web-dev-qa-db-ja.com

侵入テスターはISO 27001 / ITILなどのトレーニングを受ける必要がありますか?

最近プロモーションが提供されましたが、パッケージの一部として、ISO 27001、ITIL、ARPAおよびその他の種類のトレーニングを行うように要求されました。以前はこの種のトレーニングを避けていました。技術的なセキュリティの知識に気を取られてしまうと感じました。

侵入テストに関して、これらの資格は役に立ちますか?これらは侵入テストのための優れたフレームワークを提供しますか?私は(少なくとも予見可能な将来のために)非技術系マネージャーになることを切望しておらず、コンプライアンス/監査は特に私には興味がありません。ただし、それらに関する私の知識はごくわずかなので、申し出にそれらを取り上げるか、代わりに技術トレーニングを提案する必要があるかどうか知りたいです。

誰かが助けてくれることを願っています。

ありがとう!

15
NULLZ

これは、慣れているハードコアテクニカルテストではないかもしれませんが、企業内のプロセスとセキュリティ管理を理解するのに役立ちます。これは、調査結果を理解しやすい方法でビジネスおよびIT管理にもたらすのに役立ちます。

もちろん、標準またはベースライン(27001)を作成することもできるので、ペンテスト以外のことも実行できることを意味します。

時々新しいことに挑戦することを恐れないでください:)。

14
Lucas Kauffman

私はめったに多くの知識が有害なものであるとは知りませんでした。あまり便利ではないかもしれませんが、まれなシナリオで役立つ場合があります。

3
Peleus

あまりメリットはありません。私はITILとISO 27kの両方の認証を取得したPenTesterです。 ITILは情報セキュリティで直接何もする必要はなく、非常に一般的ですが、インシデント対応と変更管理を迅速化するプロセスを確立するのに効果的です。 ISO 27kは、InfoSecを真剣に受け止める組織が従うプロセスの標準で非常に広範なガイドラインとして存在します。この規格はまた、監査が情報セキュリティのプロセスと管理の有効性を測定することを規定しています。この監査には、ソースコード分析と侵入テストの両方を含めることができます。ペネトレーションテスターがこれを使用できる唯一の方法は、組織がISO 27k認定を受けている場合に、ある程度のセキュリティが存在することを期待することです。これらのトレーニングに参加するときに、単一のコマンドを教えられることはありません。

大規模な組織内で管理職になる場合は、ITILとISO 27kの知識が必要です。彼らはすべてを測定し、ほぼすべてのプロセス結果の測定基準を持つことを好みます。 ITILとISO 27kは、継続的な改善のために構築されたスコープとメカニズムを持つプロセスの詳細です。

2
Krishna Pandey