Hva CISSP betyr når du velger cybersikkerhetskonsulent
CISSP viser bred sikkerhetsvurdering og minst fem års erfaring, men sier ingenting om hvor dyp konsulenten er i akkurat det verktøyet du kjøper.
Du er i ferd med å gi en fremmed nøklene til hvordan virksomheten din forsvarer seg. Bokstavene etter navnet er ett av få signaler du kan sjekke før kontrakten er signert. CISSP møter du oftest, og det er lett å lese for mye eller for lite inn i den. Leser du den riktig, slipper du å betale seniorpris for en juniorprofil, og du slipper å vrake en sterk konsulent fordi sertifiseringen så generisk ut.
I samtaler med kjøpere i år går det samme spørsmålet igjen: “De har CISSP, holder det?” Det ærlige svaret er at CISSP sier noe ekte og konkret, og at det fortsatt etterlater et gap du selv må tette. Slik leser du signalet.
Hva CISSP er
CISSP er en bred sertifisering innen informasjonssikkerhet fra ISC2, organet som utsteder den. Det fulle navnet er Certified Information Systems Security Professional. Sertifiseringen er bygget rundt styrings- og designvurdering på tvers av hele sikkerhetsfaget, ikke dyp drift av ett enkelt produkt. Tenk på den som bevis for at noen ser hele brettet, ikke for at de kan spille hver enkelt brikke på det.
Sertifiseringen dekker åtte fagområder som ISC2 kaller CISSP-domenene: sikkerhet og risikostyring, datasikkerhet, sikkerhetsarkitektur og ingeniørarbeid, kommunikasjons- og nettverkssikkerhet, identitets- og tilgangsstyring, sikkerhetsvurdering og testing, sikkerhetsdrift, og sikkerhet i programvareutvikling. Nettopp denne bredden er poenget. En CISSP-innehaver er testet på hvordan risiko, identitet, nettverk og drift henger sammen, og det er denne tenkemåten en konsulent trenger for å gi råd til en hel virksomhet.
Hva bokstavene signaliserer om en konsulent
Det sterkeste signalet er erfaringskravet som ligger bak sertifiseringen. ISC2 krever fem års samlet fulltidsarbeid i to eller flere av de åtte domenene før noen kan inneha CISSP. Sertifiseringen er altså ikke bare en bestått eksamen. Den betyr at personen har brukt år på sikkerhetsarbeid, ikke uker på å pugge til en prøve. Det alene siler ut en stor andel av dem som bare kaller seg konsulent.
To ting til følger med. ISC2 krever at hver innehaver forplikter seg til et etisk regelverk som vilkår for sertifiseringen, og for å beholde den må de tjene 120 etterutdanningspoeng hvert tredje år. For deg som kjøper betyr det at en gyldig CISSP er noen som har sagt ja til å bli holdt til en faglig standard, og som har fortsatt å lære siden de først kvalifiserte seg. En sertifisering som har gått ut eller aldri er fornyet, er verdt å sjekke av samme grunn.
Når du ser CISSP på en profil, kan du altså lese det slik: denne personen har bredde på seniornivå, reelle år bak seg, og en plikt til å holde seg oppdatert. Det er et solid gulv, men ikke hele bildet.
Hva CISSP ikke forteller deg
CISSP måler bredde, ikke praktisk dybde i det bestemte verktøyet du kjøper. En konsulent kan ha CISSP og likevel aldri ha justert en deteksjonsregel i CrowdStrike Falcon, kjørt en skann i Tenable, eller satt opp et styringssystem etter ISO 27001 fra ende til ende. Sertifiseringen sier at de forstår begrepene på tvers av faget. Den sier ikke at de har levert akkurat den jobben du trenger dette kvartalet.
