สำหรับใครที่มีความฝันว่าอยากทำงานด้าน Information Security หรือมีความสนใจอยากทำงานในด้านนี้ แต่ยังไม่ได้รับโอกาสให้เข้ามาใช้ชีวิตร่วมกันกับศาสตร์นี้ อย่าเพิ่งถอดใจไป แค่คุณมีความฝันหรือหลงใหล (Passion) ใน Information Security สิ่งนี้ก็จะทำให้คุณไปได้ไกลแล้ว
Information Security เป็นศาสตร์ที่ถือว่าวิเศษมากสำหรับทุกคน เพราะว่า Information Security สามารถแตกความรู้ออกเป็นสาขาย่อย ๆ ได้มากมาย ไม่ว่าคุณจะมีประสบการณ์ทางด้านไหนมาก่อน คุณมีโอกาสที่จะทำงานในสายนี้ได้ทั้งนั้น
บทความนี้นำเสนอแนวทางในการพัฒนาตัวเอง เพื่อที่คนที่ไม่ได้อยู่ในวงการนี้จะได้เข้ามาสู่วงการนี้ได้อย่างมั่นคง และเป็นแนวทางในการพัฒนาให้กับคนที่ทำงานในวงการนี้อยู่แล้ว เพื่อเป็นการยกระดับความรู้ความสามารถในวงการ Information Security ของประเทศอย่างแท้จริง
เริ่มจากคำถามที่ว่า การมีปริญญาโททางด้าน Information Security กับ การมี Certificate ดังๆในสาย Security อย่างไหนดีกว่ากัน
ปริญญาโททางด้าน Security นั้นปัจจุบันมีหลักสูตรเปิดสอนไม่มากนักทั้งในและต่างประเทศ ซึ่งแน่นอนว่าการเลือกเรียนปริญญาโทในสายนี้โดยตรง นั้นต้องอาศัยความตั้งใจอย่างมากเมื่อเทียบกับการสอบ Certificate
การสอบ Security Certificate นั้นใช้เวลาโดยเฉลี่ยประมาณ 4-6 เดือน ซึ่งเทียบไม่ได้กับการเรียนปริญญาโทที่ต้องใช้เวลาอย่างน้อย 1-2 ปี แต่นั่นก็ไม่ได้หมายความว่า Security Certificate ไม่มีสำคัญ
การเรียนปริญญาโทและการมี Certificate นั้นควรมองว่าเป็นสิ่งที่เสริมกันเนื่องจากหลักสูตรปริญญาโทนั้นจะเน้นสอนด้านทฤษฏี แต่เนื้อหาของ Certificate นั้นจะเน้นที่ใช้งานได้จริง (Practical) มากกว่าเนื้อหาที่เรียนในหลักสูตรระดับปริญญาโท
ดังนั้นแน่นอนว่าการมีปริญญาโททางด้าน Security ช่วยให้หางานหรือเข้าสู่วงการ Security ได้ง่าย แต่สำหรับคนที่เรียนไม่ตรงสาย Security แล้วสนใจที่จะทำงานในวงการนี้ การมี Certificate ก็เป็นทางเลือกที่ดี บางคนถึงกับบอกว่า Certificate นี่เป็นตัวช่วยให้เปลี่ยนชีวิตได้เลยทีเดียว
โดยสรุปแล้วหากว่าตัดสินใจแล้วว่าอยากเดินอยู่ในวงการ Security การมีปริญญาโททางด้าน Security หรือมีCertificate เป็นทางเลือกที่ดีทั้งสองทาง หากมีทั้งสองอย่างจะยิ่งยอดเยี่ยมทีเดียว
Security Certificate มีอะไรบ้าง
แน่นอนว่า Certificate ดัง ๆ ทั้งหลาย เช่น CISSP, CISA และ CISM นั้นได้รับการยอมรับอย่างสูงในวงการ หากสอบผ่านจะมีผลดีต่อ Profile ของเรามาก แต่ในความเป็นจริงแล้วไม่ใช่ทุกคนทั้งมือใหม่ หรือ คนที่มีประสบการณ์ในสายนี้ จะสามารถสอบผ่าน Certificate เหล่านี้ได้โดยง่าย
Certificate ที่เกี่ยวข้องกับ Security นั้นสามารถแบ่งได้เป็น 2 ประเภทหลัก คือ
