IT Security Certifications (หรือ เซอร์ด้านซีเคียวริตี้) ที่ควรจะรู้จัก

สำหรับหลายๆ ท่านที่คิดอยากจะก้าวเข้ามาทำงานในสาย IT Security หรือกำลังทำงานด้านนี้อยู่แล้ว ก็คงที่จะหนีไม่พ้นความคิดที่ว่าอยากจะลองไปสอบเอา certification (ผมขอเรียกสั้นๆ ว่า cert นะครับ) ทางด้านที่เกี่ยวกับ security แน่นอน ซึ่งจะว่าไปแล้วก็ถือว่าเป็นเรื่องปกติของชาวไอที ที่มักจะหาความก้าวหน้าทางด้านการงานด้วยการไปสอบเก็บ cert บางคนก็หวังว่าพอสอบผ่านได้ cert มาแล้ว ก็จะได้เงินเดือนเพิ่มขึ้น (จริงๆ แล้วน่าจะเหมือนกันทุกคนนะครับ เพราะผมคิดว่าคงไม่มีใครหรอกที่คิดจะไปเสียเงินสอบ แถมมีความเสี่ยงกับการสอบตกด้วย โดยที่ไม่หวังว่าจะได้เงินเดือนหรือมีค่าตอบแทนเพิ่ม :-) บางคนก็หวังว่าพอสอบผ่านแล้วจะได้เอา cert ที่ได้ไปใช้หางานใหม่ที่ดีกว่างานปัจจุบัน (ก็อีกแหละครับ เหตุผลเดิม หางานใหม่ ก็ต้องได้เงินเดือนมากกว่างานเก่า) แล้วก็มีบางคนที่ชอบไปสอบเก็บ cert เอาไว้ใช้สำหรับประดับบารมีเฉยๆ หรือจะพูดว่าเอาไว้อวดความรู้ ให้ชาวโลกได้รับทราบว่า "ข้าพเจ้านี่แหละคือเก่งสุดยอดระดับเทพ" พอดูนามบัตรที มี cert ต่อท้ายชื่อตัวเองยาวเป็นหางว่าวเลย โอ้วแม่เจ้า! ผมดูแล้วตาลาย งง ตกลงตรงไหนกันแน่ที่เป็นชื่อคนละคร้าบเนี้ย คนประเภทนี้ก็จะเป็นพวกที่ทำงานทางด้านเป็นที่ปรึกษากับเป็นอาจารย์ เพราะเค้าต้องทำตัวให้ดูน่าเชื่อถือและบางทีก็ต้องสอนหรือติววิชาสอบ cert ต่างๆ เลยจำเป็นต้องทำเป็นตัวอย่าง ด้วยการไปสอบให้ตัวเองผ่านก่อนที่จะมาสอนคนอื่นได้ แต่ก็เอาเถอะครับ ต่างคนต่างความคิด สำหรับผมเอง ก็เคยทำอาชีพเป็นทั้งที่ปรึกษาและอาจารย์สอนด้าน IT Security มาก่อน ก็เลยมีความจำเป็นที่จะต้องไปสอบเอา cert เพื่อมาใช้สอนคนอื่นและเพื่อความก้าวหน้าทางวิชาชีพของตัวเองด้วย

เอาละครับ เรามาเข้าเนื้อหาของโพสนี้กันดีกว่า ก่อนอื่น เรามาทำความเข้าใจกับความหมายของคำว่า vendor-neutral certification ซึ่งหมายถึง cert ประเภทที่ไม่ยึดติดหรือมีเนื้อหาของข้อสอบที่เกี่ยวกับเทคโนโลยีของบริษัทใดเพียงบริษัทเดียว เนื้อหาของ cert ประเภทนี้จะเป็นลักษณะที่เน้นทางด้านวิชาการ ภาพรวมหรือ concept โดยสามารถนำความรู้เหล่านี้ไปประยุกต์ใช้กับเทคโนโลยีของบริษัทไอทีต่างๆ ได้ ซึ่ง cert ทางด้าน IT Security มักจะเป็นแบบ vendor-neutral เพราะว่าการรักษาความปลอดภัยของระบบไอทีนั้น มันเป็นส่วนหนึ่งของทุกๆ เทคโนโลยีภายในองค์กร ไม่ว่าจะเป็น software หรือ hardware ก็ตาม และผู้ที่ทำงานด้าน IT Security ก็ควรที่จะมีความรู้ในหลายๆ ด้าน ไม่ว่าจะเป็นด้าน OS (เช่น Windows และ Linux) หรือ Networking (เช่น Firewall, IDS/IPS และ Anti-Spam) เพื่อที่จะสามารถวางแผนการป้องกันระบบไอทีจากการถูกโจมตีหรือถูกแฮกให้ได้มีประสิทธิภาพในทุกๆ ด้าน


