觀點

資安證照的迷思

2009 / 09 / 10
Bruce Schneier 、Marcus Ranum 翻譯/陳冠彰
資安證照的迷思

當你拿到列有密密麻麻一堆證照的名片時,是佩服還是懷疑其專業度呢?

台灣在近年來不斷的推廣證照制度,只要有多張證照加身,彷彿就成了職場上的搶手貨!在資安業界,資安證照也成為資安專家的基本配備之一,然擁有專業證照就代表其具有解決資安問題的能力嗎?

  我對證照向來都是頗具敵意的。我認識太多擁有一堆證照的安全專家,也認識許多優秀的安全專家(身上)沒有任何資安證照。漸漸地,我瞭解到雖然證照並不完美,但卻是一個不錯的管道讓安全專家學習他們應知道的專業知識;也能提供徵才主管們評鑑一個應徵者是否具備安全專業知識的好方式。

  究竟改變了些什麼?其實現今的工作需求與證照課程都已與過去有所不同。

  任何人都可以開發一套他自己無法入侵的安全系統。我常說Cory Doctorow把這條叫做「施奈爾定律(Schneier''s Law)」。這條定律是這樣說的:當有人給你一套系統並說「這套系統非常安全」,你首先要問的就是「你以為你是誰?」、「給我看看你曾做過哪些入侵測試,再來跟我證明你的系統確實安全吧!」。

  這樣的專業性是無法在證照中看到的。那是一種結合涉獵廣泛學術論文與豐富實務面安全系統經驗,以及練習、練習、再練習的一種天生直覺。當我雇用人來設計及評估一套安全系統時,我一點也不會去在乎這個人是否擁有證照。因為那是沒有任何意義的,我要的是完全不一樣的技巧及能力。

  但大部分的公司不需要雇用這樣的人。當網路安全已經變成標準化,公司所需要的是「管理員」而不是「研究員」。在「研究員」越來越短缺的情況下,「管理員」需求逐漸擴增是件好事,而證照課程正好可大量生產「管理員」。

  在最近幾年,證照課程也越來越豐富,並確實能提供安全管理員真正所需的安全知識。我也許不需要一位曾設計安全協定或評估過一套密碼學系統的大學生,但是否通過網路安全的證照考試,才是許多大公司的需求。在我的公司中,我們鼓勵安全分析師參加證照課程。我們發現那是教導他們面對日益複雜的工作中所需知識最符合成本效益的方式。

  會碰到許多擁有證照的差勁安全管理員,但也有許多優秀的安全專家一張證照也沒有。

  最後我想說的是,證照就像簡介,它值得重視,但所能評估的層面相當微薄。就因為某人擁有一張特別的證照不代表他擁有你所需要的安全專業能力。相對來說,就因為某人沒有某張安全證照,也不代表他沒有你所需要的安全專業能力。但我們以此觀點做為我們利用證照作為篩選的理由:我們沒有足夠的時間、耐心或者能力來明確地測試我們所需要的能力。

  以安全證照來進行篩選,是公司在作聘僱決策最簡單的方式,也是公司培訓他們員工最快的方式。老實說,的確是很足夠了。

  資安證照是能力的保證書?如果你是個既懶惰、不學無術且不求上進的人,那證照是個不錯的選擇。如果你是個徵才主管,而且你懶得檢視每位應徵者的履歷、瞭解他們曾做過的工作內容,更懶得利用不同的方式來來評估他們是否符合你的需求。那就聘用一個名片後面連著一堆專業字母的人吧!

  與其痛苦地絞盡腦汁想出問題來面談一位應徵者的能力是否符合職務需求,你不如僅依賴證照作為依據還輕鬆的多呢!或者,也許你正需要聘用一位你完全不瞭解的職務:像是火箭科學家,而且你剛好不是;不如就聘用一位履歷中有「CRS(certified rocket scientist)」的應徵者。畢竟,一張證照應是具有能力證明的效力-能幫你決定一位你不瞭解的人是否勝任此職務。

  施奈爾先生說的沒錯,在某些領域中供給、?需求、?專業曲線開始失效趨勢下,證照越來越受到矚目。對我來說,實際問題是-在我真的完全無助而僅能依賴證照之前,情況會變多糟?在蓋自己新家時,有誰會僅依據一張證照而雇用承包商呢?你會不會徵詢朋友推薦,並查閱一些他以前做過的工程?我可能還會去確認該承包商是否有保險呢!但如果是在最終時刻要決定選擇哪個承包商時,最重要的還是那些實務的工程經驗,以及過去是否都如期完工的工作紀錄。如果我想雇用的承包商太過於忙碌,我會請他推薦其他適合廠商,並小心謹慎地評估。這就是為什麼人們常依賴「校友關係(old boy network)」找人,這的確是很有用的。

  更重要地,當你依賴「校友關係」時,其實推薦的人也能比較瞭解他要推薦的人是否符合職務需求。科技進展的過於迅速,導致舊系統的技術知識變成一大重要問題。舉例來說:如果有人要雇用我來保全一套ULTRIX 3.1d系統,我算是極度夠資格的。但如果要我解決現今眾多擾人的Linux的「distros」,我可能需要好幾個月的研究及實驗,才能解決其中之一。但如果我有證照,也許某人會誤以為我有這樣的能力,而錯誤地雇用了我。而我必定需要再接受訓練才能解決他們的問題。如果他們能詢問一位我的同事或朋友,在進行Linux專案時會推薦誰,我相信我的名字絕對不會被提及的。但如果職缺名稱叫做「中年吝嗇鬼」,也許又有另一段完全不同的故事了。

  評估的最低準則應是-不論一位應徵者是否擁有證照,最聰明的方式是對他盡可能的瞭解,作為是否勝任此份工作的依據。事實上,一位聰明的徵才主管總是會不斷確認工作經歷並依據過去的工作成果以作為評估依據;常常僅有少數的一兩位應徵者能通過這樣的檢驗。

Bruce Schneier是Counterrpane Internet Security科技長,是《Beyond Fear:Thinking Sensibly About Security in an Uncertain World》的作者。可在www.schneier.com閱讀更多他的著作。

Marcus Ranum是Tenable Network Security策略長(CSO),也是一位著名的安全科技研發者、教授及講師。其個人網站在
www.ranum.com