Friday, January 20, 2006

DoD Directive 8570.1 Changes Everything

Last night I attended my local ISSA-NoVA meeting. I listened to Steven Busch from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Defense-wide Information Assurance Program (DIAP). He is a "Change and Workforce Management Senior Managing Consultant" with IBM working on implementing DoD Directive 8570.1, "Information Assurance Training, Certification, and Workforce Management", which I mentioned yesterday. He's also a Marine. (Notice I said "Marine," not "ex-Marine." Even though Mr. Busch is no longer in uniform, I recognize cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are no "former Marines.")

I will try to summarize what I heard, with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 expectation that Mr. Busch's slides will be posted at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISSA-NoVA Web site soon. I managed to get related material from this earlier briefing (.pdf, slow). There's also a summary at (ISC)2.

The vision for 8570.1 is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

A professional, efficiently managed IA workforce with knowledge and skills to securely configure information technology, effectively employ tools, techniques and strategies to defeat adversaries, and proactively identify and mitigate cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 full spectrum of rapidly evolving threats and vulnerabilities in order to protect cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 network.

After reading my comments, you may agree that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 implementation of 8570.1 will not meet this vision.

8570.1 will apply to anyone with privileged access (e.g., system administration) to DoD systems, to include uniformed military personnel, civilians, and contractors. The following chart summarizes 8570.1 (incorrectly called "8570" below) and 8570.1-M, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Manual which was signed on 19 December 2005 and provides implementation guidance.



Essentially, to administer a DoD system, military, civilian, and contractor operators will have to attain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se goals:

  1. Vendor-neutral security certification

  2. Vendor-specific platform certification

  3. On-cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365-job training


Before I discuss cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 approved certifications, let's look at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people affected by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se requirements.



The slide shows two existing tracks. One is an IA Technical Category (for system and network administrators) and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r is an IA Management Category. Now let's see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification list as displayed last night.



The Tech I and Management I categories are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 bottom of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pyramids shown previously, while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 IIIs are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 top of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 pyramids.

Let's break out those acronyms, since I didn't recognize all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m. First, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certifications for technical people:

  • A+: CompTIA's basic system administration cert

  • Network+: CompTIA's basic network administration cert

  • TICSA: TruSecure ICSA (formerly International Computer Security Association) Certified Security Associate; never encountered this before

  • SSCP: Systems Security Certified Practitioner, an (ISC)2 certification that just received ANSI accreditation -- a requirement for all of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor-neutral certifications

  • GSEC: GIAC (Global Information Assurance Certification, formerly Global Information Assurance Center) Security Essentials Certification, a SANS entry-level certification

  • Security+: basic security; why is Security+ here, and come to think of it, why is A+ and Network+ listed earlier for security certifications?

  • SCNP: Security Certified Network Professional, offered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security Certified Program; never even heard of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m

  • CISSP: Certified Information Systems Security Professional from (ISC)2, which is also ISO/IEC 17024 certified. All of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se certifications need to be ISO compliant, but I do not think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y all presently are compliant.

  • SCNA: Security Certified Network Architect, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r SCP cert I've never seen before

  • CISA: Certified Information System Auditor, offered by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Information Systems Audit and Control Association (ISACA); also ANSI-certified.

  • GSE: GIAC Security Expert; this is a SANS cert held by five people. It is absolutely ridiculous to put cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 tech-less CISSP in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same category as cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GSE, which requires "five intermediate level GIAC certifications" and "3 days of testing!"


Here are cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certifications for managers, only listing those not covered above:

  • GSLC: SANS GIAC Security Leadership Certification

  • GISO: SANS GIAC Information Security Officer; this is already obsolete, replaced by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 GSLC or GISF

  • CISM: Certified Information Security Manager, anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r ISACA cert


The list will not necessarily be used by everyone in DoD. The DoD components can choose cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certs on this list that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will accept. They cannot independently add certs to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list, although cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 oversight board managing this program for DoD can add new certs in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 future.

