设立职业机构提供网络安全从业者职业技能等级评定标准的想法已经讨论了很多年。如今,英国政府明确提出要建立这样一个机构以“发展网络安全职业”,并拟在2020年获得皇家特许头衔。
除了名字不对,这完全就是网络安全的职业化。该提案并未提及“管理”一词,但正如英国医学总会管理着医疗从业人员,“未来的”英国国家网络安全委员会或许最终会统管网络安全从业人员。
所谓管理,可能包括设置并要求网络安全职业资格证书,设立特定行业所需的职业资格等级。虽然这终将提高很多网络安全从业者的技术水平,但也意味着可能会有一些从业者因为没获取到预设的职业资格级别而无法被某些公司企业雇佣。
一份题为《发展英国网络安全行业》的咨询文档中指出,这并非政府提案的必然结果。但该项咨询已于2018年8月31日截止,英国政府目前正在分析反馈。
提案
提案表明,到2021年网络安全职业会提供4个特定发展主题,分别为职业发展、职业道德、思想领袖与影响,以及外延与多样性。每个主题后面都跟着一个或多个相关咨询问题。
支持拟议国家网络安全委员会角色的是CyBOK项目——英国布里斯托大学教授 Awais Rashid 主导的网络安全知识体系发展项目。CyBOK项目旨在编撰网络安全领域的基础及公认知识。
该项目目前正在进行中。第一阶段于2017年10月完成,定义了19个网络安全知识域(KA)。
19个KA设定了网络安全的范围,塑造了培训、标准设置、专家意见传播和职业化推进的方式方法。
CyBOK的19个KA
这里面有很多好的建议。比如说,政府希望支持该职业机构的建设,但在之后要放手,让该机构保持完整的独立性。
然而,值得吐槽的地方一样很多。首先,这不是一份讨论该做什么的文档,而是指导该怎么做到已经决定了的事的指南。说白了,就是告诉你要怎么组建国家网络安全委员会。
更值得注意的是,这个委员会是要由现有组织而不是个人构成。提案中称:我们设想,委员会不由个人成员构成,而是来自组织之间的联合,由现有职业机构和其他对网络安全感兴趣的组织组成。
尽管没人会否定这些现有组织做出的巨大贡献,但事实是,它们基本上都是售卖证书的公司。
真正要代表的个人网络安全从业者反而没有直接代表加入,那这个机构的建立本身就值得商榷。
来自现有职业机构的支持
现有网络安全职业机构表达了强烈的赞同意愿,并联合起来组建了一个“联盟”以支持政府的提案。
该联盟目前包含的成员组织有:英国计算机学会(BCS)、英国特许IT协会、英国特许人事与发展协会(CIPD)、英国特许鉴证科学学会(CSofFS)、CREST、英国工程师委员会、泛美认证合作组织(IAAC)、分析师与程序员协会(IAP)、英国工程技术学会(IET)、信息安全专业人员协会(IISP)、英国测量与控制学会 (InstMC)、信息系统审计与控制协会(ISACA)、国际信息系统安全认证联盟(ISC)2、techUK、英国安全协会,以及信息技术专家公司(WCIT)。
(ISC)2欧洲、中东及亚洲常务董事 Deshini Newman 就表示称:发展建设国家认可的职业机构并考虑取得国家特许地位,可以令我们的职业成熟度取得重大进展。英国在这方面走在了世界前列,为世界其他国家政府树立了榜样。我们很乐于支持他们的工作。
ISACA董事 Michael Hughes 补充道:我们认为,优先设立网络技能基准和更加注重高技术网络安全人才的培养输送,令联盟得以作为一份宝贵的资源对英国国家网络安全战略加以支持。
IISP主席 Alastair MacWillson 博士则表示:IISP从一开始就参与了这项倡议。这些讨论促成英国文化传媒与体育部(DCMS)去年7月开始咨询创建新的英国网络安全委员会,以发展英国的网络安全职业。政府通过这项倡议提出的,是信息安全职业最为深刻的治理发展方案。
现有职业机构会支持政府的职业化道路并不令人意外——不支持的会让位于支持的那些。但从业者的声音在提案或者对提案的支持中并没有地方安放。
