Certifikáty a formální vzdělání ještě neznamenají, že je daná osoba expert

Publikováno: 22. 03. 2025, v rubrice: Bezpečnost, autor: , zobrazeno: 377x

V posledních letech se v oblasti kybernetické bezpečnosti stále častěji setkáváme s lidmi, kteří si na základě absolvovaného kurzu či získaného certifikátu nárokují status „experta“.

Zdánlivě tomu nahrává rostoucí nabídka vzdělávacích programů a certifikací, stejně jako značný nedostatek skutečných odborníků na trhu práce. Přestože certifikáty a formální vzdělání mohou posloužit jako užitečný základ, často samy o sobě nezaručují skutečnou odbornost. Následující body vysvětlují, proč je třeba k problematice přistupovat obezřetně.

Certifikáty a diplomy nejsou automatickou zárukou odbornosti

Formální vzdělání a certifikáty skutečně dokládají určitý stupeň znalostí, ovšem ne vždy odrážejí schopnost aplikovat tyto znalosti v reálné praxi. Skutečný expert musí kromě teorie ovládat také řešení komplexních úkolů, kritické myšlení a schopnost pružně reagovat na rychle se měnící hrozby. Certifikace mohou být dobrým startovním bodem, ale samy o sobě nezaručují praktické schopnosti.

Někteří držitelé certifikátů mohou být náchylní k Dunning-Krugerovu efektu, zejména pokud postrádají praktické zkušenosti. Tento kognitivní bias vede k tomu, že lidé s nízkou úrovní znalostí přeceňují své schopnosti, protože jim chybí dostatečné povědomí o tom, co všechno nevědí. Tento efekt se však netýká pouze řadových zaměstnanců, ale i manažerů, kteří mohou mít mylný pocit, že jejich povrchní znalosti stačí k rozhodování o klíčových bezpečnostních strategiích.

Příklad: Osoba s certifikátem CompTIA Security+ může znát základy bezpečnostních protokolů, ale bez praktických zkušeností nebude schopna efektivně reagovat na pokročilé útoky, jako jsou zero-day exploits nebo Advanced Persistent Threats (APT).

Nedostatek standardizace

Mezi nabízenými certifikacemi v kybernetické bezpečnosti panuje výrazná nejednotnost. Zatímco některé programy, jako CISSP (Certified Information Systems Security Professional) nebo OSCP (Offensive Security Certified Professional), mají prestižní mezinárodní uznání a dlouhodobě prokazatelnou kvalitu, jiné mohou pokrývat jen základní či velmi úzce zaměřené znalosti. Pro laika či zaměstnavatele je pak složité rozlišit, který certifikát představuje reálnou hodnotu a který je pouhým formálním osvědčením.

Příklad: Certifikát CEH (Certified Ethical Hacker) je často považován za prestižní, ale v praxi může být získán i bez hlubokých znalostí, pokud se uchazeč zaměří pouze na „nácvik testů“.

Tlak trhu práce a nízká vstupní bariéra

Kybernetická bezpečnost je jedním z nejrychleji se rozvíjejících oborů. Firmy často shánějí specialisty doslova „za každou cenu“, a tak se mezi uchazeči objevují lidé s nedostatečnými znalostmi, kteří se za odborníky označují pouze na základě absolvovaných kurzů a získaných certifikátů.

V kombinaci s nízkou vstupní bariérou – tedy poměrně snadným získáním některých osvědčení – vzniká paradox: na trhu se pohybuje mnoho nováčků s obdivuhodným sebevědomím, kteří ovšem nejsou připraveni čelit reálným bezpečnostním incidentům.

Do problematické situace přispívají i manažeři, kteří se k vedoucí funkci dostali díky rychlým povýšením, známostem či nedostatku kvalifikovaných kandidátů. Tito manažeři poté rozhodují o zásadních bezpečnostních strategiích a rozpočtech, přestože jim chybí jak znalosti, tak praktická zkušenost. Ale co čekat v zemi, kde může člověk dnes řídit dopravu a zítra zdravotnictví.

