Certyfikat z CyberSecurity Analysis (IIBA-CCA)

Szkolenia Odsłon: 14

IIBA Certified in Cybersecurity Analysis, czyli w skrócie CCA, to jedna z mniej oczywistych certyfikacji w portfolio International Institute of Business Analysis. Większość osób kojarzy IIBA głównie z CBAP, ECBA czy tematami stricte business analysis. Tymczasem CCA to ciekawy miks analizy biznesowej, cyberbezpieczeństwa, governance i podstaw architektury IT. I właśnie dlatego ten egzamin jest trochę zdradliwy.

Na pierwszy rzut oka wygląda jak „cybersecurity dla analityków”. W praktyce jest bardziej egzaminem z rozumienia środowiska bezpieczeństwa organizacji niż technicznym testem dla security engineerów. Z tego wpisu dowiesz się jak wygląda egzamin, czego się spodziewać, jak się przygotować i czy w ogóle warto w to iść.

O IIBA i CCA

IIBA od lat rozwija standardy i certyfikacje związane z analizą biznesową. Najbardziej znanym dokumentem jest oczywiście BABOK, ale IIBA od dłuższego czasu rozszerza portfolio również o obszary bardziej specjalistyczne. Jednym z nich jest właśnie cybersecurity analysis.

CCA powstało we współpracy z IEEE Computer Society i ma być odpowiedzią na rosnące zapotrzebowanie rynku na osoby, które rozumieją zarówno biznes, jak i bezpieczeństwo. I to jest istotne – ten certyfikat nie jest skierowany wyłącznie do specjalistów SOC czy pentesterów. Wręcz przeciwnie. Bardzo duży nacisk położony jest na governance, ryzyko, compliance, wymagania, role organizacyjne i współpracę między biznesem a IT.

To trochę inne spojrzenie na cyberbezpieczeństwo niż typowe certyfikacje techniczne. Tutaj bardziej chodzi o pytania:

  • jak organizacja zarządza ryzykiem,
  • kto odpowiada za bezpieczeństwo,
  • jak wygląda governance,
  • jak definiować security requirements,
  • jak BA współpracuje z security teamem,
  • jak oceniać wpływ zmian,
  • jak projektować kontrolę dostępu,
  • jak analizować zagrożenia i podatności.

Czyli bardziej „security z perspektywy enterprise i delivery”, a mniej „konfiguracja firewalla Cisco o 2 w nocy” :)

Zakres egzaminu

Egzamin bazuje głównie na Cybersecurity Learning Guide od IIBA oraz materiałach przygotowanych przez partnerów szkoleniowych. Zakres jest dosyć szeroki i – co ważne – mocno przekrojowy.

Poniżej główne obszary:

Obszar Udział
1. Cybersecurity Overview and Basic Concepts 14%
2. Enterprise Risk 14%
3. Cybersecurity Risks and Controls 12%
4. Securing the Layers 5%
5. Data Security 15%
6. User Access Control 15%
7. Solution Delivery 13%
8. Operations 12%

 

Jak widać, egzamin nie skupia się wyłącznie na technologii. Bardzo dużo jest:

  • governance,
  • risk management,
  • compliance,
  • access control,
  • procesów,
  • ról organizacyjnych,
  • security operations,
  • analizy wymagań.

I to właśnie tutaj wiele osób może się pomylić. Bo intuicyjnie wydaje się, że będzie dużo „hardcore cyber”. Tymczasem ogromna część pytań dotyczy raczej zrozumienia środowiska organizacyjnego i podstawowych koncepcji bezpieczeństwa.

Jak wygląda egzamin?

Aktualne informacje najlepiej sprawdzać na oficjalnej stronie IIBA. Na moment pisania tego artykułu egzamin wygląda mniej więcej tak:

  • 75 pytań jednokrotnego wyboru,
  • 90 minut,
  • egzamin online,
  • język angielski,
  • pytania raczej krótkie i konkretne,
  • brak laboratoriów i zadań praktycznych,
  • próg zdawalności: ok 70%.

Koszt ok 300$. Nie potrzeba spełniać żadnych dodatkowych wymagań. Egzamin realizowany jest online przez platformę egzaminacyjną PSI. Standardowo: weryfikacja dokumentu, sprawdzenie biurka, kontrola otoczenia, monitoring kamery i mikrofonu. Uff tutaj miałem sporą przeprawę z kontrolerem, żeby odpowiednio przygotować biurko. Cała weryfikacja trwała prawie 30 min. Mój "gabinet" jest w pokoju dziecięcym i nie jestem w stanie uniknąć mnogości rzeczy dookoła, więc musiałem wszystko wyciągać i przesuwać, masakra :). Trafiłem na wyjątkowo skrupulatną osobę. Ale w końcu się udało uruchomić egzamin. 

