för 500 ord i framtiden
| November 15, 2019 — 09:31 GMT (09:31 GMT)
| Ämne: Säkerhet
Cybersäkerhet: Hur tekniken kan påverka din organisations mål
Dr Larry Ponemon, ordförande och grundare av Ponemon Institute, talar med Tonya Hall om de olika tekniker som skulle kunna hålla organisationer från att nå sina it-säkerhet mål.
Det finns nästan 3 miljoner människor som arbetar i it-säkerhet över hela världen, enligt 2019 (ISC)2 Cybersäkerhet Arbetskraft studie.
Problemet med det är att vi behöver ytterligare 4 miljoner människor för att fylla nuvarande och framtida säkerhet jobb.
STORBRITANNIEN har runt 289,000 människor vars arbetsuppgifter ingår ansvar; EMEA som helhet behöver ungefär samma antal extra personal: 65% av företagen i studien säger att de inte har tillräckligt med personer som arbetar med säkerhet, och en tredje säger att det saknas kompetenta och erfarna säkerhetspersonal är en av deras största sysselsättning bekymmer.
SE: 10 tips för nya it-proffs (gratis PDF)
Det är en truism att “varje företag är ett it-företag”, men enligt LinkedIn 61% av utvecklare jobb i organisationer utanför den faktiska teknik branschen så det är verkligen en hel del företag som förmodligen räknas som teknik för företag oavsett verksamhet är – och varje organisation förlitar sig på tekniken för att driva sin verksamhet.
Det betyder att varje företag har behov av säkerhetspersonal och sannolikt kommer att ha problem med att anställa dem.
En del av problemet är hur människor att komma in i it-säkerhet. Endast 42% av de yrkesverksamma säkerhet i undersökningen började jobba i området. Det finns några universitet och högskolor i it-säkerhet, och det är inte ett A-nivå eller GCSE i säkerhet. Det finns massor av certifieringar (inte minst CISSP program (ISC)2 åk) och nästan hälften av de organisationer i undersökningen är att öka deras utbildning budget för säkerhet – men cross-utbildning av befintlig personal som inte går att fylla hela gapet. Och att få folk intresserade av att få en certifiering måste de få veta att det är ett lönsamt karriär i första hand.
“När du väljer vad du ska göra i ditt liv, har du förmodligen göra ditt val när du väljer din universitetet och din kurs, och även det första år på universitetet kan det vara för sent [för att nå människor],” säger (ISC)2 styrelseledamot Biljana Cerin. “Jag tror att vi behöver för att ge gymnasieelever lite mer information om området och olika aspekter av det.”
Det finns massor av bootcamps och kampanjer för att uppmuntra till barn (och vuxna som vill byta till en teknik jobb) för att gå in kodning, det är långt färre undervisning, administration eller säkerhet. US Air Force kör en “cyber patriot’ utmaning för universitet och högskolor som omfattar Windows, Linux och Cisco-switchar i en efter-skolan-klubben, men säkerheten inte har samma höga profil som robotik eller webbutveckling. (I själva verket, de flesta skolbarn antagligen få sin första introduktion till säkerhet när skolan stänger av dinosaurie spel som är inbäddade i Krom eller block Gmail och de vänder sig till dataintrång för att försöka få tillgång till.)
I STORBRITANNIEN, Institutet för Teknik och teknologi är på väg en grupp, med stöd från Institutionen för Digital, Kultur, Media och Sport, om man tittar på hur professionalisera säkerhetsbranschen och som måste få in det i läroplanen. “Branschen har varit höljd i mysterium: det är som en klubb som är svårt att komma in,” medger (ISC)2 MD Deshini Newman. “Vi måste göra det mer mainstream, mer tillgänglig och transparent.”
Vad gör upptagen säkerhet proffsen göra hela dagen?
Det finns en hel del antaganden om vilka som arbetar i säkerhet och vad de gör det bara inte är sant längre. Experter på säkerhet behöver inte vara hackare och utvecklare, Cerin påpekar: det finns en hel del olika roller i säkerhet. “Är du hantera regelefterlevnad? Eller är du hantera en brandvägg och gör paket analys? De är mycket olika expertområden, och de drar till sig mycket olika personer. I säkerhet och det finns lite något för alla.”
