Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 29. august 2003.
certificering: Ny nonprofit-forening med tunge kræfter
fra it-sikkerhedsbranchen står bag forsøget på at lave en officiel certificering i it-sikkerhed. Målet er en billig certificering med bred opbakning.
OSIA, Open Security Information Association, er navnet på foreningen, der skal opnå så stor opbakning i det private erhvervsliv og hos det offentlige, at der reelt bliver tale om en officiel dansk standard for certificeringer af it-sikkerhed.
Stifterne bag OSIA består af TDC Erhverv, Fort Consult, Microworld Gruppen, Advokatfirmaet Von Haller og Netværk Danmark. OSIA er dannet som en traditionel demokratisk forening, hvor åbenhed og åbne standarder skal være løftestangen, der skal give OSIA-certificeringerne det blå stempel.
Stifterne ønsker en så bred sammensætning af interessenter i foreningen som muligt. Det skal sikre, at foreningen opnår bred opbakning og anerkendelse, og at certificeringen er til lige gavn, uanset om man er kunde, bruger eller leverandør i it-sikkerhedsbranchen. Kodeordet skal være brugbarhed uanset, hvilken indfaldsvinkel man har til it-sikkerhed.
Håber på officielt stempel
Tanken med OSIA er, at it-folk får et sted, hvor de kan gå hen og få et officielt stempel på, hvad de kan inden for it-sikkerhed. Derfor skal certificeringen være så billig som mulig. Som udgangspunkt er der ikke noget krav om, at man skal have været på nogle kurser først. Føler man, at man har den rette viden, kan man tage en eksamen.
Og prisen bliver overkommelig. På det tidlige tidspunkt i forløbet, hvor vi talte med stifterne, regner man med en pris pr. eksamen på 500-1.000 kroner. Med fem eksaminer for Èn certificering er det bestemt en økonomisk overkommelig opgave at blive certificeret. Grunden til, at det vil kunne gøres så billigt, er, at OSIA ikke skal tjene penge. Indtægterne fra eksaminerne bliver forhåbentlig nok til, at den del vil kunne hvile i sig selv.
Foreløbigt har man haft kontakt til en del organisationer og virksomheder, og ingen har endnu været imod initiativet. Blandt dem, som har modtaget ideen positivt, er Prosa og Dansk Industri, og det er netop den slags interessenter, man også gerne ser i foreningen. En af stifterne, it-advokat Martin von Haller Grønbæk, der blandt andet er medlem af Rådet for it-sikkerhed, understreger vigtigheden af, at foreningen kommer til at bestå af så bred en vifte som muligt af interessenter.
- Hvis certificeringen skal være noget værd, kræver det, at den tilgodeser alle interessenterne. Det er den eneste måde, hvorpå vi kan sikre stor nok opbakning til, at den kan blive en officiel standard, som rent faktisk bliver brugt af nogen. Den skal være til gavn for alle, uanset om man er kunde eller leverandør, eller hvilken interesse man har i it-sikkerhed. Derfor kræver det naturligvis også, at der er så mange som muligt, der siger god for de her certificeringer, siger Martin Von Haller Grønbæk.
Efter demokratiske principper
Som interessent i foreningen får man mulighed for at være med til at bestemme indholdet af nye certificeringer og eksaminer og ikke mindst indflydelse på foreningens ledelse. Desuden skal kursusudbydere, der vil have et officielt "godkendt"-stempel fra OSIA, være medlem af foreningen. Det har været vigtigt for stifterne, at foreningen blev opbygget efter almindelige demokratiske principper, hvor det er dem, der er med, der bestemmer, hvad der skal ske i foreningen. Et af håbene er, at man i fremtiden vil se en udvidelse af forretningsområdet.
Henrik Thomsen Jensen, sikkerhedskonsulent i TDC Erhverv, fortæller:
Med den åbne måde, foreningen er bygget op på, håber vi, at det ikke stopper med de tre første certificeringer. OSIA skal helst være en dynamisk forening, der udvikler sig og opfylder de krav, som medlemmerne har, og et af håbene er da klart, at vi kan bygge videre på formen og udvikle flere certificeringer til andre dele af it-sikkerhedsbranchen, siger Henrik Thomsen Jensen.
Giver branchen et løft
Kommer en interessent med et forslag om, at netop det, han beskæftiger sig med, kunne have gavn af en certificering eller standard, så er det meningen, at OSIA skal kunne være det forum, der tager handsken op og gør noget ved det.