Poziom trudności

To jest chyba najciekawsze pytanie. Technicznie egzamin nie jest bardzo trudny. Problem polega na czymś innym – ogromnej ilości pojęć, definicji i kontekstów organizacyjnych. CCA ma bardzo duży komponent „vocabulary based”.

Trzeba znać:

  • definicje,
  • role,
  • różnice między pojęciami,
  • rodzaje kontroli,
  • modele odpowiedzialności,
  • podstawowe technologie,
  • governance frameworks,
  • security terminology.

I tutaj łatwo wpaść w pułapkę pozornego zrozumienia. Bo wiele odpowiedzi brzmi poprawnie. Egzamin często sprawdza, która odpowiedź jest „najbardziej zgodna z guide”.

Przykładowo:

  • różnica między authentication a authorization,
  • internal audit vs external audit,
  • risk appetite vs risk tolerance,
  • IDS vs IPS,
  • vulnerability vs threat,
  • policy vs standard vs guideline vs procedure.

Do tego dochodzą pytania sytuacyjne związane z rolą BA w cybersecurity.

Ile czasu na przygotowanie?

U mnie było to około 2.5 miesiąca.

Jeżeli ktoś:

  • pracuje jako BA w IT,
  • ma podstawy cyber security,
  • zna governance i SDLC,
  • rozumie access management,
  • kojarzy podstawowe architektury IT,

to wejście jest zdecydowanie łatwiejsze. Najwięcej czasu zajmuje: przyswojenie słownictwa, uporządkowanie pojęć, nauczenie się „IIBA way of thinking”.

I tutaj ważna rzecz – egzamin nie wymaga głębokiej wiedzy technicznej. Nikt nie będzie kazał analizować pakietów sieciowych ani konfigurować SIEM-a. Ale trzeba rozumieć:

  • do czego służą konkretne mechanizmy,
  • jakie ryzyko adresują,
  • kto za nie odpowiada,
  • gdzie wpisują się w organizację.

Materiały do nauki

Podstawą jest oczywiście official guide oraz materiały treningowe.

Ja korzystałem głównie z:

  • Adaptive US CCA Study Guide - (szczerze polecam, dodatkowo z tym linkiem i na hasło TOMASZBIERNAT macie 5% zniżki na wszystkie kursy od Adaptive, warto zerknąć )
  • oficjalnego learning guide,
  • własnych notatek,
  • pytań próbnych.

I tutaj niestety podobnie jak przy wielu niszowych certyfikacjach – jakościowych pytań egzaminacyjnych nie ma bardzo dużo. W internecie można znaleźć pojedyncze zestawy, ale poziom bywa bardzo nierówny.

Dlatego przygotowałem własny zestaw pytań egzaminacyjnych oparty o realny styl egzaminu i zakres materiału, wrzucam link poniżej. Przygotowuję też pełne szkolenie przygotowujące do CCA razem z materiałami i omówieniem najważniejszych zagadnień, szczegóły wkrótce :)

Czy warto?

Moim zdaniem tak, CCA dobrze pokazuje, że cybersecurity nie jest wyłącznie domeną administratorów i specjalistów SOC. Bardzo dużo problemów bezpieczeństwa zaczyna się na poziomie:

  • wymagań,
  • procesów,
  • governance,
  • złego projektowania zmian,
  • niejasnych odpowiedzialności.

I właśnie tutaj BA może mieć bardzo dużą wartość.

Wnioski

CCA to ciekawa i całkiem sensowna certyfikacja dla osób działających na styku biznesu, IT i bezpieczeństwa. Nie jest przesadnie techniczna, ale też nie jest banalna. Wymaga uporządkowania wiedzy i zrozumienia całego ekosystemu cybersecurity w organizacji.

Największy plus? Egzamin patrzy na bezpieczeństwo szerzej niż tylko przez pryzmat technologii. I to moim zdaniem jest bardzo dobre podejście.

Jeżeli planujecie podejść do CCA i macie pytania – śmiało piszcie. Chętnie pomogę.

I oczywiście zapraszam do:

Powodzenia 🙂

Zdjęcia

Idea portalu

Ideę powstania tej strony można bardzo trafnie podsumować słynnym Sokratesowym  „Scio me nihil scire „ - „wiem, że nic nie wiem”.  Celem i pomysłem stworzenia Naszego portalu jest korzystanie z doświadczenia i wiedzy, jak i dzielenie się swoimi pomysłami, lekcjami, autopsjami. Nie chcielibyśmy jednak aby powstała branżowa WIKIPEDIA, a zamiast suchej wiedzy były doświadczenia, studia przypadku, konkretne sytuacje prosto z biznesu. A więc praktyka ponad teorią.

Liczymy więc na Was społeczność ludzi związaną z zarządzaniem IT i odwiedzających tę stronę na dzielenie się pomysłami i doświadczeniami. Uczmy się wszyscy !!

slot

slot88