ดังนั้น เนื้อหาของข้อสอบด้าน IT Security มักจะเป็นการผสมผสานกันขององค์ความรู้ไอทีหลายๆ ด้านเข้ามาไว้ด้วยกัน โดยส่วนใหญ่จะไม่ค่อยเน้นด้านเทคนิคมากนัก (ยกเว้นว่าเราจะไปสอบ cert สำหรับการเป็นนักเจาะระบบ หรือที่เรียกว่า Penetration Tester) จึงทำให้การเตรียมตัวอ่านหนังสือสอบนั้นใช้เวลาพอสมควร โดยเฉพาะอย่างยิ่งสำหรับผู้ที่ยังมีประสบการณ์ทำงานไม่มากนัก ก็ต้องขยันกันหน่อยนะครับ (อยากมัวแต่เอาเวลาพักไปนั่งเล่นเกมส์คอมนะครับ คงต้องเปลี่ยนมาเป็นนั่งอ่านหนังสือแทน :-)


สำหรับ cert ตัวแรกที่ผมจะแนะนำ คือ Security+ (หรือเรียกสั้นๆ ว่า Sec+) เหมาะสำหรับผู้ที่เริ่มต้นในการทำงานสาย security เพราะว่าเป็น cert ขั้นพื้นฐานครับ เนื้อหาในการเตรียมตัวสอบนั้นไม่ลึกมาก แต่ก็มีให้อ่านมากพอสมควรนะครับ

CompTIA Security+

• ราคาค่าสอบ: $276
• วัน/สถานที่สอบ:  สามารถนัดวันที่จะสอบได้เองกับทางศูนย์สอบ Prometric หรือ Pearson VUE
• รายละเอียดของข้อสอบ:  100 ข้อ multiple choices 90 นาที
• คะแนนผ่าน: 750 (ต่ำสุดคือ 100 สูงสุดคือ 900)
• เนื้อหาที่สอบ: ครอบคลุมพื้นฐานความรู้ด้าน IT Security โดยรวม เช่น Network security, Threats and vulnerabilites, Access control, Cryptography, และ Compliance and operational security เป็นต้น
• References:
• http://www.comptia.org/home.aspx
• http://certification.comptia.org/getCertified/certifications/security.aspx

ต่อมาก็จะเป็น cert ระดับใหญ่ขึ้นมาครับ เป็นของค่าย ISACA ซึ่งหลักๆ ก็จะมี cert อยู่สองตัวที่เป็นที่รู้จักกันอย่างแพร่หลายในวงการ นั่นก็คือ CISA กับ CISM ซึ่งกลุ่มเป้าหมายของผู้สอบก็จะแบ่งออกเป็นสองประเภท สำหรับ CISA จะเหมาะกับคนที่ต้องทำงานเกี่ยวกับการตรวจสอบความปลอดภัยของระบบไอที (หรือที่เรียกว่าเป็น IT auditor นั่นเอง) เปรียบเสมือนกับนักบัญชีที่ต้องไปสอบ CPA เพื่อให้สามารถตรวจสอบบัญชีทางการเงินได้นั่นเอง ส่วน CISM นั่นจะเหมาะกับคนที่เป็นผู้จัดการ (manager) หรือผู้บริหารที่คอยดูแลภาพรวมของความปลอดภัยของระบบไอทีภายในองค์กร