- Vendor-neutral Certificate ซึ่งเป็น Certificate ประเภทที่ไม่อิงกับ Product ของ Vendor ใด ๆ ซึ่ง Certificate ประเภทนี้ค่อนข้างได้รับความนิยมมากในวงการ Security
- Vendor-specific Certificate ซึ่งเป็น Certificate ที่อิงกับ Product โดย Certificate ประเภทนี้จะเหมาะกับผู้ที่ทำงานเกี่ยวกับการ Implementer Product มากกว่า
ในบทความนี้เน้นให้ความสำคัญกับ Vendor-neutral Certificate เป็นหลัก ซึ่งองค์กรที่ออก Certificate เหล่านี้เองก็มีหลายแห่ง แต่ที่ได้รับความนิยมนั้นสามารถดูได้จากตารางด้านล่าง
องค์กร |
Certificate ที่ได้รับความนิยม และ เนื้อหาที่ให้ความสำคัญ |
CISSP เน้นให้ความรู้ครอบคลุมเรื่อง Security ในระดับที่กว้าง แต่ไม่ลงลึกในรายละเอียด โดยเนื้อหาครอบคลุม 10 CBK (Common Body of Knowledge) ครอบคลุมทั้งเรื่องเทคนิคและที่ไม่เกี่ยวกับเทคนิค ซึ่งถือเป็นความรู้พื้นฐานที่ดีสำหรับผู้ที่ทำงานในด้านนี้ | |
CISA, CISM เน้นให้ความรู้ครอบคลุมเรื่อง Security ในระดับที่กว้าง ไม่เน้นเนื่อหาเชิงเทคนิคมากนัก โดย CISA เหมาะกับผู้ที่ทำงานในตำแหน่ง IT Auditor และ CISM เหมาะกับผู้ที่ทำงานในตำแหน่ง CISO (Chief Information Security Officer) | |
ENSA, CEH, CHFI, ECSA/LPT เน้นให้ความรู้ในเชิงปฏิบัติและแนะนำเครื่องมือในการปฏิบัติงาน เช่น ด้านการทดสอบการเจาะระบบ และการพิสูจน์หลักฐานทางดิจิทัล | |
GSEC, GCIH, GPEN, GCIA, GCFE, GSE เนื้อหาให้ความสำคัญในเชิงเทคนิคเป็นหลักและมีการสอนให้ทดสอบจริงใน Lab โดยหลักสูตรและ Certificate จะแยกตามสาขาย่อย ๆ ของ Security เช่น Penetration Testing, System Administration, Intrusion Analysis, Network Security, Digital Forensics, Incident Handling | |
Security+, Network+, Server+ เนื้อหามุ่งเน้นให้ความรู้เกี่ยวกับเทคโนโลยีด้านต่างๆ ที่เกี่ยวกับไอที เช่น ด้าน Security ด้านเครือข่าย และเซิร์ฟเวอร์ เป็นต้น | |
eCPPT เน้นให้ความรู้ในเชิงเทคนิค และเน้นการปฏิบัติ โดยองค์กรนี้จะเน้นการสอน Online และที่สำคัญราคาไม่แพง | |
PECB ISO 27001 Lead Implementer เน้นให้ความรู้เกี่ยวกับกระบวนการ มาตรการควบคุม การบริหารโครงการ และการ Implement ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ตามข้อกำหนดของมาตรฐาน ISO 27001 | |
IRCA ISO 27001 Lead Auditor เน้นให้ความรู้เกี่ยวกับกระบวนการ และหลักการตรวจสอบ (Audit) ระบบบริหารความมั่นคงปลอดภัยสารสนเทศ (Information Security Management System: ISMS) ตามข้อกำหนดของมาตรฐาน ISO 27001 |
Security Certificate อะไรที่เหมาะกับเรา