You are probably wondering about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 vendor-specific certification requirements. Mr. Busch explained that if a person administers Microsoft systems, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will need Microsoft certification. If cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are a Cisco network admin, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will need Cisco certification. He admitted cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have "not done much" yet in this area.

Earlier I reported on this story which inaccurately states cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 following:

[DoD] requires frontline security professionals to have certifications from CompTIA and (ISC)2 but not from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SANS Institute or vendors.

That is patently not true. When I first read that statement, I thought I understood why Alan Paller was upset. Now that I see cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are some SANS certifications accepted by DoD, I realize he is more upset by DoD's choice of certifications. I agree with him.

Essentially, if you have your CISSP, you have cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 "golden ticket" for technical or managerial work in DoD. While that might be appropriate for management, it is absolutely worthless for operators. This DoD program is not going to result in any better security if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 emphasis is placed on certs that have little or no technical relevance.

There may be benefit to having vendor-specific certs. Someone responsible for administering Solaris, Red Hat, or Cisco products are probably going to benefit from those programs. Unfortunately, DoD seems to be treating cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se programs as an afterthought.

One audience member asked Mr. Busch what he should tell an admin he knows that works on Oracle, Microsoft SQL, Solaris, and slew of ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r applications and operating systems. Mr. Busch replied "Most DoD components don't have that many OS' in one environment." This will be a real shock to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 front lines!

DoD plans to collect "IA performance data" to "measure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 effectiveness" of this program. I would like to see if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 people cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y consider "certified" (and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y want 10% of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 force ready by 30 Dec 06) are any more capable than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 uncertified crowd.

I also wonder why DoD didn't leverage cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CERT®-Certified Computer Security Incident Handler (CSIH) certification program. It's practically DoD already, is vendor-neutral, has been around for a long time, and appears to cover cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 subjects I would want to see in DoD security people.

There are some aspects of this program that I think are beneficial, without reservations. Mr. Busch said DoD is trying to include IA training within Professional Military Education, such as that found at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 war colleges. This is a great idea and I would be interested in helping with that program. People with IA certifications will also be tracked DoD-wide, and IA will be treated less as an "additional duty" and more of a professional obligation.

Crucially, Mr. Busch recognizes that receiving training helps retention. Someone during cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ISSA meeting asked what DoD will do when it trains its people and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n watches cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m separate from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 service. That attitude absolutely infuriates me. The alternative means keeping untrained people in place, because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have no marketable skills? That is completely idiotic. I argued with a colonel at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Pentagon about this when I was a captain.

I would like to hear your thoughts on this program. Overall, I think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 intentions are good, but cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 selection of certs is on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 whole misguided. I also hope to hear more details from Alan Paller, who seems to have a good grasp on this issue.

17 comments:

Anonymous said...

Nice blog here. Keep up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 good work.

Anonymous said...

If you’ve ever criticized a CISSP for not being technically competent you’ll know that to do so would inundate you with responses that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP is not a technical certification. Where’s cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 outcry here? Why isn’t (ISC)2 standing up and saying that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir certification should be used in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 manner that it is? They sure would if people were blogging about cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 deficiencies of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification.

What strikes me as ironic is that I feel that this is actually going to cheapen cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification. Any time you have a mass of people getting certified simply because “cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to” it doesn’t usually end well for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certification itself. You’ll have a lot of people going to bootcamps and going through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motions simply to get cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 initials after cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir name. (Actually, I think we have that with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP now, but that’s anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r story). We all see how well this worked out for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 MCSE certification and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 respect it has earned in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 community.

I don’t think a specific certification should be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 answer. It inspires an attitude of “I made it, now I can relax”, and this is bad for everyone involved. Now for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 grand, “it will never happen”, “is he out of his mind?” idea. Continuing education is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way to go, though it would have to be modified from cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 way that it stands now. Any program offering CPEs should need to get certified and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n grade people on how cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 did when taking cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 course/session. It could be pass fail, for those where attendance was enough, or you could have exams to see how well you are picking up cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 material. All you need is an association of some sort to manage your transcripts so that potential employers could see your capabilities. “I see you failed every training session you attended that dealt with firewalls, maybe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 firewall administrator position isn’t right for you.” But doing this would at least allow you to see how committed a person is, and that’s far more important that any specific knowledge he may have at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 time. A committed person will learn whatever he/she has to, and keep doing so.