来自一线的观点
现有网络安全从业者及个人安全顾问对提案的看法则与职业机构不同,有人认为是个不错但难以实行的主意,有人则对此持有保留的反对态度。
坦帕城信息安全官 Martin Zinaich 长久以来都倡导为能保持职业水准的网络安全从业者成立一个职业机构。他发现英国的这个提案与自己的看法不谋而合。
他认为,职业化不仅仅是个好主意,还是改善网络安全整体质量的重要步骤。不过,他对政府的涉入有点担心,觉得政府提案中建议的参与度比较合适,但不太可能实现。他一直以来的观点都是,职业化不可避免,但如果不是由从业者自己进行,政府就会强加给他们。
技术、互联网和IoT之类无处不在的基础生命线不会受到严加监管的想法,随着安全事件在数量和影响上的不断扩张而显得无比短视。我们要么主导职业化进程,要么被领导。
成立职业机构促进专业技能发展的概念受到广泛欢迎,但政府参与却值得商榷。
全球身份基金会CEO,耶利哥论坛共同创始人 Paul Simmonds认为,基本上,这是个好主意。事实上,10年前他就开始支持成立IISP了,这也正是Paul希望的网络安全职业机构的样子。
与很多其他职业机构不同,安全行业发展进步的速度比其他行业快上一个数量级。于是,定义资格标准的‘大人物’们能不能跟上发展变化的脚步?我们会不会被迫继续实现90年代的边界化网络?这些我们也必须考虑到。
《网络安全初学者入门》一书的作者 Raef Meeuwisse 则认为该提案是个很糟糕的想法。
现有网络安全专业人士会对比国家培训标准的额外开销或要求,然后觉得:不是这样的。他们会用脚投票,将自己的技术能力转移到更符合实际的国际雇主那里。
Meeuwisse认为,顶级人才极少为证书操心,这不仅是因为他们的才能说明一切,更因为培训和认证内容往往滞后现实操作很多年。
他担心国家网络安全委员会不仅不会提升网络安全职业化水平,反而会将最有才的专业人士逼出英国。Meeuwisse甚至提到:任何国家注册或要求都只会成为吓跑顶级网络安全人才的威慑力量,因为顶级网络安全人才的成功正是建立在具有全球视角上。
质疑国家认证必要性的不止Meeuwisse一个。三星美国研究院信息安全主管兼首席安全官 Steven Lentz 称:很多安全从业人员都没有安全资格证书或是什么安全协会的会员,但这并不意味着他们不了解自己的专业领域。他们可能从事安全行业十几年,只不过没时间去考证而已。会员和资格认证很有帮助,但要看工作,工作经验才是关键。
有经验的专业人士熟知本行业存在的问题。因为身处某联盟成员组织而不愿透露姓名的一位专家认为,安全领域如今依然存在一些长久以来的严重问题。这些问题与安全从业人员知识水平不足、缺乏对安全行为与方法的衡量评估、风险管理判断与决策糟糕、组织之间与组织内部各层级之间沟通不足、业务一致性有限,以及提供给利益相关者的安全保障不足有关。
他认为职业化网络安全有助改善这一状况,同时也有他自己的顾虑。
信息风险管理涵盖甚广,策略、架构、软件开发、运营、供应链风险、事件管理、业务持续性及保障都有涉猎。一个职业应覆盖这些科目及其他操作。将范围限制在网络安全上可能会太窄了。
他觉得CyBOK本身就是有问题的。但是前提是需要一个健壮、全面且平衡的框架来建立这个职业。他认为,CyBOK当前的内容是有问题的。原因有二:首先,治理、法律、监管和隐私功能已经有了自己的标准,为什么还要在CyBOK里再包含进来?其次,心理学、经济、决策理论、社会科学和统计学这些基础学科又为什么要排除掉?他指出这些基础学科才是有效网络安全的基础。
成立正式的网络安全职业机构是积极而受欢迎的一步,但有问题也正常。独立安全顾问 Stewart Twynham 承认,必须有所改变。
招聘广告上对网络安全人员的职位要求挺高,必须具备的培训和资格认证花样繁多。要取得这些资格,花费从5000英镑到2.5万英镑不等。而且往往还有经验和先决条件要求,仅这些要求就能刷掉一大票人。这种情况必须有所改变。但同时,我们也得注意一些非预期的后果。
