Frage:
Wie kann man einem Junior-Teammitglied sagen, dass eine bestimmte Zertifizierung zu diesem Zeitpunkt möglicherweise nicht für sie geeignet ist, ohne demoralisierend zu sein?
Anthony
2020-06-05 06:17:20 UTC
view on stackexchange narkive permalink

Ich arbeite seit fast 6 Jahren im Bereich Cybersicherheit und habe erst letztes Jahr die CISSP-Zertifizierung sowie kürzlich die AWS-Sicherheitszertifizierung erhalten.

Als Teamleiter habe ich mich heute mit einem Teammitglied getroffen, um deren Ziele für dieses Jahr zu besprechen. Das Teammitglied wollte die CISSP-Prüfung als Ziel in diesem Jahr absolvieren. Er arbeitet jedoch erst seit etwas mehr als einem Jahr in der Cybersicherheit, und ich bin der Meinung, dass dieses Ziel für ihn derzeit zu ehrgeizig ist. Laut dem ISC ^ 2, der die CISSP-Prüfung sponsert, und auch meinen Freunden, die im Bereich Cybersicherheit arbeiten, ist Erfahrung entscheidend, um gut abzuschneiden, da viel Material über die Prüfung aufgrund ihres sehr breiten Lehrplans nicht gut zum Gedächtnis / Lesen eines Buches beiträgt Umfang und wesentlicher Fokus auf Security Governance / Management. Es wird oft nicht empfohlen, die CISSP erst nach ca. 5 Jahren Erfahrung zu versuchen.

Der andere Grund, warum ich ihn nicht ermutigen möchte, die Zertifizierung zu diesem Zeitpunkt fortzusetzen, ist, dass er Zweifel darüber geäußert hat, ob er dies möchte im Cybersicherheitsberuf bleiben. Ich möchte nicht, dass er Zeit damit verschwendet, ein Ziel zu verfolgen, das für das Wachstum seiner Karriere möglicherweise nicht hilfreich ist. Als ich meine Karriere als Sicherheitsprüfer begann, war ich überzeugt, dass ich unbedingt ein Cybersecurity-Experte werden wollte, da ich eine Leidenschaft für IT-Sicherheit habe. In meinem Fall hat sich diese Zertifizierung gelohnt und mein Karrierewachstum erheblich begünstigt.

Wenn ich ihm direkt sage, dass die Verfolgung der CISSP-Zertifizierung derzeit möglicherweise nicht das am besten geeignete Ziel ist, und er möglicherweise Wenn ich noch ein paar Jahre warten möchte, habe ich Angst, ihn zu demoralisieren, und er könnte denken, ich unterstütze ihn nicht. Er ist ein ausgezeichnetes Teammitglied, das andere gut unterstützt, damit ich ihn nicht verlieren oder seine Produktivität verringern möchte. Normalerweise bin ich eine ziemlich vorwärtsgerichtete Person in meiner Kommunikation, aber ich fürchte, es könnte zu schmerzhaft für ihn sein.

Bearbeiten, um Kommentare aufzunehmen : Er wollte dieses Ziel verfolgen, da CISSP eines der nebelerkannten Zertifikate im Cybersicherheitsberuf ist und unser Beruf einer ist, in dem Zertifizierungen eine größere Rolle als Bescheinigung des eigenen Berufs spielen Wissen. Vielleicht weniger wahr für CISSP, aber absolut wahr für praktische Prüfungen wie OSCP. Ich kann aus Erfahrung sagen, dass mein Teammitglied Recht hat.

Wie kann ich ihm mitteilen, dass sein Ziel auf klare Weise möglicherweise nicht das vorteilhafteste für ihn ist, und negative Auswirkungen minimieren? auf diesem Teammitglied?

Haben Sie mit ihm besprochen, warum dies sein Ziel ist, was ist die Motivation, diese Prüfung abschließen zu wollen?Gibt es einen Schwerpunkt / eine Kultur auf formale Zertifizierungen als Beweis für Wissen / Eignung in Ihrem Unternehmen?(Oder die Betonung darauf, messbare Beweise für Fortschritte als Ziele zu liefern, aber "interne" Ziele waren historisch gesehen ziemlich nebulös? Wie an einigen Orten?)
@seveneightist Ja, das habe ich getan.Er wollte eine Zertifizierung anstreben, weil dies eine der anerkanntesten Referenzen im Bereich Cybersicherheit ist.Er ist auch der Ansicht, dass Zertifizierungen als Infosec-Experte eine größere Bedeutung haben, was ich aufgrund meiner Erfahrung in diesem Bereich zustimme
Fünf antworten:
#1
+10
msanford
2020-06-05 17:44:57 UTC
view on stackexchange narkive permalink