Now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re are many things wrong with this. Privacy being one, especially if you have some clearinghouse association to manage all this. But it’s not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 grand idea that’s at fault, it’s cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 notion of what we are trying to achieve. People want an opportunity to opt out of doing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 kind of things that should be required when managing it people or resources. A capable IT manager can pretty easily tell when he is talking with someone that doesn’t quite "get it". If you sole reliance of someone’s ability is whecá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r or not that person has a certification cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365n maybe you aren’t cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who should be managing, perhaps it’s YOUR job that should be advertised. There is no magical thing that will tell you how good (or bad) someone may be. Technology changes so fast that you have to keep learning. You, Richard, are knowledgeable about NSM, but how long would it be before would be considered ignorant if you stopped researching, reading, learning. Not long, and yet this is cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 same kind of attitude that certifications create. Yes, I know cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP has a continuing education element, but how many people are simply going through cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 motions? How much do you think cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are getting out of it when cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are simply just trying to maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP? Contrast this with someone who reads constantly, loves what he/she does, and learns. There’s no certification for commitment, but I’ll take cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 latter thank you.

Anonymous said...

Richard I see your point about training military folks too. However, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 person who asked about why train people if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will leave has a point too. This is a Catch-22 scenario. Of course you can't keep dummies at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 controls, but managers also have concerns of spending thousands of dollars on training and cert cost to just watch people bail out to exchange a $30,000 E-5 paycheck for a $100,000 contractor paycheck. There is a small percentage of people who would stay because of commitment to our great nation, but those are few and far between. Sociology studies of military groups show a majority of enlisted personnel join cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military to escape poverty. Flashing big dollar signs at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 worker bees along with rejoining cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 democracy puts retention NCO's and commanders under big time pressure. I don't envy cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se gals and guys at all. Maybe DoD should implement a retention policy like corporations have with training. If my company pays for me to take a course, I have to commit to cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m for one year. If I leave before that year is up, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 cost is pro-rated and I owe cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 difference. Just start tacking on extensions to people who volunteer to go to training. If no one volunteers to go, just contract out cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 entire military! lol

Triple Canopy and Blackwater can be cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 mercenaries, oops I mean infantry.

Anonymous said...

I'm a security professional with 4 of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 certifications on that list, and I've researched security certifications extensively in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 past. I agree wholeheartedly with your comments. I thought it was well-known that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP is not technical, it's management level. It's my understanding that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 SSCP (also from ISC^2) is just a lesser version of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP, requiring less experience and less subject matter knowledge, so it shouldn't be considered a technical cert eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r.

Listing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISA (Certified Information Systems Auditor) cert as technical is just nuts. I've earned both cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP and CISA, and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISA actually covers *less* technical subject matter. It's about auditing processes, procedural controls, staff roles, etc. -- all management-level stuff -- and not even cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 basic cryptography or networking info that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 CISSP covers.

Conversely, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 A+ is purely low-level technical info for PC repair and help desk folk. It barely mentions security, and only in cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 sense of file permissions. The Network+ is a bit more relevant, but it too barely mentions security. I've earned both, and while cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have value in ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r contexts, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y aren't worth mentioning for security. That's what cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Security+ was designed for.

Some more appropriate certs that are notably missing are those sponsored by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 National Security Agency (NSA) in "INFOSEC Assessment Methodology (IAM)" and "INFOSEC Evaluation Methodology (IEM)". (See http://www.nsa.gov/releases/relea00038.cfm and http://www.iatrp.com). They're not only recognized by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 feds, but created by cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m, so why not include cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m?

Anonymous said...

