人才短缺是个“入门级”问题

作者:星期三, 八月 30, 20170
分享:

整个安全领域都在抱怨信息安全人才的短缺。短缺确实存在,但并不是一条巨大的鸿沟,而是一系列山谷和裂缝,每一条都有不同的特征。除了承认短缺的存在,我们需要仔细勘察地势,才能得出跨越它的路线图。

信息安全的很多领域绝对存在人才紧缺情况。ICS和SCADA安全人员就是一个新兴领域。高技术恶意软件逆向工程师是众人追逐的抢手货。能保卫急速扩张中的微服务和API的云安全架构师供不应求。能打造测试工具的顶级渗透测试员凤毛麟角。毫无疑问,此类技术人才非常罕见。

该人才短缺的情况并非仅仅因为缺乏熟练的安全专业人员造成。随着人们渐渐认为所有系统都需要一定程度的安全控制,以及想让世界上所有东西都成为带个IP的软件,新安全工种像雨后春笋一样纷纷冒头。需要审查的技术在以指数级速度增长,对这些系统的测试往往需要高技术安全专业人才,而我们目前并没有如此巨量的人才储备。

有很多方法来获得信息安全技术:从帮助台开始,转向系统工程或开发,学习利用技术解决企业面临的问题。这将教会你在新安全威胁冲击下平衡业务需求、新技术和遗留系统。这些经验的价值再怎么强调都不为过。成为信息安全专业人才的最佳途径,就是从其他IT角色积累经验,但这并非唯一一条道路。我们不能仅仅依赖职业专家;我们还需要真正入门级角色的新鲜血液。

为填补人才缺口,我们不仅需要发展刚参加工作的入门级信息安全职位,还需要纳入希望在职业生涯稍后阶段转向信息安全的IT人士。我们需要扩展我们对“入门级”在信息安全领域的认知。

定义信息安全和入门级

人才短缺的主要分歧,似乎是信息安全不是入门级职位的想法。对某些角色而言,这一点不可否认。但是,信息安全不可能全都是渗透测试和恶意软件逆向工程之类极其复杂的非标准工作。我们得仔细思考入门级到底意味着什么。

它可以是刚出校门的大学生,也可以是有着大量IT经验但想转向信息安全的IT老手。保持企业安全所需的基本安全卫生需要大量的工作,而这些工作可被处在职业生涯两端的人士共同完成。

医学专业学生毕业的时候,他们会进入医生实习期培训项目。住院医生实习期间,他们会在经验丰富的医生指导下,处理各种病症的患者。如果医学生刚毕业就能在在职指导下处理生命攸关的工作,我们同样可以找出让人在信息安全领域成长的道路。

延续医学方面的类比,外科医生不在手术室里消毒工具,他们依靠清洁的设备预防感染,由经受训练的技师负责恰当地清洁这些设备。这些技师在医疗领域工作。希望转行到信息安全领域的IT专业人士与之类似。护士往往会成为执业护师。他们在医疗领域习得技能,然后在下一个角色中应用这些技能。我们也可以创建不需要几十年信息安全经验就能产出积极结果的安全职位。

这里的关键,就在于对概念和技术的基本理解,以及通过适当的培训执行定义良好的过程。让经验丰富的“理疗师”进驻安全运营中心(SOC)分析数据包、评估日志或审查补丁报告会很难。因为理疗师欠缺IT系统、网络或日志的基本常识。这是入门级安全角色方面被混为一谈的纷争点。

没人会提倡任意技术水准的任何人都可以进入任一信息安全角色。让刚出校门毫无经验的大学生,独自对生产系统进行渗透测试,轻则纰漏频出,重则引发灾难。期待Windows系统管理员了解有关Linux权限的所有事,也是不现实的。

然而,在试图提升环境安全的时候,两种人员都是有价值的。经由定义良好的过程且恰当培训过的人员,可以对企业安全产生重大积极影响。入门级大学生可为旧有安全任务带来新的观点,而成熟IT专业人士了解大学毕业生从未见过的各种问题。将“入门级安全角色”扩展至处在职业生涯两端的人,可以弥合安全人才缺口。