Erfahrung ist nicht nur wichtig, um gut abzuschneiden, sondern, wie Sie wissen, ist sie eine zwingende Voraussetzung für das Schreiben der CISSP-Prüfung:

Kandidaten muss mindestens fünf Jahre kumulierte bezahlte Berufserfahrung in zwei oder mehr der acht Bereiche des CISSP CBK haben. Wenn Sie einen vierjährigen Hochschulabschluss oder ein regionales Äquivalent oder einen zusätzlichen Nachweis aus der (ISC) ²-genehmigten Liste erwerben, wird ein Jahr der erforderlichen Erfahrung erfüllt. Das Bildungsguthaben genügt nur einem Jahr Erfahrung.

Nach Ihrer Beschreibung erfüllt Ihr Junior diese Anforderung einfach nicht und ist daher nicht berechtigt, die Prüfung zu schreiben.

Die Erfahrungsanforderung wird innerhalb eines Jahres nach Bestehen der Prüfung bestätigt, indem sie von einem vorhandenen CISSP bestätigt wird.

Sie können sich folgendermaßen nähern:

  • Erklären Sie dem Mitarbeiter, dass sie die Anforderungen an die Erfahrung nicht erfüllen und dass selbst das Bestehen der Prüfung ihnen nicht die CISSP verleihen würde. Sie können sich die Associate-Spur (unten) ansehen.

  • Das Ziel des CISSP besteht weniger darin, zu trainieren, sondern vielmehr darin, das über langjährige Erfahrung erworbene Wissen zu validieren und jedes auszufüllen Lücken. Ihr Junior ist noch nicht da und das spiegelt nicht seine Fähigkeiten wider, sondern die Zeit, die er gearbeitet hat.

  • Schlagen Sie ein Training anstelle von vor CISSP. Vielleicht eine Reihe von Udemy-Kursen oder eine Zertifizierung für den Berufseinstieg wie ein Security +. Es gibt auch Associate of (ISC) ² als Einstiegspfad.

  • Seien Sie freundlich, aber offen mit ihnen, wenn es darum geht, dass sie unsicher sind ihres Karriereweges.

Dies ist tatsächlich die richtige Antwort. Der betreffende Mitarbeiter kann das Zertifikat aufgrund mangelnder Erfahrung nicht erwerben.Jeder ist anders, der Mitarbeiter könnte theoretisch die Prüfung bestehen, aber wenn er dies tut, erhält er sein Zertifikat.Der Autor sollte dem Mitarbeiter unbedingt nicht mitteilen, dass er nicht für das Zertifikat bereit ist, sondern dass er die Anforderungen nicht erfüllt.Dies verhindert, dass der Mitarbeiter in den Augen des Mitarbeiters zum „Bösen“ wird.
Ich weiß nicht viel über dieses Zertifikat, aber was mich aufgrund Ihrer Antwort beeindruckt hat, ist, dass das OP dieses Zertifikat "erst letztes Jahr" (mit ~ 5 Jahren Erfahrung) erhalten hat, so dass das OP vermutlich dem unterworfen gewesen wäreDie Anforderung "mindestens Jahre Erfahrung nachweisen" ist ebenfalls erforderlich, wenn sie die Berechtigung erhalten haben. Vermutlich müssen sie ihre eigenen 5 Jahre Erfahrung nachweisen.Ich verstehe also nicht, warum sie vorschlagen (in diesem Q, nicht in Diskussion mit dem Bericht), dass der Bericht "nicht bereit" für die Prüfung ist, anstatt direkt zu sagen, dass er eine Erfahrung hat.Anforderung von 5 Jahren, die OP aus dem letzten Jahr kennen muss.
... d.h.Der Blocker ist nicht wirklich "Ich denke, das ist zu ehrgeizig für ihn" (worüber ich in allgemeinen Situationen eine Reihe von Meinungen habe, aber ich werde sie speichern, da sie hier nicht zu relevant sind!) oder das Ziel"ist vielleicht nicht das vorteilhafteste", sondern "er erfüllt objektiv nicht die Anforderungen, um diese Zertifizierung zu erhalten", so dass es sachlich unerreichbar ist.Zu sagen, dass er "vielleicht noch ein paar Jahre warten möchte", erscheint seltsamerweise konfliktavers!
@seventyeightist Ich fand das auch überraschend.Ich kann nur spekulieren, dass OP extrem bemüht ist, die Gefühle des Berichts nicht zu verletzen, aber das kann mehr schaden als nützen, da es nicht die Realität der Situation ausdrückt, und mehrere andere (ISC) ²-Zertifizierungen.Sie haben auch den Associate-Track, der explizit für diese Situation entwickelt wurde.Das Problem löst sich buchstäblich von selbst.
#2
+4
joeqwerty
2020-06-05 06:29:33 UTC
view on stackexchange narkive permalink

Wie kann ich ihm mitteilen, dass sein Ziel möglicherweise nicht auf klare Weise für ihn am vorteilhaftesten ist, und negative Auswirkungen auf dieses Teammitglied minimieren?