所谓非预期后果,他指的是1986年 NHS Project 2000 护士职业化工程。32年过去了,NHS如今面临着其70年历史上最大的招聘危机——护士如今都是科班毕业,不再将护士这个角色迫切需要的软技能带入各家医院。
Cavirin市场营销副总裁 David Ginsburg 评论道:安全作为受认可的职业这种概念相当宏伟。然而,有可能面临固化的职业机构干预自由市场或阻碍新鲜血液加入的风险。
他认为,美国的“专业工程师”概念或许会是个有用的发展方向。他说道,折衷办法之一是设立像美国专业工程师(PE)这样的制度,这种体制下个体可以自由使用最新技术和方法。加州已经有了电子工程师、核工程师、交通工程师和化学工程师等等,网络安全工程师很容易上榜。
虽然大多数从业者觉得成立职业机构是个有点问题和难以实现的想法,但也有人对此持强烈赞同态度,如普利茅斯大学信息安全学院副院长兼教授 Steve Furnell
个人认为这是件好事。不仅仅因为强调了网络安全作为一个职业的重要性,也肯定了其自身价值而不是被看成IT的一部分,并且意味着任意合格的IT从业者都有尝试安全职位的可能。
他认为未必要以证书来证明会员资格,可以通过能力和技术证据加以确认。就像他提到的那样,资格和证书可以证明一些方面,但从业经验也应计入能力水平考虑范围。希望雇佣安全人才的公司企业最好招聘具备适合自家公司技术集的人,而持有职业机构会员资格可以作为证明这一点的一种方式。
作为德州达拉斯市的一名信息安全主管,Randy Potts 也支持成立职业机构的主意。他认为能得到的帮助不嫌多只嫌少,成立新的wyh/组织/机构可以获得更大的成功。这当然不会是最终解决方案,但新的委员会至少旨在明晰资格和职业道路,能够帮助到想要入行的人。
SANS和美国政府机构经常在框架方面合作共建。我也是澳大利亚国防部35强的支持者。新委员会似乎是此类倡议的扩展和深入。政府与外部团体合作是获取多元视角的良好方式。以色列国防力量和特拉维夫初创公司出产的大量网络安全人才就是例子。
要点
设立职业机构创建并维护网络安全标准的想法很好,但在实现上有很多需要注意的地方。
虽然2018年8月的征求意见期里个人从业者可以表达自己的观点,但个人从业者本身是被剔除在国家网络安全委员会成员之外的。也就是说,该委员会是作为控制组织存在,而不是所谓的从业者论坛。
现有的英国医学总会(GMC)可能成为国家网络安全委员会的组建模板。取得行医资格的执业医师在真正执业之前需到GMC注册,但因为观点不同而被“撤销资格”的医生例子并不在少数。
如果GMC是范本,那么安全产品供应商就有可能会对未来的“安全总会(GSC)”施加过多影响,正如现在制药公司就掌握着过多GMC话语权一样。
来自制药公司的影响已经成为了医疗行业的一大毒瘤。网络安全领域面临的风险与医疗行业类似。
政府是否会在组建完成后功成身退仍是个问题,国家网络安全委员会未必会是个完全独立的机构。政府总是自认为自己全知全能,但实际上作为高新技术领域的网络安全行业日新月异,政府在这方面的知识根本落后了一个世纪。政治因素过多对网络安全的发展全无好处。政府可以作为顾问的角色存在,但不应该插手委员会的日常运作。
如果成立网络安全职业机构的倡议取得成功,政府肯定不想放手;如果失败,整个倡议有很大可能性渐渐淡出人们视线,就好像政府从来没有过这项倡议一样。
执行细节决定成败。做对了,职业机构惠及国家、公司企业和安全从业人员。做错了,那就是一场不折不扣的灾难。
信息风险管理职业化应该是利大于弊的,虽然需要一些额外的管理。甚至,这有可能成为展现新兴职业如何作为典范引导其他职业的机会。或许有些理想主义,但机会确实存在。
最后还有一个问题值得考虑。如果成立统管职业机构是如此吸引人的一个概念,那为什么现有专业组织(比如“联盟”)不自己组建一个而非要等邀入政府干预之后呢?
《发展英国网络安全行业》咨询文档: