In einem von drei Whitepapers zur Cloud-Sicherheit, die heute von der Leviathan Security Group veröffentlicht wurden, enthüllte das Unternehmen den problematischen Einstellungsprozess von infosec – wo Lösungen bestenfalls ruinös erscheinen.
In einem von Drei Cloud-Sicherheits-Whitepapers, die heute von der Leviathan Security Group veröffentlicht wurden, enthüllte das Unternehmen den problematischen Einstellungsbogen von Infosec – wo Lösungen bestenfalls ruinös erscheinen.
Besondere Funktion
Der Stand der IT-Jobs: Gewinner und Verlierer
Die beschäftigungsfähigsten Technologen der Zukunft werden diejenigen sein, die das Gesamtbild sehen, das Geschäft verstehen und sich an die tiefgreifenden Veränderungen in der Technologie anpassen können.
Lies jetztDas heißt nicht, dass der Bericht genau dies besagt; lesen Leviathans „Knappheitsbericht“. Überzeugen Sie sich selbst und sehen Sie, warum wir uns Sorgen um „Establishment“-Lösungen für das machen, was wir als Kulturkonfliktprobleme ansehen.
Vorher:
- Einstellungskrise im Bereich Cybersicherheit: Eine beunruhigende Entwicklung
- Einstellungskrise im Bereich Cybersicherheit: Rockstars, Wut und das Milliardenproblem
Zu keinem Zeitpunkt in der Geschichte bestand ein größerer Bedarf an der Einstellung von Sicherheitsexperten zum Schutz und zur Verteidigung Infrastrukturen vor einem unerschöpflichen Ansturm von organisierter Kriminalität, Skids, Industriespionage und Nationalstaatlichkeit Anschläge.
Das Forschungsteam von Leviathan berichtet: „Derzeit sind weltweit mehr als eine Million Stellen im Bereich Cybersicherheit unbesetzt.“ Sicherheitsanforderungen könnten nicht erfüllt werden, wenn jeder Mitarbeiter bei GM, Costco, Home Depot, Delta und Procter & Gamble Sicherheitsexperten würde morgen."
Wenn das Konzept von Delta funktioniert SicherheitOperationen ist nicht schon beunruhigend genug, fügt der Bericht hinzu,
Diese eine Million Stellen umfassen Branchen, Spezialisierungen und Anforderungen; Darüber hinaus sind etwa 25.000 von ihnen im Bundesbeamtendienst der Vereinigten Staaten tätig.
Wenn Sie glauben, dass es sich hierbei um eine Art Hype handelt, stolzieren Sie mit Ihren nicht geschlechtsspezifischen, hochmütigen High Heels zum Bericht und springen Sie zu den Zitaten.
Ein kleiner Talentpool, eine aufgeblähte Lohnblase und die hohen Spannungen einer virulenten Angriffslandschaft haben die Personalkrise im Bereich Cybersicherheit zu einem buchstäblichen „Milliarden-Dollar“-Problem gemacht.
Der Bericht – richtiger Name“Analyse von Cloud vs. Lokaler Speicher: Fähigkeiten, Chancen, Herausforderungen„ – erklärt kurz und bündig die Lösungen, die aus den etablierten Klassen kommen: Im Grunde geht es entweder darum, Talente abzuwerben aus anderen Ländern kommen oder jeden dazu bringen, aufs College zu gehen, einen Abschluss zu machen und ihn fünf Jahre nach seinem Abschluss einzustellen Erfahrung.
„Die erste Kategorie von Lösungen“, beschreibt Leviathan, „für ein Land, in dem es an qualifizierten Sicherheitskräften mangelt, besteht darin, einen Experten zu finden.“ Sicherheitskräfte in anderen Ländern und deren Mitnahme (entweder vorübergehend, bei Bedarf oder dauerhaft) in das Land Mangel."
Es befasst sich eingehend mit den Vor- und Nachteilen der Einwanderung in die Schengen-Zone (der europäischen). Union, ohne Großbritannien/Irland), plus die veralteten Ineffizienzen mit Infosec- und NAFTA- und H1-B-Visa, und erklärt,
Notwendigerweise muss jeder Sicherheitsexperte (oder sonstiger Experte) aus einem anderen Land stammen, was für ihn jedoch einen Gewinn darstellt Der Wissenspool der Vereinigten Staaten stellt einen Verlust an Erfahrung und Talent aus ihrem Land dar Herkunft.Während Artikel 12 des Internationalen Pakts über bürgerliche und politische Rechte von Ländern verlangt, Auswanderung zu erlauben (in den meisten Fällen). Fällen) kann ein „Brain Drain“ in diesem Ausmaß im Extremfall als Bedrohung für die nationale Sicherheit der Länder angesehen werden Herkunft.
Die andere Lösung besteht darin, mehr Hacker zu gewinnen – aber nicht, wissen Sie, Hacker – ist ebenso voller dringender Probleme. „Die zweite Lösungskategorie besteht darin, Hausangestellten ein ausreichendes Maß an Fachwissen zu vermitteln Sicherheit (...), aber das ist ein mehrjähriger Prozess ohne kurzfristige und mittlere Fortschritte auf Expertenebene Begriff."