Erstens: Stellen Sie sicher, dass Sie objektiv sind und dass dies nicht nur Ihre persönliche Meinung ist.

Wenn Sie objektiv sind, geben Sie ihm objektive Gründe, warum Sie denken, dass dies nicht die beste Vorgehensweise für ihn ist zu diesem Zeitpunkt.

Dann lassen Sie ihn wissen, dass Sie sein Engagement für die Förderung seiner Ausbildung und Fähigkeiten unterstützen und fördern, unabhängig davon, ob er sich für diese spezielle Zertifizierung entscheidet oder nicht.

Weiter Geben Sie ihm, was Sie als praktikable Alternativen ansehen, falls er Ihren Rat befolgen sollte. Wenn der CISSP derzeit nicht der beste Weg für ihn ist, was dann? Sagen Sie ihm nicht nur, dass Sie nicht der Meinung sind, dass die CISSP derzeit nicht das Richtige ist, sondern geben Sie ihm eine Anleitung, was er tun kann, um an diesem Punkt seiner Karriere zu helfen.

In der Tat ist es keine Meinung: Der Mitarbeiter erfüllt nicht die expliziten Anforderungen an die Erfahrung des CISSP, und selbst das Bestehen der Prüfung würde ihm diese Zertifizierung nicht verleihen.(Ich erweitere dies in meiner Antwort).Aber im Allgemeinen ist es ein gültiger Punkt zu signalisieren.
#3
+2
mhoran_psprep
2020-06-05 17:25:23 UTC
view on stackexchange narkive permalink

Wie kann ich ihm mitteilen, dass sein Ziel möglicherweise nicht eindeutig das vorteilhafteste für ihn ist, und negative Auswirkungen auf dieses Teammitglied minimieren?

Dieses Ziel Der Einstellungsprozess sollte eine Einbahnstraße sein.

Wenn Sie als Vorgesetzter und als jemand, der kürzlich diese spezielle Zertifizierung abgeschlossen hat, der Meinung sind, dass das Ziel für das Jahr zu lang ist, müssen Sie dies tun Anleitung zur Festlegung eines richtigen Ziels geben.

Sie möchten nicht direkt ablehnen, was sie vorgeschlagen haben. Es gibt einen allgemeinen Ratschlag, dass ein Mitarbeiter seinen Vorgesetzten nicht nur auf ein Problem hinweisen kann, sondern eine Lösung vorschlagen muss, damit der Vorgesetzte handeln kann. In dieser Situation müssen die Rollen vertauscht werden. Wenn CISSP nicht innerhalb des Zeitlimits durchgeführt werden kann, legen Sie einen Pfad fest, der zeigt, was jetzt und was nächstes Jahr getan werden kann.

Sie können einen Meilenstein vorschlagen, den sie vor Ende abschließen können das Jahr. Sie könnten vorschlagen, dass sie eine der offiziellen Schulungsmöglichkeiten nutzen und diese entweder aus Ihrem Schulungsbudget oder als Teil des Mitarbeiterverbesserungsbudgets Ihres Unternehmens bezahlen können. Dies bedeutet, dass dieses Ziel zu einem gemeinsamen Ziel wird.

Sie können vorschlagen, dass sie eine oder mehrere Zertifizierungen abschließen, die als Weg zu CISSP nützlich sein können. Dann sagen Sie ihnen, dass Sie nächstes Jahr das längerfristige Ziel von CISSP erneut betrachten werden. Überprüfen Sie auch, ob das Unternehmen für abgeschlossene Zertifizierungen bezahlt.

Dies - während das alte Sprichwort "Bring mir keine Probleme, bring mir Lösungen" überstrapaziert ist, trifft es wirklich auf einen Manager zu, der einem Mitglied seines Teams "Nein" sagt.
#4
+1
PeteCon
2020-06-05 18:39:46 UTC
view on stackexchange narkive permalink

Sie sollten ihm einen Karriereweg zeigen. Mit nur einem Jahr Erfahrung ist ein CISSP (oder ein Associate CISSP, was alles ist, was er gewinnen kann) Zeitverschwendung für ihn. Es ist eher eine Managementqualifikation als eine technische.