I don't that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y chose to use a list of certifications for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 training baselines. It makes it easier on those responsible for maintain cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365se baselines by just adding or subtracting certifications but makes it more expensive for cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 services. The DOD would be better served by establishing a true set of training requirement and revisiting cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m annually to insure that cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y are still relevant. The training and experience are more important than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 piece of paper. The good thing is that training is required and those trained will be tracked to ensure cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir training will be utilized. The Marine Corps already has a head start on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r services in that it has already established an IA MOS with specialized training and IA assignments. In order to get into this MOS an individual has to be at least a SGT with two years left on contract a cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 completion of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 school ensuring that those that are trained are more likely to stay in and will be around for awhile.

Anonymous said...

Just a note. The TICSA is a redicilous "security" certification made up by TruSecure. It's a huge joke. It's even a running joke within cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 ranks at TruSecure (sorry, Cybertrust) about how lame it is.

Pregnancy tests are harder to pass than cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 TICSA.

Anonymous said...

I dare say that for at least half cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 population a pregnancy test would be impossible to pass under any circumstances.

Anonymous said...

Practicing for a pregnancy test is also more fun!

BTW, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 INFOSEC questio is really good. Why wouldn't cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD follow NSA guidelines? I think that it could boil down to suspicions and cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 will to create "cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own" system at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD. The DoD doesn't perceive it as "we are just building on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir prior work," it is instead seen as a loss of control over cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir procedures. That's unfortunate, but I also think that if you had a resume with a few NSA approved certifications I think that would not hinder your application. For those walready working for DoD cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y may have been jumping cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 gun and getting some of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 NSA certs, but now cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y will need to focus on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DoD list.

Ray Aragon
INFOSEC

Anonymous said...

>I dare say that for at least half cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 >population a pregnancy test would be >impossible to pass under any >circumstances.

That depends on how you define pass/fail!! It probably depends on perspective. :D

Anonymous said...

Some folks mentioned NSA developing certs and guidelines. They also questioned why DOD doesn't follow or except those. Isn't NSA part of DOD and must comply with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 8570? and should have been part of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 development?

Anonymous said...

NSA is not part of DOD. NSA is however cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 best place to recieve guidelines on securing goverment networks. I'm surprised ISSEP (cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 extension of CISSP) is not on cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 list.

Richard Bejtlich said...

Then why did www.nsa.mil exist, and why did cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 Secretary of Defense control NSA's budget? Has that changed with cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 DNI? I noticed www.nsa.mil is gone.

Anonymous said...

Perhaps you are on to something. Agencies that don't follow cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir own advice; security experts without advanced degrees or any demonstratable proof of knowledge for that which cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y profess to practice? Poor infosec practice after practice, one network after anocá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r run un a slipshod manner? Ask yourself why. There is always a reason, just not cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 one you would think at first consideration. Start cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365re. RacerX

Anonymous said...

p.s. Also, don't just assign it to gladhanders and wannabees following cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 money, glamming on to whatever pays at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment, who would be in advertising if it paid more at cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 moment. They are just marketing cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365ir badges, and are no more effective to infosec than potted plants. It's much deeper than that, although it does play a factor. X

Anonymous said...

Good stuff Rich. Here is a great complement to this post. http://dmiessler.com/writing/infoseccerts/
Includes comparisons between: GSEC, CISSP, CISA

Anonymous said...

For those who seem ignorant, cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 military DOES require that you stay in a certain amount of time if cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y pay for certain things (college, etc). The big thing is that you CAN'T escape your time owed, eicá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r... it's required. Certs aren't worth much compared to a college degree, particularly since many aren't general (e.g., CCNA, MCSE, etc). A degree means that you will be better able to work on anything in that field racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than a CCNA who may or may not be able to adapt to a Juniper system. CISSP has already turned into one of those certs that people get just because cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365y have to and is already being watered down in value. I'd say try something that's hard but not required, racá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365r than CISSP.

Unknown said...

CSIH will/is covered by 8570 Chapter 11, Incident Responder.

http://www.isaca-washdc.org/presentations/jan2007-monthly_slides_pm.ppt

Those are a copy of cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365 slides, George keeps cá cược thể thao bet365_cách nạp tiền vào bet365_ đăng ký bet365m updated.

Rob Floodeen