随着更多的数据泄漏事件的公开，很多公司比以往更看重安全，这意味着他们将聘用那些有资格的、通常是具有IT认证的安全工作人员。Gartner研究中心发布了一份最新报告，题为“怎样选择合适的职业信息安全认证”，这个题目证实了IT安全认证在今天的职场里是最普遍和最有价值的，同时也告诉雇主们到底应该如何判断这些安全认证投入的重要性。在这个采访中，Garnter研究中心的主任（拥有CISSP和CISA认证）Carsten Casper，解释了什么因素使得一个安全认证比另一个更有价值，还解释了怎样才能搞清楚一个认证值不值得对其进行投资。

　　从研究中得到的关键是什么？

　　Carsten Casper: 两个主要问题，一方面，我们还是需要安全工作作为一个职业，另一方面虽然所有的这些认证都能提供额外的益处，但是它们不一定对安全这样的职业有所贡献。有些认证体系认为它们的市场在目标人群里达到了饱和，虽然我并不这么认为，但这导致他们得出结论，他们需要创新，他们需要多样化，他们需要对现存的课程进行变更。而这并不是必要的，因为这么多的认证足够满足今天的需要了，有足够多的品种，并且有一些已经被广泛接受了。而创造更多的认证方案似乎是为了牟利，而不是为了让受认证人员最终得到相应的价值。

　　今天信息安全领域中哪些认证是最重要的呢？

　　Casper：现在有两种基本的认证。一种很少人知道，其数量成百上千，它们的面对的是非常具体的环境、国家、主题和特定的目标人群。另一种就是几个众所周知的、主要的认证：CISSP, CISA（作为认证本身）和GIAC（作为技术性的认证组织）。我想这一点大家已经非常清楚了。这几个大的认证体系几乎没有给其他认证体系留什么空间，但是其他认证体系的存在还是有充分理由的，它们填补一些非常特殊的市场需求。问题是，如果你想与众不同，让自己在人群中脱颖而出，那么有些认证可能并不合适，即便它们广为人知。但是，你还有什么其他的选择呢？这要根据你具体的需要。这个很难说。

　　如果一个职业安全人员想进入一个新的或者另外的安全工作方向，你建议他或她首先考虑获得什么样的认证，从而更好的得到工作机会呢？还是说，认证在那一领域不是那么重要呢？

　　Casper: 如果你来自一个商业的背景，或一个完全不同的技术背景，而你又想进入信息安全，那么获得这些标准认证并不能真正的帮助你。你需要经验，需要信息安全工作背景。如果你已经在IT安全领域工作过（比如你已经干过多年的渗透测试工作），你想扩大你的知识面，那么CISSP或者CISA认证或许是不错的选择。它能证明了你的确扩展了自己的视野，已经上了一个新台阶，能够处理信息安全领域其它方面的工作。如果你已经在信息安全领域工作了几年，甚至作为首席信息安全官员，你想进入一个IT风险管理角色，那么这个安全的含义却可能是一个障碍，你可能会想获得一个MBA学位。我认为，认证证书可以很好的证明你知道什么；如果你想换工作，如果你想进入其他领域，它就不是那么好使了，因为它就像是一个标志，一张你贴在墙上的纸，那会告诉别人你只是受过一个培训而已。当然认证需要攻读很多课程，你要么在网上、要么需要在教室里上课学习，但是它又不是一个大学学位，不是一个MBA学位，不是一个深入彻底的培训。它只是一个标志。

　　雇员是不是应该负责把他们获得的认证“兜售”给潜在的雇主（比如向雇主解释认证的意义）？

　　Casper: 百分之百的应该这么做。如果你不具备一种众所周知的认证证书，你需要向你的老板或者未来的老板解释你自己获得的认证的重要性，因为它是一大串的单词缩写。即使你把它的名字拼出来，也没人会知道那个认证的宽度和深度。你需要从头到尾进行解释。

　　信息安全专业人员有什么具体的方法来解释认证吗？你认为在简历上附一份认证的说明或者在面试时解释认证是一个好的办法吗？

　　Casper:告诉你现在或未来的雇主这个认证在什么地方起作用：什么工业，什么国家，什么领域。解释发布认证的机构是哪家（是一家非赢利机构呢，还是一家政府实体机构）？此类型认证的还有多少种。认证符合ISO 17024标准吗？然后解释你怎么获得认证的：考试？实验？获得认证你是不是需要出示推荐信或者有一些实际经验？如果你想说服你的雇主相信认证的价值，你就必须要解释清楚这些东西，并使用一点营销的策略。

　　当一个安全工作人员试图决定一个认证是否值得投资时，他应该考虑什么？

　　Casper: 我想考取认证总是值得投资的。问题是：你该选择哪个认证？如果你什么都没有，我想还是需要获得一些认证的。如果你拥有一个计算机科学学位，你在信息安全领域工作，有时有人会问你：“你是电脑专家，但是你对信息安全又知道多少呢？”如果你有许多认证，那么你就不会问自己安全认证是否值得投资这个问题。如果你什么认证都没有，我想说的是，统筹考虑的话，考取一些认证还是有意义的。

　　当雇佣新的安全工作人员时，企业应该如何看待一个候选人员有没有特定的认证呢？

　　Casper：这要根据职业角色来定。如果你想找一个技术人员，比如防火墙管理员、PS操作员，或者安全取证调查人员，那么把有没有认证作为一个应聘标准是一个不错的办法，因为它能帮助你对工作申请进行筛选。如果一个人很突出但是他没有认证，我还是会考虑这个人。如果你想找一个管理人员，比如一个信息安全管理或者一个风险管理人员，那么就不需要过分强调认证，因为这样的人一般没有时间和必要去获得一个额外的评估认证。所以如果你以有没有认证作为判断基础，可能会过早的筛选掉一些优秀的候选人。虽然在管理方面有一些所谓的管理认证（像CISM），但在这个领域中用处并不大。所以，我想说的是，聘用技术人员，20%的注意力或许应该放在他有没有认证上面，而对于管理职业，这一比例只占5%。其余的精力则应该关注一下其他的方面，看看他的技术水平和专业以外的技能，如为人处事、表达、协调能力等。