จากประสบการณ์ของผมเองที่เคยสอบและติวสอบวิชา CISA มาก่อน คนไทยจะให้ความสนใจสอบตัว CISA มากกว่า CISM (แต่ผมเองก็สอบผ่านมา 5 ปีแล้วนะครับ ไม่แน่ใจเหมือนกันว่าในปัจจุบันความสนใจจะเปลี่ยนไปมากน้อยแค่ไหน) แต่ถ้าจะให้ผมแนะนำนะครับ ว่าควรจะเลือกสอบตัวไหนดี ผมขอแนะนำให้เลือกสอบ CISA ครับ เพราะว่าน่าจะใช้ประโยชน์และได้ความรู้มากกว่า ทั้งในเชิงวิชาการและเทคนิค นอกเสียจากว่าถ้าเรามีตำแหน่งงานที่ค่อนข้างสูงอยู่แล้ว (อาจรวมไปถึงอายุที่ก็สูงตามด้วย :-) หรือเป็นหัวหน้าทีมที่คอยดูแลการทำงานของลูกน้อง ก็อาจจะเลือกไปสอบ CISM แทน (แต่ถ้าจะเอาให้เป็นเทพเลยนะครับ หลายคนก็มักจะสอบให้ได้ CISA แล้วก็ไปต่อด้วยการสอบ CISSP เพราะกลุ่มเป้าหมายของผู้สอบ CISM กับ CISSP จะคล้ายๆ กัน แต่ถ้าวัดระดับกันแล้ว CISSP จะเป็น cert ที่ใหญ่กว่า แต่ถ้าคุณเป็นคนชอบความแตกต่าง ก็เชิญสอบ CISM ได้เลยครับ รับรองได้เป็นชนหมู่น้อยที่ไม่เหมือนใครแน่นอน)

Certified Information Systems Auditor (CISA)

Certified Information Security Manager (CISM)

• ราคาค่าสอบ: สำหรับคนที่สมัครสอบครั้งแรก ผมแนะนำให้สมัครเป็นสมาชิก (member) ของ ISACA ไปด้วยเลยครับ (ราคาค่า member ประมาณ $130) เพราะนอกจากจะได้ส่วนลดค่าสอบแล้ว (ซึ่งพอคำนวนดูก็เหมือนได้สมัครฟรีนั่นเอง) ก็ยังจะได้รับนิตยสารของ ISACA ด้วยกับข่าวสารอัพเดททางอีเมล์ ให้เลือกจ่ายค่าสอบผ่านบัตรเครดิตออนไลน์จะได้ราคาถูกที่สุด ซึ่งมีด้วยกันสองราคา
• Early registrations: ถ้าเราสมัครสอบภายใน 10 ก.พ. (รอบแรก) หรือ 15 ส.ค. (รอบสอง) ค่าสอบก็จะเท่ากับ $395  (ราคา member)
• Final registrations:  Deadline ในการสมัครสอบคือ 20 เม.ย. (รอบแรก) และ 3 ต.ค. (รอบสอง) ค่าสอบก็จะเท่ากับ $445 (ราคา member)
• วัน/สถานที่สอบ:  เปิดสอบปีละสองครั้ง (กลางปีกับปลายปี เดือนมิถุนายนกับธันวาคม) สมัครสอบผ่านเว็บ โดยสถานที่สอบนั้นอาจจะเปลี่ยนแปลงได้ในแต่ละปี ต้องเช็คดูจากเว็บ ทั้ง CISA และ CISM สอบพร้อมกัน
• รายละเอียดของข้อสอบ:  200 ข้อ multiple choices 4 ชม.
• คะแนนผ่าน: 450 (ต่ำสุดคือ 200 สูงสุดคือ 800)
• เนื้อหาที่สอบ:
• หัวข้อสำหรับ CISA
• The Process of Auditing Information Systems (14%)
• Governance and Management of IT (14%)
• Information Systems Acquisition, Development and Implementation (19%)
• Information Systems Operations, Maintenance and Support (23%)
• Protection of Information Assets (30%)
• หัวข้อสำหรับ CISM
• Information Security Governance (24%)
• Information Risk Management and Compliance (33%)
• Information Security Program Development and Management (25%)
• Information Security Incident Management (18%)
• References:
• https://www.isaca.org/Pages/default.aspx
• http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Pages/default.aspx
• http://www.isaca.org/Certification/CISM-Certified-Information-Security-Manager/Pages/default.aspx