Ich würde ihn mit Security + starten und dann zu (ISC) 2-Kursen wie OSCP wechseln. Diese geben ihm die technische Grundlage für seinen Beruf, und dann kann er sich in vier Jahren die CISSP ansehen (wenn er andere Prüfungen besteht, hat er ein Jahr frei von der 5-jährigen Qualifikationsperiode), sobald er bereit ist, mehr Führungsverantwortung zu übernehmen. P. >

Wäre dies angesichts der Konzentration des OCSP auf Stifttests und Sicherheit des roten Teams für eine Junior-Person oder nur für jemanden geeignet, der in defensiver Sicherheit bleiben möchte?
@Anthony Auch wenn Sie ein engagierter Blue Team-Spieler sind, müssen Sie wissen, was das Red Team tun wird - damit Sie wissen, wie Sie sich gegen sie verteidigen können.Zu viele Sicherheitsleute glauben, dass eine grundlegende Firewall sie schützt ...
#5
+1
seventyeightist
2020-06-07 01:28:33 UTC
view on stackexchange narkive permalink

Ich beantworte diese Frage basierend auf den Besonderheiten der CISSP-Anforderungen, die mir vorher nicht bekannt waren (ich arbeite in der IT, ich arbeite sogar mit CISSP-Leuten , bin aber täglich von der Info-Sec-Sphäre losgelöst), obwohl ich Kenntnisse und Erfahrungen mit IT-Zertifizierungen im Allgemeinen habe. Die vorherigen Antworten haben mich auf die Besonderheiten des CISSP aufmerksam gemacht.

Die CISSP-Zertifizierung gemäß Ihrem Link ist angeblich für Cybersecurity-Experten auf höchster Ebene gedacht. Beispielhafte Berufsbezeichnungen in Ihrem Link sind "Chief Information Security Officer", "IT Director / Manager", "Sicherheitsarchitekt", "Netzwerkarchitekt" usw. Die Mindestanforderung an 5 Jahre Erfahrung in verschiedenen sicherheitsrelevanten Bereichen ist Domänen wie IAM und Asset-Sicherheit.

Als Sie diese Prüfung ablegten und sich letztes Jahr als CISSP qualifizierten, mussten Sie vermutlich die Anforderung "5 Jahre Erfahrung" nachweisen. Ich gehe davon aus, dass Sie sich dessen immer noch bewusst sind

Sie haben eine Reihe von "Absicherungs" -Anweisungen verwendet, und ich bin mir nicht sicher (aber Sie müssen sich klar sein), ob dies daran liegt, dass Sie "umsichtig" sind oder nicht vollständig verstand die Anforderungen an die harte Linie. z.B. "Erfahrung ist entscheidend, um gut zu sein": Ja, wie in vielen Zertifizierungen, aber in diesem Fall ist es tatsächlich eine harte Anforderung.

Als solches denke ich nicht, dass Ihr Kontext wirklich ist. " Es wird oft nicht empfohlen, die CISSP erst nach ca. 5 Jahren Erfahrung zu versuchen. " So sehr es auch ist, dass dies eine schwierige Anforderung ist (und ipso facto ist dies der Grund, warum es "nicht empfohlen" wird, nehme ich an!)

Wie können Sie also mit Ihrem Teammitglied vorankommen? Ich würde Ihnen vorschlagen:

  • verfolgen Sie die Diskussion (falls Sie dies noch nicht getan haben) über die Motivation, eine Zertifizierung zu erhalten. Ist es zum Beispiel so, dass das Unternehmen "extern validierte" Leistungen wie ein Zertifikat belohnt, aber keine "nur internen" Leistungen bewertet?
  • Gehen Sie noch einmal auf die konkreten / "harten" Anforderungen für das CISSP zurück und erklären Sie, dass Ihr Teammitglied derzeit nicht die Erfahrung hat, an dieser Prüfung teilzunehmen, da Sie losgefahren sind und recherchiert haben (zugegebenermaßen auf Workplace.SE ..). .) es.
  • im Unternehmen nach oben schauen, was zum Beispiel als gültige "Ziele" oder "anzustrebende Dinge" kommuniziert wird.
  • alternative Zertifizierungen erforschen (habe ich nicht Schauen Sie sich das zu genau an, da es nicht mein Bereich ist. Es kann also sein, dass "vor" dem CISSP etwas ist, auf das Ihr Teammitglied hinarbeiten könnte, wenn dies der Weg zur Anerkennung ist.
  • denken über Ihre eigenen Ziele für Ihren Bericht für das nächste Jahr und bringen Sie sie beim nächsten Treffen taktvoll als "Vorschläge" zur Sprache.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 4.0-Lizenz, unter der er vertrieben wird.
Loading...