打破證照誤解與迷思，資安專家帶你釐清資安證照的意義

對於取得資安證照這件事，儘管大家都知道這是可以系統性學習資安的方法，但市場上也時常出現爭論不休的議題，使得資安證照的基本價值容易被忽略，究竟證照的效益如何？產業間對證照的誤解與迷思有哪些？

現任職於華碩電腦，同時擔任(ISC)2 Taipei Chapter監事的黃星評（Kuro）指出，考資安領域的證照，並無法以二選一來認定是否有用。為了讓大家容易理解，他建議大家對證照先要有4個背景認知。

首先，證照是專業訓練的一種手段。讓資安的正確觀念與基礎知識，可透過取得具公信力資安證照掌握國際觀點的要求，對資安管理人員來說，建立正確管理觀念與基本功，是最重要的一步。

第二，資安的工作面向很廣，實務上我們會遇到不同領域的問題，因此透過資安證照的系統化學習，才能全面了解各個知識領域，提升專業溝通能力。

例如，CISSP證照所涵蓋的資訊安全通識體系8大領域，都是工作上需接觸且必要的概念，如果能透過證照體系的訓練與考核，去學習這些基本知識，未來工作上遇到問題時可自行研究，不用完全依賴外部顧問，也能因應搞不懂專有名詞與其運作概念等尷尬窘境。 

第三，要了解這個職業最低需要具備的基本能力。證照可以幫助自己了解缺少什麼，應該要補足哪一些知識點，但同時也要知道：並非考到證照就非常厲害，證照只是證明自己的其中一個手段，還有很多方法可以證明自己的能力，而且，證照的理論與實務需要相輔相成，絕對不可只重視任何一方。

第四，資安技術比起資安管理確實比較不需要證照。這個領域更需要作品與成績，包括CTF競賽、Side Project與Bug Bounty的成就等等，但管理與技術彼此相輔相成，都需要多少有些了解。

從證照了解不足，能否與不同角色的有效溝通是資安成功關鍵

在黃星評的證照準備經驗中，他認為，學習並考取多項證照的過程，可以很容易發現自己的不足之處，透過國際認可的框架，能幫助梳理自己缺乏的專業知識。而擁有基礎知識的好處在於，當遇到問題時，可以更快找到解答。

過去黃星評曾擔任安永企業管理諮詢服務資安顧問，那段期間，他體認到：當自己有了廣泛的基礎知識之後，面對業務主管、IT技術專家、資安管理人員、高階主管所提出不同技術與管理問題時，將能夠有效地依據其業務給出答案。他並強調，能夠與不同單位進行有效溝通，是資安能夠成功的基礎要素。

證照的推行，當然也有反面例子，黃星評也提及自己曾觀察到的反面例子。例如，有些新人直接參與資安專案，這可能會引發許多問題，因為他們通常會面臨許多困境，像是不知道正確的做法、不清楚前輩教的是否正確、不熟悉方法論的原理，以及不明白自己應該具備哪些基礎知識。因此，除了受到現實的限制，往往導致專案並非採用最正確的方式來進行，更可怕的是，許多從業人員可能不知道適合的觀念和做法。

無論如何，儘管證照的內容往往是以100分的理想狀態來呈現，但如果不了解100分的目標，實際執行這些工作的人們，可能就無法持續朝著正確的方向前進。因此，這是非常重要的。

至於企業高層徵求資安人才時，有那些證照很實用？他從兩個面向來看，一個是針對資安技術領域人員的部分，包括：CEH、CPENT、OSCP、CompTIA CySA+，另一是針對資安管理領域人員的部分，包括：CISSP、CCSP、CISM、CISA，這些證照都是不錯的選擇。

由於現今大多數企業資安人員不足，從業者可能對未來發展有許多疑惑與迷茫，也可能因為不熟悉該領域，而導致專案品質不佳，或是變成趕快結案就好的心態，他建議可先從能廣泛了解各個領域的證照開始學習，不論是甲方或乙方的人員都能提升本身價值與專業。

附帶一提的是，他並強調，並不一定要去考取證照，透過學習該證照教材，同樣能提升溝通與延伸學習能力，例如CompTIA Security +、ISC2 CC、ISACA CISM等認證的教材內容，都很值得學習。

另外他指出，國外許多資安從業者會將具有公信力的資安證照納入專業能力評估的一環，不分職位高低，都會考取一兩張具有公信力的資安證照。但他發現，在臺灣相關學習地圖中，對於許多資安證照的定位有蠻大的誤解，他認為，應該如國外思考，以證照本身在該領域是否為所必要的知識，來決定它的等級。例如，ISC2 CISSP、ISACA CISM、CREST CPSA的證照內容，其實是廣而不深，應該放在中階而非高階。

本文出自《CYBER TALENT 臺灣資安人才專刊》