Как сказать младшим членам команды, что конкретная сертификация может им не подойти в данный момент, не деморализуя их?

Я работаю в сфере кибербезопасности уже около 6 лет и только в прошлом году получил сертификат CISSP, а недавно — сертификат безопасности AWS.

Как руководитель группы, сегодня я встречался с одним из членов команды, чтобы обсудить их цели на этот год. Член команды хотел сдать экзамен CISSP в качестве цели в этом году. Тем не менее, он работает в области кибербезопасности чуть больше года, и я считаю, что эта цель для него слишком амбициозна в настоящее время. Согласно ISC^2, который спонсирует экзамен CISSP, а также моим друзьям, работающим в области кибербезопасности, опыт имеет решающее значение для успешной сдачи экзамена, так как большое количество материала на экзамене плохо поддается запоминанию / просто чтению книги, учитывая его очень широкий учебный план. объем и значительное внимание к руководству/управлению безопасностью. Часто не рекомендуется пытаться пройти CISSP до достижения ~ 5 лет опыта.

Другая причина, по которой я не хочу поощрять его к получению сертификата в настоящее время, заключается в том, что он выразил сомнение в том, хочет ли он оставаться в профессии кибербезопасности. Я не хочу, чтобы он тратил время на достижение цели, которая может не помочь развитию его карьеры. Когда я начал свою карьеру в качестве аудитора по безопасности, я был убежден, что абсолютно точно хочу стать профессионалом в области кибербезопасности, поскольку я увлечен ИТ-безопасностью. Так что в моем случае эта сертификация того стоила и значительно способствовала моему карьерному росту.

Если я прямо скажу ему, что сертификация CISSP может быть не самой подходящей целью в данный момент, и он, возможно, захочет подождать еще несколько лет, я боюсь его деморализовать, и он может подумать, что я его не поддерживаю. Он отличный член команды, который хорошо поддерживает других, поэтому я не хочу потерять его или снизить его продуктивность. Обычно я довольно прямолинеен в общении, но боюсь, что это может быть слишком болезненно для него.

Отредактируйте, чтобы включить комментарии : он хотел преследовать эту цель, потому что CISSP является одним из самых признанных сертификатов в профессии кибербезопасности, а наша профессия - это та, в которой сертификаты играют более важную роль в качестве подтверждения своих знаний. Может быть, менее верно для CISSP, но абсолютно верно для практических экзаменов, таких как OSCP. По опыту могу сказать, что член моей команды прав.

Как я могу четко сообщить ему, что его цель может быть не самой выгодной для него, и свести к минимуму любые негативные последствия для этого члена команды?

Вы обсуждали с ним, почему это его цель, какова мотивация желания сдать этот экзамен? Существует ли, например, в вашей компании акцент/культура на официальных сертификатах как демонстрации знаний/способностей? (Или акцент на предоставлении измеримых доказательств прогресса в качестве целей, но «внутренние» цели исторически были довольно туманными? Как они есть в некоторых местах?)
@seveneightist Да, я сделал. Он хотел пройти сертификацию, потому что это один из самых признанных сертификатов в профессии кибербезопасности. Он также считает, что сертификаты имеют большее значение как профессионал в области информационной безопасности, с чем я согласен, исходя из своего опыта работы в этой области.

Ответы (5)

Опыт не только важен для хорошей успеваемости, но и, как вы знаете, сдав его, является обязательным условием для написания экзамена CISSP :

Кандидаты должны иметь совокупный опыт оплачиваемой работы не менее пяти лет в двух или более из восьми областей CISSP CBK . Получение четырехлетнего диплома об окончании колледжа или регионального эквивалента или дополнительных сертификатов из утвержденного списка (ISC)² будет соответствовать одному году требуемого опыта. Образовательный кредит будет удовлетворять только один год опыта.

Судя по вашему описанию, ваш младший просто не соответствует этому требованию и, следовательно, не имеет права сдавать экзамен.

Требование к опыту подтверждается в течение одного года после сдачи экзамена подтверждением действующего CISSP.

Вы можете подойти к этому так:

  • Объясните сотруднику, что он не соответствует требованиям к опыту и что даже сдача экзамена не присуждает ему CISSP. Они могут посмотреть трек Associate (ниже).

  • Цель CISSP заключается не столько в обучении, сколько в подтверждении знаний, полученных за многие годы опыта, заполнении любых пробелов. Ваш младший еще не там, и это не отражение их способностей, а отражение количества времени, которое они работали.