Ingen af stifterne er dog blege for at indrømme, at det naturligvis også handler om at give sikkerhedsbranchen selv et løft, der forhåbentlig kan generere noget mere forretning. Det kan blandt andet gøres ved, at it-sikkerhedsbranchen giver sig selv et anstrøg af seriøsitet ved at bakke op om Èn officiel og åben certificering, som alle i princippet kan få medindflydelse på. Hos stifterne er man af den klare overbevisning, at det er et problem for branchen, hvis alle går deres egne veje, for hvem skal kunderne så stole på? Hvad sker der, hvis det firma, man har sendt sine medarbejdere på kursus hos, går konkurs? Gode it-sikkerhedskurser skorter det bestemt ikke på her i landet. Nu går øvelsen ud på at få branchen til at snakke med Èn mund, så det bliver nemmere for virksomheder uden for it-sikkerhedsbranchen at kunne forstå og anerkende, hvilke kvalifikationer it-sikkerhedsfolk har.
OSIA-certiferinger i tre niveauer
OSIA-certiferingerne er opdelt i tre niveauer. Det første niveau er OSIA Certified Professionel (OCP). Denne certificering består af fem del-certificeringer, hvor alle skal bestås. Den første eksamen omhandler fundamentale sårbarheder og hacking-metoder, mens den næste eksamen bygger videre på dette, blot på et mere avanceret niveau. Den tredje eksamen omhandler ondsindet kode, hvilket
inkluderer både orme og virus. Den fjerde og femte eksamen omhandler henholdsvis firewall-teknologier og opsætning af en sikker VPN-løsning.
OSIA Certified Expert
Det andet niveau er OSIA Certified Expert (OCE). Denne certificering består af fire obligatoriske eksaminer og en enkelt, hvor man har valgmulighed mellem enten en Linux- eller Windows-eksamen. Den første del-certificering handler om sikker web-udvikling, og nummer to tager sig af kryptering og digitale signaturer. Det tredje område er it-strategi, risikobedømmelse og -politikker. Den fjerde er trådløs sikkerhed, og endelig er der den femte, hvor der kan vælges mellem sikkerhed i enten et Linux- eller Windows-miljø.
Det tredje niveau af certificeringerne var endnu ikke blevet færdiggjort, da vi snakkede med stifterne. Har man brug for at tage kurser i forbindelse med certificeringerne, er det OSIA's udgangspunkt, at det for det første niveau ikke skal tage mere end cirka syv dage i alt for alle fem del-certificeringer. For OCE-certificeringen vil man skulle påregne i alt ti dages kurser.
OSIA-godkendt testcenter
Selve eksamen vil foregå hos et OSIA-godkendt testcenter, og den vil bestå både af multiple choice-spørgsmål og simulerede problemstillinger. Og her håber man blandt stifterne, at der kan spares penge.
- Vi regner med, at multiple choice-spørgsmålene vil skulle indtastes på en pc. Derved kan vi spare tid, når resultaterne skal samles og vurderes, da det hele ligger digitalt, fortæller Ulf Munkedal, administrerende direktør i Fort Consult.
Ulf Munkedal indbyder alle interesserede - konkurrenter til stifterne, offentlige institutioner, it-sammenslutninger med videre - til at slutte op om OSIA og søge indflydelse ved at melde sig ind i foreningen.
- Kun ved at den samlede branche bakker op om initiativet, kan vi opnå en "officiel" anerkendelse, og derfor skal alle være mere end velkomne i OSIA, siger han.
OSIA satser på at begynde med de første eksaminer den 1. oktober 2003.
Billedtekst:
- Hvis certificeringen skal være noget værd, kræver det, at den tilgodeser alle interessenterne. Det er den eneste måde, hvorpå vi kan sikre stor nok opbakning til, at den kan blive en officiel standard, som rent faktisk bliver brugt af nogen. Den skal være til gavn for alle, uanset om man er kunde eller leverandør, eller hvilken interesse man har i it-sikkerhed, siger Martin Von Haller Grønbæk. Foto: Torben Klint
Citat:
OSIA skal helst være en dynamisk forening, der udvikler sig og opfylder de krav, som medlemmerne har, og et af håbene er da klart, at vi kan bygge videre på formen og udvikle flere certificeringer til andre dele af it-sikkerhedsbranchen.
Henrik Thomsen Jensen,sikkerhedskonsulent i TDC Erhverv.
