Artikel top billede

(Foto: Computerworld)

Uddannelse i it-sikkerhed - sådan bliver du en del af sikkerhedsmiljøet

Hvad skal der til af evner og ikke mindst uddannelse for at komme til at arbejde professionelt med it-sikkerhed? Denne gang kigger vi på, hvordan du selv kan blive en del af sikkerhedsmiljøet.

Af Tom Madsen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

En af de første ting, der er værd at overveje, hvis man vil tættere på sikkerhedsemnet, er de internationalt anerkendte certificeringer inden for it-sikkerhed, samt de muligheder, der er for en uddannelse inden for it-sikkerhed fra de danske uddannelsesinstitutioner. Det er utroligt svært at svare på, hvad der skal til for at blive ansat med it-sikkerhed som ansvarsområde, for it-sikkerhed er i vore dage mange ting. Væk er de ’gode gamle dage’ hvor it-sikkerhed bestod i at kunne konfigurere en Firewall og installere antivirussoftware.

Moderne it-sikkerhed
I dag består it-sikkerhed af højt specialiserede områder som f.eks. Malware Analyse, Forensics (på computer, ikke ligesom i CSI!), Efterforskning, Business Continuity og risikoanalyse. Der er mange flere, men pointen er, at it-sikkerhed er blevet en paraplybetegnelse for et enormt område af ligeså enorm vigtighed. Så spørgsmålet skal præciseres lidt, inden der kan svares ordentligt på det.

Før i tiden kunne man beskrive sig som it-sikkerhedsekspert ved at kunne vedlige-holde en firewall. En sikkerhedsekspert i dag har typisk evner inden for et snævert område og har ikke den store viden om områder uden for denne specialisering. Her skal det lige siges, at der findes mennesker, som har dybt specialiseret viden inden for mange områder, men der er langt imellem dem, og de koster rigtig mange penge at ansætte eller hyre som konsulenter. It-sikkerhed er altså mange ting, og det betyder, at hvis du gerne vil ind og arbejde med sikkerhed, skal du gøre dig klart, hvilke ting inden for it-sikkerhed, der interesserer dig. Dernæst skal du tage et kik på de evner/uddannelse, du allerede har, og identificere de mangler, der måtte være imellem de evner, du har, og dem du skal tilegne dig for at komme ind på det område af it-sikkerhed, der interesserer dig.

Nye sikkerhedsuddannelser
Før i tiden var it-sikkerhed noget, man lærte sig selv. Nu har vi deciderede uddannelser, der fokuserer på sikkerhed som en del af uddannelsen inden for it. Står du overfor at skulle vælge en it-uddannelse, og synes, at it-sikkerhed er området for dig, så skal du absolut vælge en af de uddannelser, der har det som fokus. I skrivende stund har langt de fleste uddannelser semesterkurser, der fokuserer på it-sikkerhed, mens der er noget længere imellem dem, der fokuserer en hel uddannelse på det. I skrivende stund, kender vi kun til, at DTU har en Diplomuddannelse, der er fokuseret på it-sikkerhed (Se linksene i slutningen af artiklen), mens IT Vest har en Masteruddannelse med fokus på it-sikkerhed.

Fælles for dem alle er, at grundlæggende it-viden er en konkret del af uddannelsen. Hvis vi kikker på nogle af de internationale universiteter, der udbyder it-sikkerhedsuddannelser som fjernstudie, så er det det samme, der gør sig gældende her. Det gør det, fordi du er nødt til at vide noget om programmering, computeropbygning og netværk, for overhovedet at begynde at lære noget om detaljerne i it-sikkerhed.

Sikkerheds-certificeringer
Det var lidt om de formaliserede uddannelser, men hvad med alle de forskellige internationale it-sikkerhedscertificeringer. Er de noget værd? Absolut! Men det samme gør sig gældende inden for certificering, som inden for de formelle uddannelser. Hvad er det for et område af it-sikkerhed, som du gerne vil arbejde med? Derudover er der certificeringer fra de forskellige leverandører, der tilbyder sikkerhedsprodukter, så et kik på den teknologi, som du gerne vil arbejde med, og lad det være en del af overvejelserne, inden du bestemmer dig for hvilken/hvilke certificeringer, der er relevante for dig.

Der er certificeringer inden for it-sikkerhed, som ikke er produktfikserede som f.eks. CISSP fra ISC2, CISM fra ISACA og Certified Ethical Hacker fra ECCouncil (se links til sidst i artiklen), men der er endnu flere certificeringer, der er fokuserede på anvendelsen af et specifikt produkt. F.eks. har Cisco certificeringer på deres sikkerhedsprodukter, men det samme har CheckPoint og langt de fleste andre producenter af sikkerhedssoftware og udstyr. Så valget af certificering skal baseres på den/de teknologier, du gerne vil anvende, og det område af it-sikkerhed du finder interessant.

Når du så har valgt en certificering, så kommer selve arbejdet med at tilegne dig den viden, der kræves for at bestå. Her er der igen forskel på de enkelte certificeringer. Nogle af dem spænder meget vidt, som f.eks. CISSP fra ISC2, men går til gengæld ikke så meget i dybden med de enkelte områder, som CISSP dækker. Andre igen fokuserer på penetrations-test, og her er der certificeringer fra både ECCouncil og GIAC. Fokus her er snævert rettet imod de evner, du skal besidde for at fungere som penetration-tester. ECCouncil har også certificeringer, der retter sig imod efterforskning og forensics efter, at der er lykkedes for hackere at trænge ind.

ISACA har CISM og flere andre certificeringer, men fokus her er på management, governance af systemerne samt risikoanalyse. Her er der tale om certificeringer, der mest er rettet imod en position som CISO (Chief Information Security Officer). Så hvis du er ledertypen, så skal du tage et kik på certificeringerne fra ISACA.

Vedligeholdelse af certificering
Den sidste ting, du skal være klar over inden for it-sikkerhedscertificeringer, er, at de forskellige organisationer kræver, at du vedligeholder deres certificeringer. Vedligeholdelsen består af det, de kalder for CPE-point. CPE står for Continuing Professional Education, og de kræver typisk, at man skal optjene et vist antal om året. Optjening består typisk i, at man består en anden certificering, eller at man f.eks. deltager på sikkerhedskonferencer og lignende.

Kernen her er, at hvis du gerne vil arbejde med it-sikkerhed, så skal du for det første sørge for at uddanne dig inden for grundlæggende it og tage alle de it-sikkerhedsrelaterede kurser, du kan somen del af din formelle uddannelse. En arbejdsgiver, der skal vælge imellem en, der har en formel uddannelse med certificeringer, og en der ’bare’ har certificeringer vil utvivlsomt vælge personen med den formelle uddannelse.

Forhåbentlig kan denne artikel bruges som udgangspunkt for at komme til at arbejde med it-sikkerhed. Bare husk, at it-sikkerhed efterhånden dækker over rigtig mange ting, så vælg!

Links:
DTU: http://www.cv.diplom.dtu.dk/Diplomuddannelser/IT-Diplomuddannelsen

IT Vest: http://www.master-it-vest.dk/it-sikkerhed/detaljer/fagpakke/netvaerkssikkerhed/14.html

ISC2: https://www.isc2.org/credentials/default.aspx

ISACA: http://www.isaca.org/CERTIFICATION/Pages/default.aspx

GIAC: http://www.giac.org/

ECCouncil: http://www.eccouncil.org/Certification