每个人似乎都认为缺乏合格的安全专业人士,而且原因是人们没有足够的人以所需的技能进入该领域。然而,思考背后有一种谬论。人们认为安全是一个独立的纪律,但它实际上是计算机领域内的一项纪律。对待它否则是一个错误。
大多数人在安全职业中超过十年的人,包括我,没有网络安全程度进入了该领域。我们可能有认证,但我们并没有声称这些证书是我们可能拥有的任何专业知识的来源。
我自己的经历不是不可批准的。在我的所有岁月的工作中,作为员工或承包商,为国家安全机构和其他军事和情报机构,我从未特别考虑过什么是安全工作。
事实上,我甚至没有在NSA的计算机领域开始。我是一个讨厌他的工作的情报分析师,所以我申请了电脑系统实习计划。在那些日子里,NSA无法找到足够的电脑专家,因此它创建了一个计划,以识别计算机高能力和培训的人。虽然我后来被私营部门的安全专业知识所闻名,但我从未给出任何特定的安全培训。相反,我有多年的工作和正式培训,良好的技术和运营做法。我的后来在渗透测试中的成功主要是在检测到没有良好做法的情况下,而不是如何在如何破解系统或进行社会工程的正式培训;考虑到我遇到的悲观安全性,我从未使用过任何先进的技能。换句话说,它没有什么比网络安全计划中发生了什么。
当然,NSA确实有人的工作侧重于安全性,而且像我一样,他们在了解操作或网络等事情之后进入该地区;除非它在一个处于进入级别和高级人士的规范下,否则他们没有开始“安全”
在采取这种方法时,NSA并不孤单。其他情报和军事机构,政府承包商,大型银行和其他领导人在实施强大的安全方案中,重点是识别适当的能力和有关技能,然后为他们提供正式和在职培训,以掌握与安全相关的角色。
每个职业都有类似的动态。我们没有听说关于工程公司缺乏桥梁工程中缺乏学位的人,或者建筑公司抱怨摩天大楼架构中具有学位的毕业生。军队并不哭泣,无法找到已经在战斗中培训的新兵。那么,为什么这么多政府机构和私营部门企业Bemoan缺乏网络安全专业人士?这是什么让我疯狂的这一点:坚持更多人来拥有网络安全程度,它做得更多的伤害;这些学位持有人仍然永远不会成为知识渊博,并且能够作为组织可以自己种植的可信专业人士。
您会认为组织会意识到这一点,因为他们显然一直通过网络安全程度的人。我已经到了几十个人的网络安全学位,因为他们没有低级职位所需的技术技能和能力。但坏的是,网络安全度没有足够技术的入门级安全位置,它们通常也没有足够的技术任何计算机字段中的入门级位置。
在任何情况下,安全位置都不是入门级位置,如果您对待它们,您将具有可怕的安全性。最好的安全从业者在技术和流程中拥有他们应该保护的技术和流程的经验。如果您不是经验丰富的开发人员,您就没有站在告诉人们如何保护他们编写的代码。如果您没有作为系统管理员的经验,则无法维护系统的安全性。如果您没有管理员的经验,则无法保护数据库。如果您在设计网络方面没有经验,则无法竞争地设计安全网络。
安全专业人员随着时间的推移而发展,就像在每个职业的专家一样,包括计算机专业内的所有其他学科:您被分配了一个与技能水平一致的位置,学习工作并获得适当的培训。这很简单。您可以通过查找具有所需的最低技能的人来“创建”安全专业人士 - 通常是具有多年经验的计算机专业人士 - 然后使他们通过在职培训,指导和正式培训学习所需的安全特定技能。我的意思是,考虑一下:在许多情况下,已经安装了防火墙并保持了良好的岁月,而不是新犯规毕业生从网络安全计划中的利益。
这些日子似乎占上风的方法 - 寻求已经拥有合适的技能和经验或雇用他们远离另一个组织的正确技能和经验的新租赁 - 只是不起作用。但这就是为什么这么多人认为存在安全专业人士的短缺。
我可以向您保证,拥有五年经验的主管计算机专业人员将比具有网络安全程度的新毕业生更有效。我不是说培训,包括网络安全程度和认证,没有价值,但他们很少是用于实践工作经验的匹配。
相反,组织应该在内部寻找熟练的计算机专业人员,尽管在安全性方面没有经验,可以快速适应安全角色。那些人确实存在,他们的真实体验比任何数量的认证或程度都进一步进一步。
当然,有很多人都有很多人,有必要的安全技能克切来填补你的安全职位。但除非您有一个计划识别您组织内的主管专业人士,否则为他们提供职位和培训,以便将其携带安全专业知识,您正在创造自己的网络安全技能短缺。不要呻吟,呻吟,这些人不存在,当你的组织太便宜或狭隘地看,看内部并提供培训。
忘记寻找网络安全程度的人。忘了招聘黑客。寻找愿意扩大技能集的人。我保证,您将停止抱怨缺乏人才,您的安全计划将受益。
IRA Winkler.是安全委任和本书作者的总裁在我们中间间谍。他可以通过他的网站联系,securementem.com.。
这个故事,“网络安全技能短缺的神话”最初发表于Computerworld. 。