Her bommer kjøpere i begge retninger. Noen behandler CISSP som en garanti for leveranse og hopper over resten av sjekken. Andre ser en “generell” sertifisering og antar at den er overfladisk. Begge lesningene bommer. Da må du koble sertifiseringen til ett eller to bevis på leveransenivå: et navngitt prosjekt, en plattformsertifisering på produktet du bruker, eller en referanse du kan ringe. CISSP får konsulenten på kortlisten. Prosjektbeviset vinner oppdraget.
Hvordan lese en hel sertifiseringsstabel
Se etter bredde og dybde sammen, og sjekk at seniorpåstandene holder vekt. En profil som kombinerer CISSP med en plattform- eller standardsertifisering på akkurat ditt behov, er mønsteret du vil ha: én sertifisering som dekker det vide overblikket og en annen som beviser den praktiske erfaringen.
Et konkret eksempel er min egen profil: CISSP pluss ISO 27001 Senior Lead Implementer og NIS2 Senior Lead Implementer. CISSP bærer den brede sikkerhetsvurderingen beskrevet over. De to Senior Lead Implementer-sertifiseringene ligger oppå, og Senior-nivået krever mer enn ti års erfaring, så til sammen viser stabelen bredde fra CISSP og dybde i etterlevelse. Slik ser mønsteret ut hos enhver du vurderer: en bred sertifisering, en dyp, og seniorpåstander du kan verifisere.
Når du leser en konsulents sertifiseringer, still tre enkle spørsmål. Viser en bred sertifisering som CISSP seniorvurdering på tvers av sikkerhet? Finnes det en sertifisering nummer to eller et navngitt prosjekt som beviser dybde i akkurat det du kjøper? Og kan du bekrefte seniorpåstandene, ved dato, kilde eller referanse? Er svaret ja på alle tre, gjør bokstavene jobben sin.
Neste steg
Se sertifiseringene og partnersertifiseringene til FM CyberSecurity på partnersiden vår. Eller ta kontakt med konsulentpraksisen vår for en 30-minutters samtale om hva du bør se etter hos konsulenten du er i ferd med å leie inn.
Ofte stilte spørsmål
Hva står CISSP for, og hvem utsteder den?
CISSP står for Certified Information Systems Security Professional. Den utstedes av ISC2, et uavhengig organ som sertifiserer sikkerhetsfolk. Det er en bred sertifisering på styrings- og designnivå som dekker åtte sikkerhetsdomener heller enn ett produkt eller verktøy.
Hvor mye erfaring krever CISSP?
ISC2 krever fem års samlet fulltidserfaring i to eller flere av de åtte domenene før noen kan inneha sertifiseringen. Dette erfaringskravet er hovedgrunnen til at CISSP bærer vekt: den er ikke en ren eksamenssertifisering.
Betyr CISSP at en konsulent kan drifte mine bestemte sikkerhetsverktøy?
Ikke alene. CISSP beviser bred sikkerhetsvurdering på tvers av faget, ikke praktisk dybde i én enkelt plattform. Kombiner den med en plattformsertifisering, et navngitt prosjekt eller en referanse på akkurat det verktøyet eller den standarden du trenger, slik at du bekrefter både det vide overblikket og den praktiske erfaringen.
Må CISSP-innehavere holde sertifiseringen gyldig?
Ja. For å beholde CISSP må innehavere tjene 120 etterutdanningspoeng hvert tredje år og forplikte seg til det etiske regelverket til ISC2. En gyldig sertifisering signaliserer noen som har fortsatt å lære, og det er verdt å bekrefte at sertifiseringen ikke har gått ut.
Holder CISSP alene for å velge en konsulent?
Det er et sterkt gulv, ikke et fullt svar. CISSP får en konsulent på kortlisten ved å vise seniorbredde og et reelt erfaringskrav. For å velge mellom kandidater må du legge til bevis på leveransenivå for akkurat ditt behov. Se veiledningen vår om hvorfor anbud i økende grad krever ISO 27001 for hvordan standardsertifiseringer passer sammen med den, og hva ISO 27001 Lead Implementer betyr for prosjektet ditt for et eksempel på en dyp sertifisering.