เมื่อทำความรู้จักกับ Certificate จากค่ายต่าง ๆ แล้ว หากสนใจที่จะมี Certificate ไว้ครอบครอง ต้องมีการวางแผนที่ดี โดยสิ่งสำคัญในการวางแผนคือ
- ต้องรู้จักประเมินตนเอง – ทราบว่าตัวเองนั้นความรู้อยู่ระดับใด ควรไปเริ่มเรียนรู้ที่ระดับไหน
- ต้องรู้จักวางแผนการสอบ Certificate – การวางแผนสอบ Certificate นี้ไม่ได้พูดถึงการวางแผนสอบ Certificate เฉพาะใบ แต่เป็นการวางแผนระยะยาวในการสอบ Certificate ทั้งหมด
การประเมินตนเอง
วิธีในการประเมินตนเอง หากคิดจะสอบ Certificate ใด ๆ ก็ตามนั้น ควรจะต้องอ่าน Outline และ Objective ของเนื้อหาของ Certificate นั้น เพื่อพิจารณาว่าเรามีความคุ้นเคยกับเนื้อหาเหล่านั้นมากแค่ไหน
หากคุ้นเคยกับเนื้อหานั้นอยู่แล้วก็อาจเลือกที่จะสมัครสอบได้เลย ซึ่งโดยเฉลี่ยควรมีความคุ้นเคยประมาณ 80% ของเนื้อหาทั้งหมด และขั้นตอนถัดไปคือการอ่านหนังสือทบทวนอย่างน้อย 1 รอบ หนังสือที่ใช้อ่านควรเป็นหนังสือ Official ของ Certificate นั้น ๆ หรืออาจพิจารณาหาข้อมูลเพิ่มเติมว่าหนังสือเล่มใดที่ได้รับความนิยมจากผู้ที่สอบผ่าน
สำหรับผู้ที่ไม่มีความคุ้นเคยกับเนื้อหาอย่างเพียงพอ ควรทำอย่างไร
การเลือกไปฝึกอบรม (Training) ถือว่าเป็นทางเลือกที่ดี เนื่องจากมีอาจารย์ผู้สอนสรุปเนื้อหาในส่วนที่สำคัญให้ รวมถึงได้ทราบถึงแนวคิดในการวิเคราะห์โจทย์และเทคนิคการเลือกคำตอบจากผู้ที่มีประสบการณ์ นอกจากนี้ยังเป็นการสร้างเครือข่ายที่ดีกับผู้เรียนท่านอื่น ๆ ที่ทำงานในวงการเดียวกันด้วย และ ที่สำคัญบาง Certificate นั้นหากไม่อบรมกับ Authorized Training Center จะไม่สามารถสมัครสอบได้ เช่น Certificate จาก EC-Council, PECB และ IRCA เป็นต้น
การเลือกศูนย์ฝึกอบรม
เพื่อให้คุ้มค่ากับเงินที่ลงทุนและเวลาที่เสียไป ควรเลือกศูนย์ฝึกอบรมที่มีความน่าเชื่อถือ โดยพิจารณาดังต่อไปนี้
- ประสบการณ์ของอาจารย์ผู้สอน เนื่องจากบางครั้งอาจารย์ผู้ที่สอนในหลักสูตรอาจแค่สอบผ่านหลักสูตร แต่ยังไม่มีความรู้ความสามารถมากพอสำหรับการถ่ายทอดให้ผู้อื่น
- สอบถามความเห็นจากผู้ที่เคยเรียนกับศูนย์อบรมนั้น ๆ
- เป็น Authorized Training Center ของหลักสูตรที่ต้องการเรียนหรือไม่ เนื่องจากบาง Certificate ไม่สามารถสอบได้หากไม่ได้รับการอบรมจาก Authorized Training Center
- ความสะดวกในการเดินทาง
การวางแผนระยะยาวในการสอบ Certificate
การวางแผนเพื่อมุ่งไปในสาย Security ขึ้นอยู่กับความชอบของแต่ละคนเป็นหลัก และนอกจากนี้งบประมาณที่ต้องใช้ลงทุนในการพัฒนาตนเองก็มีความสำคัญต่อการวางแผนเช่นกัน
Certificate ระดับพื้นฐาน
สำหรับคนที่สนใจจะเข้าวงการนี้แต่มีพื้นฐานเกี่ยวกับ Security น้อยมากหรือไม่มีเลย ควรเริ่มจากการสอบ Security+ จากค่าย CompTIA เพื่อเป็นการสร้างพื้นฐานก่อน
