Die zwei Leser des Blogs (no kidding :-)) sollten ja wissen, dass das hier kein monothematisches Ding ist, die Themen werden von #effzeh über Tech, Musik, #flausch zu eher beruflichen Themen (auf einer Meta-Ebene) alles abdecken – daher heute mal ein paar Gedanken zu den inzwischen allgegenwärtigen Seucrity-Certifications.

Auslöser? Zwei Trigger: vor ein paar Tagen habe ich im Intranet bei uns eine alte Bio von mir gefunden, auf der sinngemäß steht: macht gerade den CISSP. Nun gut, den hatte ich damals vor, noch nicht begonnen und ca 10 Jahre später sieht das fast unverändert aus. Ich hab immer noch keinen – der Unterschied: Ich hab überhaupt keine intrinsische Motivation mehr, den zu machen. Dazu später mehr.

Der zweite war ein Blogeintrag einer Security-Beraterin, der öfters in meinem RSS-Feed zitiert/kommentiert wurde – Wendy Nather: Going paperless. Summary: CISSP ist super als entry ticket um die HR Bots zu überzeugen, dass man Security wenigstens buchstabieren kann ;-), ist aber als erfahrener Spezialist wertloses piece of paper. Wim Remes, ISC board member, hat da eine andere Sicht, die ich partiell nachvollziehen kann – CISSP als Basisvokabular und zur Professionalisierung des Securitybusiness.

Kann ich nachvollziehen, bin aber eher auf der Seite von Wendy. Ich war einmal auf einer Schulung, die sich selbst als Bootcamp zur Zertfizierung sah (PMP) und da auch stark den Fokus darauf legte. Alle 15 Minuten kam dann “das ist wichtig für die Prüfung” – ich hätte aber lieber ein “das ist wichtig in der Praxis” gehört. Ähnlich ist für mich der CISSP – lerne stupide die Grundlagen auswendig, die ggfs – bei Glück – praxisrelevant sind, Prüfung ablegen, hoffentlich bestehen und dann ganz wichtig – Mailsignatur ändern und die magischen 4 Buchstaben hinzufügen. Shrug. Brauch ich nicht, ich bin jetzt 12 Jahre in der Security, der Türöffner sollte also dasein.

Warum ich aber überhaupt darüber dann blogge? Da ich einen anderen Artikel diese Woche gelesen hatte:  A more positive and comprehensive SABSA Strength-in-depth Strategy [Extending SABSA’s Strength-in-Depth Strategic Controls].

Sabsa? Sherwood Applied Business Security Architecture – die einzige Zeritifzierung, die ich habe – fast, da ist noch der QualysGuard Certified Specialist, den ich auf einer Qualys-Tagung, bei der ich einen Vortrag hielt, nebenbei mitgemacht habe und das Itil-Foundation certificate, das lief on-the job.

Sabsa fand ich super. Die Schulung war zwar auch im bootcamp-style – eine Woche Infos in den Kopf ballern, aber nicht nur. Es gibt da zwei Differenzierungen und Ansätze, die für mich neu waren:
1. Die konsequente Ausrichtung auf das Business und deren Anforderungen. Security nicht als technische Maßnahme ganz am Schluss, sondern an den Anforderungen des Unternehmens ausgerichtet und zielgerichtet implementiert, anhand des Risikoapettits. Wer kennt nicht die lästigen “ich muss hier alles zu 120% dichtmachen” old-scholl security Diskussionen, die aber 10 andere, für das business relevantere Risiken nicht schliessen und dafür aber unverhältnissmäßig Aufwand generieren? Dann noch das Modell, um eben die Anforderungen granular auf Kontrollen herunterzubrechen, sowohl technische als auch auf Prozessebene.
2. Die positive Sicht auf Security (wird in dem verlinkten Blogeintrag etwas näher erklärt). Jede security control ist nicht nur preventive zu sehen, sondern auch enabled etwas. Das ist echt schwierig zu verstehen und umzusetzen, wenn man 10 Jahre als Mordor, the preventer of business unterwegs war. Ein Mindset, den ich übrigens immer noch bei ca 90% der Kollegen im Business sehe – egal in welchem Unternehmen. Seine Einstellung zu ändern und nur die Risiken zu sichern, die das Business gesichert sehen will ist schwierig. Noch schwieriger, diese postive Sicht ganzheitlich auf Security anzuwenden – lest auch mal den Blogeintrag.

Die Prüfung zielt dann auch nicht auf das Abfragen von stupide auswendig gelernten Fakten ab, sondern versucht – trotz multiple choice – zu erkennen, ob man die Konzepte auch wirklich verstanden hat. Der Foundation level ist auch erst der Anfang, spannender wird es als practitioner (plane ich mal für 2014) bis hin zum Master.

Für mich ist der SABSA derzeit die interessanteste Zertifizierung am Markt, sollte man schon etwas Berufserfahrung besitzen, sich eher auf einer strategischen/Architekturebene weiterentwickeln wollen und bereit sein, sein traditionelles Weltbild in Frage zu stellen. In der Schulung habe ich glaube noch nie so oft ein “begründe mal die Maßnahme aufgrund der Anforderungen, best practices sind bullshit” gehört – und noch nie so oft auch wirklich über die gewohnten security controls nachdenken müssen. Highly recommended – ich war übrigens bei LearnSabsa – da unterichtet David Lynas, einer der Vordenker von SABSA. Trotz all dem Lob und der guten Meinung wird aber das Sabsa nicht meine Signatur schmücken 🙂

Ach ja, für alle Nicht-Security-affinen Leser: Super, dass ihr durchgehalten habt!