Rychlý nárůst certifikovaných odborníků v některých regionech ne vždy znamená odpovídající růst kvality znalostí, což naznačují i některé studie zaměřené na rozdíly mezi praktickými dovednostmi a certifikovanými znalostmi. To ukazuje, že samotný počet certifikátů nemusí odpovídat skutečné odbornosti.

Formální vzdělání zaostává za dynamikou praxe

Univerzitní obory či dlouhodobé studijní programy trpí zpožděním oproti reálnému vývoji hrozeb a technologií. Osnovy se často aktualizují pomalu a zahrnují hlavně široké teoretické základy. V některých případech se dokonce vyučují metody, které jsou nejen zastaralé, ale dokonce i metodologicky chybné.

Například používání kvalitativních risk matic, které jsou často kritizovány pro svou neschopnost správně kvantifikovat rizika a jejich vzájemné vztahy, se v mnoha univerzitních kurzech stále běžně vyučuje jako standardní nástroj analýzy rizik, který se promítá i do norem a best practice.

Na druhou stranu existují výjimky – například MIT, Stanford nebo Carnegie Mellon University, které do svých kurzů zahrnují praktické prvky, jako jsou hackathony, stáže nebo simulace reálných útoků. Tento přístup by měl být rozšířen i do dalších institucí.

Závěr: Certifikace a formální vzdělání poskytují systém znalostí a formální potvrzení dosažené úrovně, zároveň pomáhají začátečníkům proniknout do oboru. Nicméně není rozumné spoléhat se pouze na ně a zaměňovat je za důkaz skutečné odbornosti. V některých organizacích mohou výběrové procesy ovlivňovat i externí faktory, jako jsou diverzitní kvóty nebo administrativní požadavky. Ačkoli diverzita přináší do týmů cenné pohledy a podporuje inovace, přílišné spoléhání na kvóty může vést k tomu, že se do strategických pozic dostávají lidé s nedostatečnou odborností.

Skutečné mistrovství v kybernetické bezpečnosti vyžaduje soustavný rozvoj znalostí, praktické zkušenosti, schopnost řešit komplexní problémy a rozvinuté měkké dovednosti. Zaměstnavatelé i jednotlivci by měli k certifikacím přistupovat s větší obezřetností a klást důraz na reálné dovednosti a zkušenosti.

Na druhou stranu je však třeba uznat, že u některých rolí by držení odpovídající certifikace mělo být nezbytným minimálním požadavkem – zejména pokud jde o pozice, které vyžadují rozhodování o bezpečnostních strategiích, správu citlivých systémů nebo dohled nad plněním regulatorních požadavků. V těchto případech může certifikace sloužit jako základní pojistka minimální odborné úrovně a prostředek zajištění profesní odpovědnosti.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. Certifikáty a formální vzdělání ještě neznamenají, že je daná osoba expert. Online. Clever and Smart. 2025. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/certifikaty-a-formalni-vzdelani-jeste-neznamenaji-ze-je-dana-osoba-expert/. [cit. 2025-04-30].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.
Související články:
  1. CRISC aneb certifikovaný expert na řízení rizik
  2. Jak na vzdělávání v oblasti informační a kybernetické bezpečnosti: neformální vzdělávání
  3. Typologie uživatelů internetu: Jste začínající uživatel nebo expert?
  4. Přečtěte si, co vám váš SEO expert nejspíš nikdy neřekne
  5. Můžeme věřit certifikačním autoritám?


K článku “Certifikáty a formální vzdělání ještě neznamenají, že je daná osoba expert” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce:

 

Autor článku

Miroslav Čermák

Expert na řízení informační bezpečnosti a kybernetických rizik

veřejný profil

Podpořte nás

Pokud se vám obsah tohoto webu líbí, můžete na jeho provoz přispět jakoukoliv částkou.

Děkujeme.