Опыт — главное для фирм, начинающих деятельность на ниве информационной безопасности. Клиенты не станут нанимать кого-то, его не имеющего, считает Ян Пойнтер, президент фирмы Jerboa, предлагающей консалтинговые услуги в области безопасности.
"Нельзя приобрести практический опыт, реально не работая консультантом по безопасности, но никто не наймет вас, если вы его не имеете", — сформулировал Пойнтер обычную дилемму.
"Лучше всего, если у вас за плечами 5—10 лет работы в сфере безопасности в одной из фирм "большой пятерки" или просто в крупной компании", — говорит Кен Катлер, управляющий директор организации Information Security Institute (ISI), входящей в состав MIS Training Institute.
В США подготовку в области компьютерной безопасности можно получить в таких организациях, как ISI, SANS Institute, CERT Coordination Center, работающий в составе университета Карнеги-Меллона, в Computer Security Institute, а также в центре CERIAS (Center for Education and Research in Information Assurance and Security) университета Perdue.
Поставщики предлагают также сертифицировать продукцию, что, как считает Катлер из ISI, абсолютно необходимо для интеграторов, устанавливающих межсетевые экраны, системы обнаружения вторжений и другие решения, обеспечивающие безопасность. Кроме того, по его мнению, консультант по безопасности, как правило, должен быть мастером на все руки, имеющим опыт работы с различными ОС, Web-технологиями и компьютерными сетями.
Профессионалы, работающие в сфере безопасности, могут получить специальное удостоверение Certified Information Systems Security Practitioner (CISSP), которое выдает центр (ISC)2 в Дьюндине, шт. Флорида. Кандидаты должны сдать экзамен и следовать определенным этическим нормам.
Катлер считает, что такая сертификация может служить показателем знаний специалиста, однако, по мнению Пойнтера, это свидетельствует лишь о том, что уровень его подготовки не ниже некоторого базового.
Дэвид Кеннеди, директор исследовательского отдела в фирме ISCA.net, обеспечивающей безопасность в Web, уверен, что сертификат CISSP — единственный пока способ выделить квалифицированных консультантов, что не так-то легко сделать в сфере, где отсутствие формальных требований позволяет слишком многим называть себя "специалистами по безопасности".