  • Предложите обучение на месте CISSP. Возможно, серия курсов Udemy или сертификация для начала карьеры, например, Security+. Существует также Associate of (ISC)² в качестве пути начального уровня.

  • Будьте добры, но откровенны с ними по поводу того, что они не уверены в своей карьере.

На самом деле это правильный ответ: рассматриваемый сотрудник не имеет права на получение сертификата из-за отсутствия опыта. Все люди разные, теоретически сотрудник может сдать экзамен, но это принесет ему сертификат. Автор абсолютно не должен говорить сотруднику, что он не готов к аттестату, а сказать, что он не соответствует требованиям. Это не позволяет сотруднику стать «плохим парнем» в глазах сотрудника.
Я мало что знаю об этом сертификате, но ваш ответ поразил меня тем, что ОП получил этот сертификат «только в прошлом году» (с ~ 5-летним опытом), поэтому, предположительно, ОП подпадал под действие Требование «доказать минимальный многолетний опыт», когда они получили удостоверение, предположительно должны были доказать свой собственный 5-летний опыт. Поэтому я не понимаю, почему они предполагают (в этом вопросе, а не в обсуждении с отчетом), что отчет «не готов» к экзамену, а не прямо говорят, что у него есть опыт. требование 5 лет, которое ОП должен знать с прошлого года.
...т.е. блокирующий на самом деле не "Я чувствую, что это слишком амбициозно для него" (о чем у меня есть ряд мнений в общих ситуациях, но я сохраню их, так как они не слишком уместны здесь!) или что цель «может быть не самой выгодной», а скорее «он объективно не соответствует требованиям для получения этого сертификата», поэтому она фактически недостижима. Заявление о том, что он «может подумать о том, чтобы подождать еще несколько лет», кажется странным избеганием конфликтов!
@sevenyeightist Я тоже нашел это удивительным. Я могу только предположить, что OP очень старается не задеть чувства отчета, но это может причинить больше вреда, чем пользы, поскольку оно не отражает реальность ситуации и несколько других сертификатов (ISC)². У них также есть трек Associate, который был разработан специально для этой ситуации. Проблема решается буквально сама собой.

Как я могу четко сообщить ему, что его цель может быть не самой выгодной для него, и свести к минимуму любые негативные последствия для этого члена команды?

Во-первых, убедитесь, что вы объективны и что это не просто ваше личное мнение.

Если вы объективны, дайте ему объективные причины, почему вы считаете, что это не лучший образ действий для него в данный момент.

Затем дайте ему знать, что вы поддерживаете и поощряете его стремление к дальнейшему образованию и навыкам, независимо от того, решит он продолжить эту конкретную сертификацию или нет.

Затем дайте ему то, что вы считаете жизнеспособными альтернативами, если он решит прислушаться к вашему совету. Если CISSP не лучшая дорога для него в настоящее время, то что? Не просто говорите ему, что не считаете, что CISSP сейчас не подходит, дайте ему указания, что он может сделать, чтобы помочь ему на данном этапе его карьеры.

На самом деле это не мнение: сотрудник не соответствует явным требованиям к опыту для CISSP, и даже сдача экзамена не присуждает ему этот сертификат. (Я расширяю это в своем ответе). Но вообще это действительная точка для сигнала.

Как я могу четко сообщить ему, что его цель может быть не самой выгодной для него, и свести к минимуму любые негативные последствия для этого члена команды?

Этот процесс постановки целей должен быть улицей с двусторонним движением.

Если вы, их руководитель, и как кто-то, кто недавно прошел эту конкретную сертификацию, считаете, что их цель на год слишком преувеличена, вам нужно дать рекомендации относительно постановки правильной цели.

Вы не хотите прямо отвергать то, что они предложили. Существует распространенный совет, что сотрудник не может просто указать на проблему своему руководителю, он должен предложить решение, чтобы руководитель мог действовать. В этой ситуации необходимо поменяться ролями. Если CISSP не может быть выполнен в отведенное время, то наметьте путь того, что можно сделать сейчас, а затем, что можно сделать в следующем году.

Вы можете предложить веху, которую они могут завершить до конца года. Вы можете предложить им воспользоваться одной из официальных возможностей обучения и оплатить ее либо из вашего бюджета на обучение, либо как часть бюджета на повышение квалификации сотрудников, который может быть в вашей компании. Это означает, что эта цель становится общей целью.

