În security, certificările pot fi un semnal util, dar nu sunt “biletul” automat spre job. În practică, cântăresc cel mai mult când:
- intri în domeniu sau faci tranziție (backend → AppSec / DevOps → cloud security),
- aplici într-un proces cu ATS și recruiter screening (unde codurile/cuvintele cheie contează),
- vrei să arăți rapid “aria” (defensive vs offensive, cloud vs app).
Ideea simplă: certificarea trebuie să se lege de ceea ce faci zilnic (sau de ce vrei să faci în următoarele 6–12 luni), altfel devine doar un badge.
TL;DR
- Uită-te mai întâi la mențiunile explicite din anunțuri (coduri/nume, nu “AWS/Azure/Kubernetes”).
- Alege 1–2 certificări care se potrivesc clar cu direcția ta (AppSec, SecOps, cloud security, pentest).
- Leagă certificarea de un proiect mic “demonstrabil” (repo + threat model + findings + remediation).
Ce certificări apar în anunțuri (din joburile active)
Lista de mai jos e construită din mențiuni explicite (ex: “OSCP”, “CISSP”) în joburile de Security din platformă.
Certificări menționate în rolurile de Security
Pe baza anunțurilor publicate în ultimele 365 zile.
Numărătoarea folosește mențiuni explicite de certificări din anunțuri din ultimele 365 zile.
Cum alegi (în funcție de rol)
AppSec (aplicații)
Caută certificări care te ajută să “vorbești” limba echipelor de produs:
- secure coding, OWASP Top 10, threat modeling,
- review de design (auth, session, secrets, permissions),
- testare practică (SAST/DAST, triage, fix validation).
Ce contează în interviu: să poți explica trade-off-uri (de ex. “de ce JWT aici”, “cum tratezi auth în microservicii”, “cum faci rate limiting fără să strici UX”).
Cloud Security
În cloud, multe echipe caută “fundamentals” aplicate:
- IAM și “least privilege”,
- networking (segmentation, private endpoints),
- logging/monitoring (ce loguri, ce alerte),
- posture management (baseline, policy as code).
Ce contează: să poți demonstra că știi unde apar riscurile (secrets, access keys, misconfigurations) și cum le reduci în practică.
SecOps / SOC
Pentru roluri mai operaționale, semnalul e despre procese:
- triage, incident response, runbooks,
- alert tuning, false positives,
- log pipelines, SIEM queries.
Ce contează: disciplină de comunicare (“ce anunț, când, cui”), plus abilitatea de a prioritiza.
Pentest / Offensive
În zona offensivă, certificările apar mai des ca “filtru” de shortlist, dar tot proiectele și write-ups-urile sunt decisive. Ce contează: metodologie, raportare clară și focus pe remediation.
Ce proiecte “validează” cel mai bine o certificare
Nu trebuie să fie un proiect mare. Trebuie să fie clar și complet, astfel încât un reviewer să poată înțelege:
- ce ai testat,
- ce ai găsit,
- ce impact are,
- cum ai remediat (sau ce ai recomanda).
Exemple practice:
- AppSec: un mini threat model pe un flow (login + reset) + liste de riscuri + mitigări + “secure defaults”.
- Cloud security: un setup minimal (IaC) cu IAM + logging + guardrails + un “policy check” (ex. deny public buckets).
- SecOps: un set de reguli + runbook pentru un tip de incident (credential leak, brute force) + exemple de query.
- Offensive: un write-up scurt (fără date sensibile) + remediation clar.
Greșeli frecvente
- Certificări multe, fără exemple: mai bine 1–2 + un proiect mic foarte clar.
- “Am CISSP/OSCP” dar nu poți explica bazele (auth, IAM, logging): pregătește 5–10 întrebări tipice și răspunsuri scurte.
- Confuzie între tehnologii și certificări: “AWS/Azure” nu înseamnă automat certificat; de aceea lista de mai sus numără doar mențiuni explicite.
Cum e construită lista (pe scurt)
- Scanează titlul + descrierea joburilor de Security din platformă.
- Numără doar mențiuni explicite (coduri/nume de certificare), nu tehnologii generale.
- Arată câte anunțuri menționează fiecare certificare, într-o perioadă recentă.
Următorii pași
- Vezi joburi Security: /ro/cariere-it/rol/security-engineer
- Model CV Security