Certificate ในเชิงเทคนิค
Certificate ในเชิงเทคนิคนี้ขึ้นอยู่กับความต้องการของแต่ละคนว่าต้องการเลือกที่จะสร้างความรู้ในสาขาไหนของ Security เป็นพิเศษ ซึ่ง Certificate ที่เกี่ยวข้องนั้นจะเน้นเนื้อหาแบบเจาะลึกในเรื่องนั้น ๆ โดยการวางแผนสอบ Certificate ที่เกี่ยวข้องในเชิงเทคนิคนี้จะยากที่สุด เพราะว่าแม้เป็น Certificate ที่เน้นเรื่องเดียวกัน แต่ความยากง่ายของเนื้อหาก็อาจแตกต่างกันแบบสุดขั้วก็ได้
โดยสำหรับ Certificate ที่นำเสนอในส่วนนี้จะแยกตามสาขาอาชีพของ Security ที่สามารถพบได้ในประเทศไทยเป็นหลัก โดย Certificate ที่ควรสอบนี้เรียงลำดับจากซ้ายไปขวา ตามความยากง่ายของแต่ละ Certificate ซึ่งได้แก่
- Penetration Tester
- Forensics Investigator
- Security Analyst
Certificate ในเชิงบริหาร
สำหรับ Certificate ที่แนะนำนี้เหมาะกับผู้ที่ทำงานมาอย่างน้อย 5 ปีและมีพื้นฐานทางด้านเทคนิคลึกพอสมควร และสนใจทำงานในเชิงบริหารมากขึ้น ซึ่งจำเป็นที่จะต้องมีความรู้ครอบคลุม Security ในหลายด้านรวมไปถึงความรู้ในการบริหารจัดการ สามารถแบ่งตามสาขาอาชีพที่มักพบในประเทศไทย ได้แก่
- CISO (Chief Information Security Officer)
- IT Auditor หรือตำแหน่งผู้ตรวจสอบ
- ISO 27001 Auditor หรือตำแหน่งผู้ตรวจสอบที่เน้นการตรวจตามมาตรฐาน ISO 27001
- ISO 27001 Consultant
- Management
Certificate อื่น ๆ
นอกจาก Certificate ที่เกี่ยวกับ Security โดยตรงแล้ว Certificate ที่ช่วยเสริมในการทำงานในองค์กรใหญ่ ๆ เช่น ITIL ก็มึความสำคัญเช่นกัน
ความน่าสนุกของ Security อีกอย่างนั้น คือคุณสามารถที่จะเลือกให้มีความเชี่ยวชาญได้ในหลายสาขา ไม่จำเป็นต้องเจาะจงลงสาขาใดสาขาหนึ่ง นอกจากนี้ความรู้ของแต่ละสาขานั้นจะเกื้อหนุน และเกี่ยวโยงซึ่งกันและกันด้วย
สิ่งที่ควรพิจารณาในการสอบ Certificate
ถึงตอนนี้แล้วคงพอทราบแนวทางแล้วว่า Certificate อะไรที่เหมาะสมกับเรา อย่างไรก็ตามการเลือก Certificate นั้นควรจะมีการพิจารณาถึงสิ่งต่อไปนี้ด้วย
- ประโยชน์หรือสิทธิพิเศษที่ได้จากค่ายหรือองค์กรที่ออก Certificate หากเป็นสมาชิก หรือ สอบผ่าน
- การ Maintain Certificate
- ข้อแนะนำและข้อควรระวังสำหรับการสมัครสอบ Certificate
โดยข้อมูลเหล่านี้สรุปได้ตามตารางด้านล่าง
องค์กร |
ประโยชน์ และ ข้อแนะนำต่าง ๆ |
ประโยชน์
การ Maintain
การสมัครสอบ
|
|
ประโยชน์
การ Maintain
การสมัครสอบ
|
|
ประโยชน์
การ Maintain
การสมัครสอบ
|
|
ประโยชน์
การ Maintain
การสมัครสอบ
|
|
ประโยชน์
การ Maintain
การสมัครสอบ
|
|
ประโยชน์
การ Maintain
การสมัครสอบ
|
|
ประโยชน์
การ Maintain
การสมัครสอบ
|
|
ประโยชน์
การ Maintain
การสมัครสอบ