ถัดมาก็จะเป็น cert ที่ผมเชื่อว่าทุกๆ คนในวงการ IT Security จะต้องรู้จักเป็นอย่างดี นั่นก็คือ CISSP ของค่าย (ISC)2 ถ้าจะพูดว่า cert ตัวนี้เป็นเบอร์หนึ่งหรือเป็นที่หมายปองของทุกคนที่ต้องการสอบเอา cert ด้าน IT Security มาอัพเกรดตัวเองให้กลายเป็นระดับเทพก็ว่าได้ ส่วนหนึ่งคงเป็นเพราะ cert ตัวนี้ได้รับชื่อเสียงมาจากเนื้อหาข้อสอบที่แสนจะเข้มข้น เปรียบเสมือนกับเอาตำราเรียนวิชาคอมทั้งหลายในมหาลัยทั้ง 4 ปีมายัดใส่ในข้อสอบ cert ตัวนี้ตัวเดียวเลยละครับ ประกอบกับระยะเวลาการทำข้อสอบที่มีให้ถึง 6 ชม.! (ใช่แล้วครับ สอบหกชั่วโมงรวด ไม่มีพัก ผมไม่ได้พิมพ์ผิดครับ) ตอนผมไปสอบ ก็ต้องหาซื้อขนมปัง กระทิงแดง กาแฟกระป๋อง เอาเข้าไปกินดื่มในห้องสอบนั่นแหละครับ เพราะเริ่มสอบตั้งแต่ 9 โมงเช้าไปจนถึงบ่าย 3 โมง พอสอบเสร็จเนี่ย ผมมึนตึบเลยครับ

กลุ่มเป้าหมายของ CISSP ก็จะเป็นคนทำงานในระดับ senior (ประสบการณ์ทำงานด้าน IT Security ตั้งแต่ 5 ปีขึ้นไปครับ) แต่ถึงแม้ว่าเราจะมีประสบการณ์ทำงานไม่ครบ 5 ปี เราก็สามารถไปสอบ CISSP ได้นะครับ เพียงแต่ว่าพอสอบผ่านแล้ว เราจะยังไม่สามารถรับใบ cert ของจริงได้ จนกว่าจะมีประสบการณ์ครบ 5 ปีนั่นเอง ส่วนอีกทางเลือกหนึ่งสำหรับคนที่มีประสบการณ์น้อยอยู่ (ประมาณ 1 ปีขึ้นไป) ก็คือไปสอบ SSCP แทน ซึ่งเป็น cert ตัวน้องของ CISSP นั่นเอง ถ้าเทียบกันแบบง่ายๆ ก็คือ SSCP มีความเข้มข้นแค่ประมาณ 50% ของ CISSP

Certified Information Systems Security Professional (CISSP)

• ราคาค่าสอบ:
• Early registration (สมัครก่อนวันสอบ 16 วัน): $549
• Standard registration: $599
• วัน/สถานที่สอบ: สมัครสอบโดยตรงผ่านทางเว็บ โดยปกติจะเปิดสอบปีละสองครั้ง
• รายละเอียดของข้อสอบ: 250 ข้อ multiple choices 6 ชม.
• คะแนนผ่าน: 700 (ต่ำสุดคือ 0 สูงสุดคือ 1,000)
• เนื้อหาที่สอบ: มีทั้งหมด 10 หัวข้อ ได้แก่
• Access Control
• Telecommunications and Network Security
• Information Security Governance and Risk Management
• Software Development Security
• Cryptography
• Security Architecture and Design
• Operations Security
• Business Continuity and Disaster Recovery Planning
• Legal, Regulations, Investigations and Compliance
• Physical (Environmental) Security
• References:
• https://www.isc2.org/cissp/default.aspx
• https://www.isc2.org/uploadedFiles/Certification_Programs/exam_pricing.pdf

Systems Security Certified Practitioner (SSCP)