Вы можете предложить им пройти один или несколько сертификатов, которые могут быть полезны в качестве пути к CISSP. Затем скажите им, что в следующем году вы вернетесь к более долгосрочной цели CISSP. Также посмотрите, будет ли компания платить за завершенные сертификаты.

Это — хотя старая пословица «не приноси мне проблем, приноси мне решения» слишком часто используется, она действительно применима к менеджеру, говорящему члену своей команды «нет».

Вы должны показать ему карьерный путь. Имея всего один год опыта, CISSP (или ассоциированный CISSP, это все, что он может получить) для него пустая трата времени. Это управленческая квалификация, а не техническая.

Я бы начал с Security+, а затем переключился на курсы (ISC)2, такие как OSCP. Это даст ему техническую основу для его профессии, а затем он сможет просмотреть CISSP через четыре года (сдача других экзаменов дает ему год от 5-летнего квалификационного периода), как только он будет готов взять на себя больше управленческой ответственности.

Учитывая, что OCSP фокусируется на тестировании пера и безопасности красной команды, подходит ли это для младшего специалиста или просто для тех, кто хочет оставаться в оборонной безопасности?
@Энтони Даже если вы преданный игрок Синей команды, вам все равно нужно знать, что будет делать Красная команда, чтобы вы знали, как защититься от них. Слишком многие специалисты по безопасности думают, что базовый брандмауэр защитит их...

Я отвечаю на этот вопрос, исходя из специфики требований CISSP , о которых я не знал заранее (я работаю в ИТ, я даже работаю с CISSP-людьми, но изо дня в день оторван от сферы информационной безопасности). -day), хотя у меня есть знания и опыт работы с ИТ-сертификатами в целом. Предыдущие ответы подсказали мне особенности CISSP.

Сертификация CISSP, согласно вашей ссылке, якобы предназначена для специалистов по кибербезопасности «старшего уровня». Примеры названий должностей, указанных в вашей ссылке: «Главный сотрудник по информационной безопасности», «ИТ-директор/менеджер», «Архитектор безопасности», «Сетевой архитектор» и т. д. Минимальное требование: 5-летний опыт работы в различных областях, связанных с безопасностью. домены, такие как IAM и безопасность активов.

Когда вы сдали этот экзамен и получили квалификацию CISSP в прошлом году, вы, вероятно, должны были подтвердить требование «5 лет опыта», поэтому я полагаю, что вы все еще знаете об этом.

Вы использовали ряд «защитных» утверждений, и мне неясно (но вам нужно быть ясным с самим собой), связано ли это с тем, что вы проявляете «осмотрительность» или не полностью поняли требования жесткой линии. например, «опыт имеет решающее значение для успешной работы»: да, как и во многих сертификатах, но в данном случае это на самом деле жесткое требование.

Таким образом, я не думаю, что ваш контекст на самом деле «часто не рекомендуется пытаться пройти CISSP до тех пор, пока не будет ~ 5 лет опыта». насколько бы это ни было жестким требованием (и ipso facto, я полагаю, именно поэтому это «не рекомендуется»!)

Итак, как двигаться вперед с членом вашей команды? Я бы предложил вам:

  • следите за дискуссией (если вы еще этого не сделали) о мотивации желания получить сертификат. Например, кажется ли, что компания вознаграждает «внешние подтвержденные» достижения, такие как сертификат, но не ценит «только внутренние» достижения?
  • вернитесь к конкретным / «жестким» требованиям для CISSP и объясните, что член вашей команды не имеет опыта, чтобы сдать этот экзамен прямо сейчас, поскольку вы отправились и исследовали (по общему признанию, на Workplace.SE ...) это .
  • посмотрите вверх в компании о том, что сообщается как действительные «цели» или «вещи, к которым нужно стремиться», например.
  • исследуйте альтернативные сертификаты (я не особо вникал в это, так как это не моя область, поэтому может быть, что есть что-то «до» CISSP, над чем мог бы работать член вашей команды), если это путь к признанию
  • подумайте о своих собственных целях для вашего отчета на следующий год и тактично выдвиньте их в качестве «предложений» в следующий раз, когда вы встретитесь по этому поводу.
Как сказать младшим членам команды, что конкретная сертификация может им не подойти в данный момент, не деморализуя их?
СпросиСетьПолитика конфиденциальности1y, 0v