|
เทคนิคในการสอบ Certificate ให้ผ่าน
การสอบ Certificate ให้ผ่านนั้นไม่ยากเลย หากมีการเตรียมความพร้อมที่ดี สิ่งที่ควรเตรียมตัวโดยพื้นฐานได้แก่
- ฝึกการอ่านภาษาอังกฤษให้สามารถอ่านจับใจความได้เร็ว
- การเลือกหนังสือ หรือ เอกสารต่าง ๆ เพื่อใช้ในการสอบ Certificate ซึ่งหนังสือที่ใช้ควรเป็นหนังสือที่เป็น Official Book จาก Certificate ค่ายนั้น ๆ และไม่ควรเก่าเกิน 1-2 ปี เนื่องจากเนื้อหาของ Certificate มีการปรับเปลี่ยนอย่างสม่ำเสมอ หากอ่านเล่มเก่าเกินไป อาจทำให้พลาดเนื้อหาสำคัญสำหรับการสอบได้
- วางแผนในการสอบ Certificate ล่วงหน้าอย่างเหมาะสม โดยทั่ว ๆ ไป Certificate แต่ละตัวใช้เวลาเตรียมตัวประมาณ 4 – 6 เดือน
- สมัครสอบและจ่ายเงินล่วงหน้า เพื่อเป็นการผูกมัดตัวเองให้มีความตั้งใจในการสอบ และ ข้อดีของการสมัครสอบล่วงหน้าคือบางค่ายมีการลดราคาสำหรับการสอบซึ่งช่วยให้ประหยัดต้นทุนในการสอบได้
- จำลองสถานการณ์การสอบให้เหมือนจริง โดยจัดหาตัวอย่างข้อสอบมาทดลองทำและจับเวลาที่ใช้ไปในการทำข้อสอบ ซึ่งหลาย ๆ คนที่สอบไม่ผ่านมักจะบอกว่าทำไม่ทัน เนื่องจากโจทย์เป็นภาษาอังกฤษ
สำหรับบาง Certificate ขอแนะนำวิธีเพิ่มเติมดังนี้
Certificate | ข้อแนะนำ |
CISSP | อ่านหนังสือ CISSP All-in-One Exam Guide ของ Shon Harris |
SANS GIAC | การสอบ Certificate ของ SANS GIAC นั้น ถ้าหากผู้สอบไม่มีหนังสือของ SANS ในหลักสูตรที่เกี่ยวข้องนั้นไม่ควรสอบเด็ดขาด เนื่องจากการสอบ SANS GIAC เป็น Open Book Exam ดังนั้นควรจัดทำสารบัญ (Index) ของเนื้อหาเพื่อช่วยในการค้นหาระหว่างสอบได้เร็วขึ้น |
PECB และ IRCA | เนื่องจากข้อสอบเป็นข้อเขียน และมีจำนวนหลายข้อ จึงต้องฝึกเขียนภาษาอังกฤษไว้ให้คล่อง หากไม่ถนัดเขียนข้อความยาวๆ ในลักษณะ Paragraph จะเขียนเป็นประโยคสั้นแบบ Bullet ก็ได้ แต่ต้องพยายามเขียนตอบให้เยอะๆ เข้าไว้ ที่สำคัญต้องมีการเรียบเรียงความคิดก่อนจะเขียน โดยในคำตอบจะต้องมี Keyword ที่เป็นประเด็นสำคัญของเรื่องที่พิจารณา |
eCPPT | ข้อสอบเป็นการเขียน Penetration Test Report ดังนั้นต้องฝึกเขียนภาษาอังกฤษเยอะ ๆ และหาตัวอย่างรายงานที่ดีไว้ดูเป็นตัวอย่าง |
บทสรุป
สำหรับคนที่มีความหลงใหลอยากทำงานในสายงาน Security การวางแผนการเรียนรู้อย่างดีในสายงานนี้จะทำให้มีความรู้ความก้าวหน้าในสายงานนี้ได้อย่างรวดเร็วกว่าผู้ที่อ่านหรือเรียนรู้อย่างสะเปะสะปะ หนึ่งในทางลัดสำหรับการพัฒนาตัวเองนั้นคือ การเข้ารับการฝึกอบรม โดยการเลือกศูนย์ฝึกอบรมนั้นควรจะดูจากหลาย ๆ ปัจจัยเพื่อให้คุ้มค่ากับเงินที่ลงทุน ดังที่ Benjamin Franklin ได้กล่าวไว้ว่า “An investment in knowledge pays the best interest.”