• ราคาค่าสอบ:
• Early registration  (สมัครก่อนวันสอบ 16 วัน) : $250
• Standard registration: $300
• วัน/สถานที่สอบ:  สมัครสอบโดยตรงผ่านทางเว็บ โดยปกติจะเปิดสอบปีละสองครั้ง (พร้อมกันกับการสอบ CISSP)
• รายละเอียดของข้อสอบ: 125 ข้อ multiple choices 3 ชม.
• คะแนนผ่าน: 700 (ต่ำสุดคือ 0 สูงสุดคือ 1,000)
• เนื้อหาที่สอบ: มีทั้งหมด 7 หัวข้อ ได้แก่
• Access Controls
• Cryptography
• Malicious Code and Activity
• Monitoring and Analysis
• Networks and Communications
• Risk, Response and Recovery
• Security Operations and Administration
• References:
• https://www.isc2.org/sscp/default.aspx 

ต่อมาเรามาดู cert ทางด้านเทคนิคกันบ้างนะครับ ในเมืองไทยเท่าที่ผมเห็นเปิดสอนก็จะมีอยู่สองค่าย คือ ของค่าย EC-Council กับของค่าย SANS ซึ่งถือว่าทั้งสองค่ายนี้มีชื่อเสียงพอสมควร แต่ถ้าเทียบกันแล้วละก็ ผมว่า SANS กินขาดครับ เพราะ SANS มีอาจารย์สอนชั้นนำทางด้าน IT Security อยู่มาก บางคนก็เป็นคนแต่งหนังสือด้วย และก็มีเปิดคอร์สสอนวิชาด้าน security เยอะมากครับ ทั้งแบบออนไลน์และแบบจัดสัมมนา มีคอร์สสอนทั้งทางเทคนิคและทางบริหารจัดการ แถมยังมีหลักสูตรสำหรับเรียนปริญญาโทด้าน IT Security โดยเฉพาะ ผมขอแนะนำทุกท่านนะครับ ให้ลองเปิดเข้าไปดูเว็บของ SANS แล้วก็ลองศึกษาหลักสูตรของ SANS ดูไว้เป็นตัวอย่างในการวางแผนพัฒนาความรู้ของเราเองครับ เพราะผมว่าเค้าวางหลักสูตรเอาไว้ได้ดีมากๆ แต่ราคาค่าเรียนของ SANS นั้นแพงมากครับ เรียกว่าเฉลี่ยอยู่ที่หลักสูตรละหนึ่งแสนบาทได้เลยทีเดียว (สำหรับหลักสูตรเรียนออนไลน์นะครับ ถ้าเป็นหลักสูตรที่ไปนั่งฟังอาจารย์ตัวเป็นๆ สอนละก็ แพงยิ่งกว่านี้อีกครับ) cert ของค่าย SANS จะมีชื่อขึ้นต้นว่า GIAC แล้วตามด้วยชื่อของวิชาที่เราสอบผ่านครับ เช่น GCIH หรือ GCIA เป็นต้น cert ของ GIAC มีเยอะมากครับเป็นสิบยี่สิบตัวเลย เรียกว่าถ้าคิดจะสอบให้หมด ก็คงเสียเงินเรียนกันเป็นล้าน สิ้นเนื้อประดาตัวพอดี


ส่วนของค่าย EC-Council นั้น cert ที่เป็นที่รู้จักกันดีก็คือ CEH ครับ ซึ่งเป็น cert สำหรับผู้ที่ต้องการจะทำงานเป็นนักเจาะระบบหรือแฮกเกอร์ (hacker) นั่นเอง


Certified Ethical Hacker (CEH) ของค่าย EC-Council

• ราคาค่าสอบ: $500
• วัน/สถานที่สอบ: สามารถสมัครและนัดวันสอบได้ทางเว็บ สอบได้ที่ศูนย์สอบ เช่น Prometric หรือ VUE
• รายละเอียดของข้อสอบ:
• CEHv7: 150 ข้อ multiple choices 4 ชม.
• CEHv8: 125 ข้อ multiple choices 4 ชม.
• คะแนนผ่าน: 70%
• เนื้อหาที่สอบ: ข้อสอบจะเน้นไปทางเทคนิคมากกว่าทางวิชาการ เช่น จะถามเกี่ยวกับวิธีการใช้ tools ต่างๆ เป็นต้น
• References:
• http://www.eccouncil.org/
• https://cert.eccouncil.org/certification/certificate-categories/certified-ethical-hacker-ceh

