职业认证能够展现出某人一直致力于他/她的安全生涯，这一想法在IT安全从业人员的脑子中根深蒂固。最终，人们招募人员在某种程度上是根据求职者持有的认证进行初步地筛选。北卡罗来纳州的卫生和公众服务部的信息安全架构师Jim Murphy认为，通过搜索职业认证来发掘候选人的做法是危险的。因为招聘人员没有意识到可供选择的各种认证之间的差异，他们可能因此忽略掉可行的求职者。

　　位于洛杉矶的Stephen S. Wise学校的CISO David Lam感觉在工作经验和职业认证之间必须达成一种平衡。安全从业人员也必须考虑哪些认证会对他们的职业轨迹产生最为重要的影响，Traster谈到。“当考虑到应该追求哪些安全认证时，你需要考虑到某个认证比起其它认证更具价值，例如行业的认可、一致性、再认证要求，它们与实际工作技能的关联性以及市场上的需求”。

　　乔治亚州立大学的CISO Tammy Clark认为，在他们的岗位上较长时间的求职者需要想办法扩展他们的知识和经验，而安全认证是达到这个目的一种不错途径。“对于潜在的雇主来说用认证和培训来充实你的工作经验是极具价值的”，Clark说道。“只要它们给工作来显著价值，它们就表明你的技能在不断进步。”

　　但一个与认证相关的话题，并且信息安全社区完全同意的看法：CISSP认证在安全认证类里面保持着黄金级别的水准。位于艾文市的Magellan健康服务公司的CISO Jerry Garland寻找拥有广泛安全知识的求职者，他认为CISSP认证考试是测试是否拥有这些知识的最佳选择。Jim Murphy同意，补充到“CISSP认证是行业里最为全面、深入和广泛认可的认证，但是对于到风险管理和合规遵从，ISACA（信息系统审计和控制协会）的CISA和CISM认证也是合适的选择”。

　　通常来说，厂商赞助的认证确实有一些重量，但是它依赖于工作职位。因为这些认证趋向于具体的产品。Jim Murphy认为厂商的认证增强个人技能，但是没有增加个人整体的信息安全熟练度。然而Jim Murphy坚定地认为那些负责网络安全和架构的人员应该拥有除了CISSP以外的厂商认证。Lam谨慎地表示：“某些厂商创建的认证考试很容易通过，没有太大的意义。而其它的认证显示出的某种专长在你寻找工作时可能派上用场”。Miller解释到他更愿意派他的职员去参加像Black Hat大会那样提供当前技术趋势实际培训的行业性会议。尽管他确实认可获得特定产品认证的价值，但前提是该产品使用的是业内占主导地位的技术，如思科公司。

　　任何工作在有严格合规要求的行业，如金融服务业的人知道可能有数百种认证可以选择，这更加凸显了选择的重要性。Clark建议那些在政府机构领域寻找职位的人需要关注安全认证规划。她注意到很多在高校的同事近年来已经获得CISSP认证。给公共健康部门以及欧洲客户提供云服务，使得Miller要配备分析师来加强安全团队，它们需要擅长在HIPAA合规遵从、以及EU数据保护法案。随着合规遵从框架的问题得到解决，行业各部分有望更加专业。

　　在信息安全领导们中逐渐达成的一致看法是需要增加非传统的认证来补充他们的技能。Thomas Murphy和Clark都认为项目管理学会的PMP认证有价值，那些持有该认证的人的技能可以帮助内部的安全项目更加有效地运作。耶鲁纽海文卫生系统的CISO Steve Bartolotta建议医疗行业的管理者用FACHE认证来充实管理经验，然而Garland支持更多的主管在像CPP这样的员工发展项目上获得认证，这些组织开创了Myers-Briggs评估方法。

　　我们处在一个由简历占统治地位的世界中， LinkedIn网站的个人简介已经为搜索引擎进行过优化。多面手的招聘人员既没有时间，也没有专业知识来筛选简历寻找相关的工作经验。相反他们搜索关键字和词组，所以通过认证是一个简单的预选资格。然而实际上这是不公平的，并且最终对这个行业是有消极影响的。招聘主管们想看到拥有最相关工作经验的求职者，而不是那些根据认证列表选择出的人。但是招聘人员不会改变他们筛选候选人的方法。因此，通过认证可能会继续在IT安全文化中根深蒂固下去。

　　随着时间的推移，我们有望看到更多专业的招聘人员涌现出来。他们只关注信息安全市场，并且与潜在的候选人有长期关系。这对于行业来说会是积极的发展，因为这是一种将技能和经验与职位需要匹配的更佳方法，让招聘主管们专注于他们的日常工作中。