Vieraskynä: (ISC)2 – nyt on aika vaikuttaa
CISSP-sertifiointi, tuttavallisesti ”cispi”, on yksi tunnetuimmista tietoturvasertifioinneista. Myös Suomessa se on monella tietoturva-ammattilaisella, ja monessa työpaikkailmoituksessa sitä pidetään suositeltavana sertifiointina. Mikä siis on CISSP, sitä hallinnoiva (ISC)2 ja miksi nyt on tärkeää vaikuttaa?
CISSP on Yhdysvalloissa 1980-luvun lopussa syntynyt henkilösertifiointi, jonka tarkoituksena on alusta asti ollut viestiä sekä sertifioidun hyvää ja laajaa ymmärtämystä turvallisuudesta että sertifioidun kykyä toimia ylimmän johdon neuvonantajana tietoturva-asioissa. Ei riitä pelkkä tentin läpäisy: on oltava riittävät opinnot ja/tai riittävä työperäinen osaaminen ja suosittelijat. Osaamista on myös jatkuvasti ylläpidettävä, todisteellisesti. Sertifioidusta tulee (ISC)2:n jäsen, jonka on noudatettava määrättyjä eettisiä sääntöjä.
(ISC)2 on jäsentensä hallinnoima voittoa tuottamaton organisaatio, joka perustettiin luomaan ja ylläpitämään maailmanlaajuista, vakioitua koulutussuunnitelmaa ja sertifiointimenettelyä tietoturva-ammattilaisille. Se on viime kädessä kuin mikä tahansa yhdistys, jossa päätösvalta on jäsenillä. Jäsenkunta ja jäsenyys on kuitenkin muuttumassa, eikä välttämättä hyvään tai järjestön historiaa kunnioittavaan suuntaan.
Vaikka nykyään 180 000 täysivaltaisesta jäsenestä 162 000 on CISSP-sertifioituja, (ISC)2 tähtää erityisesti Certfied in Cybersecurity -sertifikaatilla selvään jäsenmäärän kasvuun. Certified in Cybersecurity edustaa jäsenkunnan toista ääripäätä, missä jäseneksi pääsee suorittamalla laaditun suppean tentin hyväksytysti, ilman suosittelijoita tai mitään ammatillista tai koulutuksellista taustaa. Samat eettiset säännöt toki sitovat molempia. Jäsenmäärä kuitenkin vaikuttaa siihen, miten jäsenkunnan voi pitää sopivana nostaa haluamiaan asioita järjestön käsiteltäväksi.
Tällä hetkellä 500 tukijalla asiansa saa järjestössä käsiteltäväksi. (ISC)2:n hallitus on esittänyt määrän muuttamista yhteen prosenttiin koko jäsenkunnasta, minkä jäsenkunta viime äänestyksessään teilasi. Vaikka paperilla 500 voi näyttää pieneltä organisaatiossa, jossa on lähes 200 tuhatta jäsentä, tosiasiassa jo nykyisen minimikannatuksen kerääminen on osoittautunut erittäin vaikeaksi maasta ja mantereesta riippumatta. Syyt ovat pitkälti jäsenkunnan hajanaisuudessa, joka on vaarassa muuttua vieläkin hajanaisemmaksi, ellei jäsenkunnan vaikutusmahdollisuuksia kehitetä merkittävästi.
Suomessa on noin 500 CISSP-sertifioitua henkilöä. Yksin suomalaiset saattaisivat, tällä hetkellä, riittää nostamaan haluamiaan asioita (ISC)2:n hallituksen tai jäsenistön käsiteltäväksi – tai esittää omaa ehdokasta hallitukseen. Tanska on kutakuinkin Suomen kokoinen, Ruotsissa on parisataa CISSP-sertifioitua enemmän kuin Suomessa. Vaikka määrät ovat pieniä verrattuna Iso-Britanniaan, Kanadaan tai Yhdysvaltoihin, ne merkitsevät, koska maailmanlaajuisesti jäsenistö on jo pidempään ollut hajanaista eikä keskimäärin kovin kiinnostunutta sertifiointinsa arvon säilyttämisestä.
(ISC)2 on vaarassa muuttua pelkäksi sertifikaattikauppiaaksi, vaikka sen pitäisi olla jäsenten hallinnoima voittoa tuottamaton tietoturvallisuutta edistävä yleishyödyllinen järjestö. Jos olet CISSP, nyt on syytä kiinnostua siitä, mitä (ISC)2 tekee jäsentensä hyväksi ja sertifiointisi arvon puolustamiseksi, vaikka olisit hankkinut sen vain selvitäksesi paremmin tarjouskilpailuissa. Kuten kiinteistön tai osakkeen arvo, sertifioinninkin arvo kantaa vain, jos siitä huolehditaan ja sitä arvostetaan niin ammattikunnassa kuin yleisesti.
Ole mukana:
Parhaillaan äänestetään (ISC)2:n sääntömuutoksista. Ellet löydä tästä lähetettyjä tiedotteita, katso spam-kansiostasi (!). Kokonaiskuvan saat ehkä parhaiten Steve Mencikin blogista. Keskusteluun muiden (vanhojen) jäsenten kanssa voi osallistua Cisspforum-postituslistalla ja LinkedInissä.
Sami O. Koskinen
CISSP-ISSMP #54813
tossu@iki.fi
Mikä on vieraskynä?
Vieraskynä palstalla käsitellään eri näkökulmista ajankohtaisia aiheita tietoturvallisuuteen ja tietosuojaan liittyen. Palstalla julkaistut tekstit edustavat kirjoittajan omia näkemyksiä eivät näin ollen ole välttämättä kirjoittajan työnantajan tai Tietoturva ry:n virallinen kanta.