Global Information Assurance Certification (GIAC) ของค่าย SANS 

• ราคาค่าสอบ: $999 (ขึ้นอยู่กับ cert ที่เราจะสอบ ราคานี้เป็นแค่ค่าสอบเท่านั้น ไม่ได้รวมค่าเรียน ถ้าจะลงเรียนด้วยแบบออนไลน์พร้อมสอบ ราคาก็จะอยู่ที่ประมาณตั้งแต่ $4,000 ขึ้นไป)
• วัน/สถานที่สอบ: สามารถสมัครและนัดวันสอบได้ทางเว็บ สอบได้ที่ศูนย์สอบ เช่น Prometric
• รายละเอียดของข้อสอบ: ขึ้นอยู่กับ cert ที่สอบ ยกตัวอย่างเช่น ข้อสอบของ GCIA จะมี 150 ข้อ multiple choice 4 ชม.
• คะแนนผ่าน:  ขึ้นอยู่กับ cert ที่สอบ ยกตัวอย่างเช่น ข้อสอบของ GCIA จะต้องได้คะแนนไม่น้อยกว่า 67.3% (ตอบถูก 101 ข้อจากทั้งหมด 150 ข้อ)
• เนื้อหาที่สอบ: ขึ้นอยู่กับ cert ที่สอบ
• References:
• http://www.giac.org/
• http://www.giac.org/certifications/categories
• http://www.giac.org/registration/challenge#pricing

สุดท้ายนี้นะครับ ผมคิดว่าคนเราไม่จำเป็นที่จะต้องไปสอบ cert เพียงอย่างเดียวเพื่อที่หวังว่าจะหาความก้าวหน้า ความสำเร็จ หรือหางานใหม่ที่ดีกว่าเดิม ถ้าเราลองมาคิดดูกันดีๆ นะครับ คนเราจะประสบความสำเร็จและมีความก้าวหน้าได้นั้น เราก็ต้องคอยหมั่นเรียนรู้ที่จะพัฒนาความรู้ความสามารถของตนเองอยู่เสมอ โดยเฉพาะอย่างยิ่ง การทำงานในสายไอทีซึ่งมีความเปลี่ยนแปลงของเทคโนโลยีอย่างรวดเร็วอยู่ตลอดเวลา ดังนั้น การเรียนรู้อย่างต่อเนื่องจึงเป็นสิ่งที่สำคัญอย่างมาก ซึ่งการไปสอบ cert ก็ช่วยพัฒนาเราได้ เพราะถือเป็นการบังคับ (ทางอ้อม) ให้เราต้องอ่านหนังสือเตรียมสอบ


แต่ก็อย่าลืมนะครับว่า ถึงแม้เราจะสอบผ่านแล้ว แต่ถ้าเราไม่ได้นำความรู้ที่ได้มาใช้ในการทำงานอยู่อย่างสม่ำเสมอ ท้ายสุดเราก็จะลืม ความรู้ที่ได้มาจากการสอบ cert ก็จะสูญเปล่า มีเพียงแค่เอาไว้โชว์เท่ๆ ในนามบัตรแค่นั้นเอง ก็เหมือนกับการเรียนจบปริญญาตรีจากมหาลัยนั่นแหละครับ กว่าจะเรียนจบมาได้ 4 ปี+ เรียนตั้งไม่รู้กี่วิชา จบมาหางานทำ ใช้ความรู้อยู่ไม่กี่อย่าง ที่เหลือก็คืนอาจารย์หมด (ซึ่งตัวผมเองก็เป็นเหมือนกันครับ) เพราะฉะนั้น เราไม่ควรที่คิดที่จะสอบให้ผ่านเพียงอย่างเดียว แต่ควรที่จะมุ่งมั่นกับการหาความรู้ ทำความเข้าใจและนำความรู้ที่ได้มาใช้งานภาคปฎิบัติให้ได้จริงดีกว่าครับ เพราะถ้าเรารู้จริงแล้ว ข้อสอบจะยากแค่ไหน เราก็ต้องสอบผ่านอยู่แล้ว จริงมั้ยครับ ;-)


ขอให้จำไว้นะครับว่า "ประสบการณ์ทำงานจริงมีค่ามากกว่าการแค่สอบผ่าน cert"