Att bredden kan vara förvirrande. “Det finns så mycket där ute och om du inte har en tydlig väg framåt och det är en massa spagetti att reda ut, om du inte har en massa hjälp och mentorskap,” en annan (ISC)2 styrelseledamot Jennifer Minella berättade för oss.
Det faktum att de flesta anställda inte vet vad deras säkerhet laget inte – bortsett från att sätta anti-virus program på sin maskin och kanske skicka ut falska phishing-meddelanden för att testa säkerhet medvetenhet – är en del av problemet. Säkerhet behöver inte meddela nya projekt eller kvartalsvisa mål för hur försäljning och marknadsföring avdelningar göra. De är inte i planering av möten eller standups med utvecklare. De sitter i en annan avdelning och de inte får kallas det tills ett projekt är redo att skickas – eller om något går fel.
Traditionellt, säkerhet var provinsen nätverk admins och andra systemadministratörer som säkrade system de var med att konfigurera. Och tidigt säkerhet proffs i USA kom ofta från en militär bakgrund, Minella poäng ut, vad de hade med sig var en kultur och attityd som ledde till att säkerheten är vad (ISC)2 chief operating officer Wes Simpson beskriver som “kultur nej, inte den kultur av att gå”.
Men precis som DET lag som är med att arbeta närmare med business teams (eller ersättas av molntjänster), säkerhet måste gå igenom samma skift och börjar prova på nya saker, Simpson uppmanar.
“Trygghet inte vill hämma verksamheten, vill vi göra det möjligt, stödja och påskynda. Hur vi gör det är att komma med tidigt i analysen skede, att upptäcka vad behoven är och gör säkerhetsbedömningar av plattformar och teknik för business teams tittar på.”
SE: effekterna av Brexit på CISOs
Som kan avslöja problem som företagen inte vill bli utsatt för, och det låter företagsledare förstår vilka konsekvenser det skulle vara eller vad risk åtgärder de behöver för att sätta på plats. “Allt detta är lösbara: det är kommunikation, det är med säkerhet och IT-partner, med verksamhet och ha en plats vid bordet.” Och det innebär att anställa någon med funktionella, operationella och ledarskap.
“Brainstorming, kommunikation, samarbete och samarbete: några år tillbaka de som inte värderas i it-säkerhet. Vi ville bara det bästa och ljusaste och den teknik expert, men nu behöver vi någon som kan prata och kommunicera och underlätta. Vad vi börjar se är att de typiska CISO och säkerhet roll är morphing från att behöva den traditionella datavetenskap bakgrund till en mycket mer varierande, icke-teknisk bakgrund. Säkerhet ledare har för att tolka data och berätta en historia som kommer att vara meningsfull för CFO, VD till styrelsen.”
Människor med de kunskaper som kanske inte har en säkerhet som bakgrund, eller en infosec grad, så att organisationer behöver tänka annorlunda om hur de anställer och som de ser ut. Liksom fylla den öppna jobb, det kan även bidra till säkerhet team anta den typ av experiment som håller på att bli så viktigt för innovation i andra delar av verksamheten.
Det är en lång väg från institutionen för nej – eller ens avdelningen för “inte som det” – och det är en mycket mer intressant jobb. Börja tänka på säkerheten så att du kan ha ett mycket mindre problem att fylla dessa jobb säkerhet.
CXO
Tidigare Twitter CISO delar med sig av sina råd för IT-säkerhet anställa och it-säkerhet
Salesforce: Varför vi övergav Python för Googles Gå språket i Einstein Analytics
Vad är en CIO? Allt du behöver veta om Chief Information Officer förklarade
IT-säkerhet-och sjukvårdspersonal är rädda för sina toaletter (ZDNet YouTube)
Facebook är “beroendeframkallande, det är dåligt för oss,” säger Salesforce VD (CNET)
Topp 5 dos och inte bör göra i tech etikett på jobbet (TechRepublic)
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
för 500 ord i framtiden
| November 15, 2019 — 09:31 GMT (09:31 GMT)
| Ämne: Säkerhet