每个人似乎都认为缺乏合格的安全专业人员,原因是没有足够的人进入该领域所需的技能。不过,这种想法背后存在着一种谬误。人们认为安全是一门独立的学科,但它实际上是计算机领域的一门学科。否则就是错误的。
包括我在内,大多数从事安全行业超过十年的人,在进入这个领域时都没有网络安全学位。我们可能有证书,但我们不会声称这些证书是我们所拥有的任何专业知识的来源。
我自己的经历并不少见。在我作为雇员或承包商为国家安全局(National Security Agency)和其他军事和情报机构工作的所有岁月中,我从未具体执行过被认为是安全工作的工作。
事实上,我甚至还没有开始在国家安全局的计算机领域工作。我是一名情报分析员,讨厌他的工作,所以我申请了计算机系统实习生项目。当时,美国国家安全局找不到足够多的计算机专家,所以它创建了一个程序来识别具有计算机天赋的人,并对他们进行培训。尽管我后来在私营部门以安全专业知识而闻名,但我从未接受过任何专门的安全培训。相反,我有多年的在职经验和良好的技术和操作实践方面的正式培训。我后来在渗透测试中的成功主要是建立在发现缺乏良好实践的基础上,而不是在如何破解系统或进行社会工程方面的正式培训;考虑到我所遇到的糟糕的安全性,我从未使用过任何高级技能。换句话说,它一点也不像在网络安全计划会发生什么。
当然,美国国家安全局确实有一些人的工作重点是安全,像我一样,他们在了解了行动或网络之后进入了这个领域;他们不会从“安全”做起,除非这是一个入门级的工作,而且是在高层人士的指导下进行的
美国国家安全局不单单是采取这种方式。其它情报和军事机构,政府承包商,大型银行和其他领导人在实现强大的安全计划侧重于查明的人与合适的资质和相关的技能,然后给他们正式的和在职培训,以胜任填充安全有关的角色。
有一个在每个行业相似的动态。我们没有听到关于工程公司哀叹缺乏人与桥梁工程学位,或抱怨毕业生在摩天大楼架构度的缺乏建筑公司。军方并没有哭出来,它无法找到谁是在战斗中已经受过训练的新兵。那么,为什么会有这么多的政府机构和私营部门的企业哀叹缺乏网络安全的专业人士?这里是让我疯了这一点:它确实弊大于利坚持更多的人来向他们的网络安全度;那些持有学位只是永远不会是作为知识和能力作为安全为重点的专业人士,组织可以成长自己。
你可能会认为组织都意识到这一点,因为他们显然百姓过去与网络安全度,所有的时间。跟我谈过的数十人谁也不能被录用,因为他们不具备低层次职位所需的技能和能力的网络安全度。但糟糕,因为它是网络安全度不适合入门级的安全位置的技术不够,他们也都是通常不是技术不够任何在计算机领域的入门级职位。
在任何情况下,安全位置不是入门级的职位,如果你这样对待他们,你将有可怕的安全性。最好的安全从业者在技术方面的经验和处理,他们应该有保障。如果您不是一位经验丰富的开发人员,你不必站立告诉人们如何保护自己编写的代码。如果你没有经验的系统管理员,你不能保持系统的安全性。如果你没有经验的管理员,您不能保护数据库。如果你在设计一个网络没有经验,不能胜任设计一个安全的网络。
安全专业人员是随着时间发展起来的就像每个专业的专家,包括计算机专业的其他学科的专家一样:你被分配一个与你的技能水平一致的职位,在工作中学习并接受适当的培训。就是这么简单。你可以通过找一个具备最低技能的人来“创造”一个安全专业人员——通常是一个有几年经验的计算机专业人员——然后让他们通过在职培训、导师和正式培训来学习安全相关的技能。我的意思是,想想看:在许多情况下,防火墙已经安装和维护了多年,却没有网络安全项目的新毕业生的帮助。
这似乎占上风这些天的方法 - 寻找谁已经拥有合适的技能和经验的新员工或雇用他们从另一个组织了 - 是行不通的。但是,为什么那么多的人相信有安全专业人员的短缺。
我可以向你保证一个称职的计算机专业的有五年工作经验会比与网络安全度的一个新的毕业生更有效。我不是说培训,包括网络安全学位和证书,是没有价值的,但他们很少是实践工作经验的匹配。
相反,组织应在内部寻找熟练的计算机专业人士谁,尽管有安全没有既定经验,能很快适应安全角色。这些人确实存在,他们的现实世界的经验走得更远比任何数字证书或学位。
当然,这将是巨大的,有很多人必要的安全技能,吵着要填写您的安全位置。但是,除非你有一个程序,以找到组织内的人才和为他们提供就业机会和培训,将他们武装起来与安全专业知识,要创建自己的网络安全技术人才短缺。不要唉声叹气,当你的组织是太便宜这些人是不存在的或狭隘的在内部和提供培训的样子。
忘了找人与网络安全度。忘掉雇用黑客。寻找人与愿意扩大他们的技能。我保证你会不停抱怨缺乏人才,以及您的安全计划将从中受益。
艾拉温克勒安全管理公司的总裁和这本书的作者间谍在我们之中。可以通过他的网站联系他,securementem.com。
这个故事,“网络安全技能短缺的神话”最初发表于《计算机世界》 。