вы не работаете. С этим справляются и много других экзаменов по ИБ, например, Security+ или, как ни странно, тот же CEH.
2. Правильный майдсет. Я видел много ИБ специалистов, которые думают реактивно, а не проактивно, и очень технично. Это вообще такая общая болезнь, с которой CISSP в какой-то мере помогает справится, т.к. многие ИБ — это переученные ИТ, и они всегда думают снизу вверх, а не сверху вниз.
3. Создание общего словаря. Двум ИБ с CISSP всегда проще и быстрее договорится.
Я видел много критики CISSP, она упирается, в основном, в то, что сертификат не дает полезных знаний, и стать ИБ он не помогает. Вроде того, что «у нас работают 5 ребят, все великолепные спецы, и все без CISSP». Цель CISSP не в том, чтобы сделать из человека спеца в его области, эта сертификация в принципе этого не может сделать. Цель именно в том, что я писал выше. Помимо прочего, CISSP уже подразумевает, что человек сдающий специалист в какой-то ИБ области (5 лет работы).
Ну и есть еще пункт 4, для Северной Америки CISSP — это способ пройти HR фильтр. Берут все равно после тех. интервью, но по крайней мере Вы скорее получите интервью, чем тот, у кого CISSP нет.