Der Bericht beschreibt detailliert staatlich geförderte Bildungsinitiativen zur Identifizierung und Ausbildung von Talenten im Bereich Cybersicherheit, darunter im Globalen Norden und in den BRICS-Staaten Länder (Brasilien, Russland, Indien, China und Südafrika), die Cybersicherheitsprogramme des Vereinigten Königreichs, das TEMPUS (Trans-European Mobility Program for European Studies) sowie Unternehmens- und Non-Profit-Gruppen, die versuchen, das Interesse der Informationssicherheit an MINT zu wecken Felder.
Diese Programme können jedoch nicht schnell oder effektiv genug skaliert werden, um der übergroßen Nachfrage nach Fachwissen gerecht zu werden. Um ein anschauliches Beispiel zu nennen: Die fortschrittlichen, vom GCHQ geleiteten Cybersicherheitsprogramme des gesamten Vereinigten Königreichs werden ab 2017 pro Jahr nur 66 Doktoranden mit Schwerpunkt Cybersicherheit hervorbringen.
Aber genau in diesem Abschnitt trifft der Scarcity-Bericht einen bestimmten Punkt auf den Punkt, an dem der Infosec-Bericht den Nagel auf den Kopf trifft.
Kritischer Fehler: Du bist gegenüber der Sicherheitskultur taub
Im Bereich der Bildungslösungen gilt derzeit die gängige Meinung: „Masterabschlüsse sind unerlässlich, um eine Belegschaft im Bereich Cybersicherheit mit fortgeschrittenen Fähigkeiten auszustatten.“
Besondere Funktion
Sicherheit und Datenschutz: Neue Herausforderungen
Während sich Big Data, das Internet der Dinge und soziale Medien ausbreiten, bringen sie neue Herausforderungen für die Informationssicherheit und den Datenschutz der Benutzer mit sich.
Lies jetztAllerdings räumt der Bericht ein, dass es Jahre dauert, bis man nach einem Abschluss Erfahrungen sammelt. Gleichzeitig können wir auch argumentieren, dass die aktuelle konventionelle Weisheit in der Infosec-Kultur anerkennt, dass viele der besten und Die klügsten (und einige der erfolgreichsten) haben keinen Abschluss und wären für diese neueren „Master-Abschlüsse“ wahrscheinlich nicht anwerbbar. Standards.
„Knappheit“ ist fantastisch, bietet jedoch eine Analyse zweier wohl zutiefst fehlerhafter Lösungen, die verfolgt werden (die für einige, wenn nicht viele Organisationen kurzfristig den Untergang bedeuten).
ZDNet wandte sich an Leviathan mit der Frage, ob ihr Team bei seiner Recherche zu „Scarcity“ auf eine dritte Möglichkeit gestoßen ist oder sich diese vorgestellt hat, die sonst niemand sieht?
In der Tat haben sie das getan, aber bei den „Establishment“-Typen wird es wahrscheinlich nicht gut ankommen.
James Arlen, Director of Risk and Advisory Services bei der Leviathan Security Group, sagte gegenüber ZDNet: „Der interessanteste Aspekt des Buches.“ Das Problem des „Lernens“ ist das einfachste – nur weil man über etwas liest, heißt das noch lange nicht, dass man eine Vorstellung davon hat, wie es funktioniert üben."
Er fügte eine Realität hinzu, die vielen Infosec-Fachleuten nur allzu gut bekannt ist – die aber besorgniserregenderweise den Entscheidungsträgern bei der Einstellung von Infosec-Mitarbeitern zu entgehen scheint. „Wenn man das auf etwas verlagert, das kritische Infrastruktur betrifft, wird dieser Master-Absolvent mehr tatsächlichen Schaden anrichten als.“ Der Grobian, dem es an Stammbaum mangelt (aber dessen Wand mit Konferenzabzeichen bedeckt ist), wäre für ihn am offensichtlichsten vermeidbar gewesen Ergebnis."
ZDNet fragte Herrn Arlen – den Hauptautor des Berichts –, ob er eine dritte Lösung sehe, eine, die im „Scarcity“-Bericht nicht offensichtlich war. „Es gibt noch eine dritte Option“, sagte er, „aber es ist die, vor der die Branche zurückschreckt – wir müssen sie tun.“ Wechseln Sie zu einem „Lehrling/Geselle/Meister“-System (oder wählen Sie aus, welche Anwälte, Buchhalter, Ingenieure, Ärzte, usw. Nutzung – ein skaliertes System, bei dem Sie Erfahrung sammeln müssen, bevor Sie selbstständig agieren dürfen.“
Dies hätte mit ziemlicher Sicherheit Auswirkungen auf die SANS/ISC2/ISACA-Gruppe und würde ein Maß an integrierter Zusammenarbeit erfordern einfach noch nicht Teil des Reifepfads der Leute, die Infosec betreiben – denken Sie an die Kluft zwischen den Praktikern vor Ort und den Gemeinschaft.
Arlen sagte gegenüber ZDNet: „Ich würde gerne eine Woche mit 10 Spezialisten aus den Bereichen Informationssicherheit, Bildung, selbstregulierte Industrien und Regierung verbringen und überlegen, wie ich zu mehr werden kann.“ ausgereiftes System mit definierten Wegen für Menschen, die ganz nach oben klettern wollen, und auch für Menschen, die in einem bestimmten Bereich Spitzenleistungen erbringen wollen Studie."
Es scheint, als ob in der Informationssicherheit allzu oft jeder gerne über Probleme redet und daraus ein Drama macht Berichte über Ergebnisse, aber nur zu wenige bieten Lösungen an, die nicht „mein Produkt kaufen“ sind – also war ich froh, dass ich es getan habe fragte.