不是每个人都能/应该成为摇滚巨星

人才缺口问题的关键:我们一直相信,因为某些安全难题的超级复杂性,能解决这些问题的人才是“万里挑一”的。然而事实真相是,大多数数据泄露,都是网络钓鱼邮件、错误配置、口令重用和补丁缺失之类的“小”问题导致的。

我们不能一边哀叹人才短缺,一边抱怨自己没能在自身安全项目中覆盖基础措施。你的顶级人才可以处理审核和强化系统指南、修复和评估网络钓鱼邮件等等工作,但这是对他们技能的浪费。

如果我们观察可以预防数据泄露的角色所在领域的人才缺口,你会看到急于进入信息安全领域的劳动力大军。我们不能依靠处在职业巅峰的安全多面手来解决所有信息安全问题。对他们的需求是永无止境的。

甚至医疗结果也并不全由医生决定。护士、X光透视技师、理疗师等等大量人员,都对成功的医疗健康成果有所贡献,而他们未必都有几十年的医学院校和职业经验。医生负责处理复杂问题,而其他人搞定标准流程。信息安全也可同理处置。

文档缺乏加剧了人才短缺问题

如果你的IT过程没包含良好的文档记录,你将有两个非常可能的结果:老练的安全团队疲于奔命,测试红队入侵你的系统如入无人之境。

花费大量金钱试图将安全寄予不良IT过程的公司,只能看到公司安全不断限于失败之境。修复范围将随“新”问题系统的发现,以几何级数扩张。这些公司将怪罪安全人才短缺,因为他们认为只有信息安全超级英雄才能拯救自己。

只要你的IT过程有良好的文档记录和控制,让安全新人在团队高级成员指导下处理定义良好的安全过程,就能实现相对的风险屏蔽。

正确定义过程,以及创建自动故障恢复机制限制修复团队成员转向信息安全角色,也会有所帮助。你不仅可以卸下顶级安全人才身上的一些繁琐任务负担,还可以培养渴望成为信息安全专业人士的新人才。

别爱上人才缺口,要关闭它

如果作为招聘经理,却只是在抱怨人才短缺,不积极支持实习项目或跨部门成长,那你就是问题本身的一部分。不是每个安全角色都一上来就要求CISSP、40年Python脚本编程经验、至少两个被接受的CVE、一个硕士学位。

你也不应该仅仅因为从未在“安全”行业工作过,就无视掉其他适格的IT人员。想象一下,如果连采血、拍X光、维护核磁共振设备和分发药品之类的工作,都只能由医生来做,那医药行业的人才缺口规模会有多么庞大。

如果你的环境太过复杂,以致无法定义任何过程,新团队成员无法照章执行,那么全球顶尖安全大师也无法保住你不遭受数据泄露。先从找出自身基本缺口位置,定义项目实习生、初级员工和跨部门合作伙伴可以上手的地方开始。

大多数抱怨安全人才缺口的公司,可能都对自身IT系统没有准确而完整的清单。这就是有点IT知识的人都能辅助做好的单调体力活,但却能让他们接触到资产管理在安全中的重要性,开始培育有望关上人才缺口的劳动力储备。如果你想要跨越鸿沟,从造桥开始吧。

小心缺口

我们可以通过创建入门级角色通路来补上人才缺口。这些角色可以由刚入职的人,或者别的领域工作后希望在信息安全领域迎接新挑战的人来填充。

我们必须从已经过劳的顶级安全资源身上,卸下商品化安全任务的重担,交给热切的新安全人才。规范角色并隔离它们,这样我们就不会陷入新人拿着鸡毛当令箭造成严重后果的境地。在驮马可以胜任的时候,就不要再尝试雇佣安全独角兽了。

我们需要将信息安全领域当成提升公司整体安全的专业人士联盟。我们可以培养出不用每个人都处于职业巅峰的专业人士。如果我们这么做了,就可以在一代人之内,将人才缺口从大峡谷,弥合到小山涧的程度。

相关阅读

NIST发布网络安全劳动力框架
安全人才短缺?借助其他领域吧!

 

分享:

相关文章

写一条评论

 

 

0条评论