500 ord ind i fremtiden
| November 15, 2019 — 09:31 GMT (09:31 GMT)
| Emne: Sikkerhed
Cybersecurity: Hvordan teknologien kan påvirke din virksomheds mål
Dr. Larry Ponemon, formand og grundlægger af Ponemon Institute, taler med Tonya Hall om de forskellige teknologier, der kan holde organisationer fra at nå deres cybersecurity mål.
Der er næsten 3 millioner mennesker, der arbejder i internetsikkerhed i hele verden, i henhold til 2019 (ISC)2 Cybersecurity Arbejdsstyrke undersøgelse.
Problemet med det er, vi har brug for yderligere 4 millioner mennesker til at fylde nuværende og fremtidige sikkerhed arbejdspladser.
STORBRITANNIEN har omkring 289,000 mennesker, hvis arbejde omfatter sikkerhed, ansvar; EMEA som helhed har brug for omkring det samme antal ekstra personale: 65% af alle organisationer i undersøgelsen siger, at de ikke har nok folk, der arbejder i sikkerhed, og en tredje siger, at manglen på dygtige og erfarne security-team er en af deres største beskæftigelse bekymringer.
SE: 10 tips til nye cybersecurity fordele (gratis PDF)
Det er en floskel, at “enhver virksomhed er en teknologi virksomhed’, men ifølge LinkedIn 61% af de udvikler job i organisationer uden for den egentlige industri, så der virkelig er en masse virksomheder, der sandsynligvis tæller som teknologi-virksomheder, hvad deres virksomhed er – og hver organisation er afhængig af teknologi til at køre deres forretning.
Det betyder, at hvert enkelt selskab har behov for sikkerhedspersonale og det er sandsynligt, at have problemer med at leje dem.
En del af problemet er, hvordan folk komme ind cybersecurity. Kun 42% af de professionelle sikkerhedsfolk i undersøgelsen startede ud med at arbejde i feltet. Der er et par akademiske grader i internetsikkerhed, og der ikke er et A-niveau eller GCSE i sikkerhed. Der er masser af certificeringer (ikke mindst CISSP program (ISC)2 kører), og næsten halvdelen af de organisationer, der i undersøgelsen er at øge deres træning budget for sikkerhed, men på tværs af uddannelse af eksisterende medarbejdere ikke kommer til at fylde hele kløften. Og for at få folk interesseret i at få en certificering, de er nødt til at vide, at det er en levedygtig karriere i første omgang.
“Når du vælger, hvad du vil gøre i dit liv, har du sandsynligvis gøre dit valg, når du skal vælge dit universitet og din kurs, og selv de første år af universitetet kan være for sent til at nå mennesker,” siger (ISC)2 bestyrelsesmedlem Biljana Cerin. “Jeg tror, vi er nødt til at give gymnasieelever en smule mere information om området og de forskellige aspekter af det.”
Der er masser af bootcamps og kampagner til at få flere børn (og voksne, der ønsker at skifte til en teknologi, job) til at gå ind i kodning; der er langt færre undervisning IT-administration eller sikkerhed. US Air Force kører en “cyber patriot’ udfordring for gymnasier, som dækker Windows, Linux og Cisco-switche i en efter-skole-klub, men sikkerhed ikke har de samme høje profil som robotics eller web-udvikling. (I virkeligheden, de fleste skolebørn nok få deres første introduktion til sikkerhed, når skolen slukker den dinosaur spil, der er indbygget i Chrome eller blokke Gmail, og de henvender sig til hacking for at forsøge at få adgang.)
I det forenede KONGERIGE, Institut for Ingeniørvidenskab og Teknologi er på vej i en gruppe, med et tilskud fra Afdelingen for Digital, Kultur, Medier og Sport, som ser på, hvordan professionalisering af sikkerhedsbranchen, og som skal omfatte at få det i læseplanen. “Industrien har været omgærdet af mystik: det er ligesom en klub, der er svært at komme ind i,” indrømmer (ISC)2 MD Deshini Newman. “Vi er nødt til at gøre det mere mainstream, mere tilgængelige og mere gennemsigtig.”
Hvad har travlt security pros gøre hele dagen?
Der er en masse antagelser om, hvem der arbejder i sikkerhed, og hvad de gør det bare ikke sandt mere. Sikkerheds-eksperter behøver ikke at være hackere eller udviklere, Cerin påpeger: der er en masse forskellige roller i sikkerhed. “Er du styre politik overholdelse? Eller er du administrerer en firewall og gør pakke analyse? De er meget forskellige færdigheder, og de tiltrækker meget forskellige mennesker. I sikkerhed der er en lille smule af noget for alle.”
At bredden kan være forvirrende. “Der er så meget derude, og hvis du ikke har en klar vej frem, det er en masse spaghetti til at rede ud, hvis du ikke har en masse hjælp og vejledning,” en anden (ISC)2 bestyrelsesmedlem Jennifer Minella har fortalt os.
Det faktum, at de fleste medarbejdere ikke ved, hvad deres sikkerhed team gør – bortset fra at lægge anti-virus software på deres maskine, og måske sender falske phishing-meddelelser for at teste sikkerheden bevidsthed – er en del af problemet. Sikkerhed behøver ikke annoncere nye projekter eller kvartalsvise mål den måde, salg og marketing afdelinger gøre. De er ikke i planlægning af møder eller standups med udviklere. De sidder i en anden afdeling, og de får ikke kaldte det, indtil et projekt, der er klar til at sende – eller noget går galt.
Traditionelt, sikkerhed blev provinsen network admins og andre systemadministratorer, der sikrede de systemer, de blev konfiguration. Og tidligt sikkerhed fagfolk i USA ofte kom fra en militær baggrund, Minella point ud af; hvad de bragte med dem var en kultur og en holdning, som førte til, at sikkerhed er, hvad (ISC)2 chief operating officer Wes Simpson beskriver som “kultur nej, ikke den kultur, i go”.
Men lige som DET hold er nødsaget til at arbejde tættere sammen med erhvervslivet hold (eller erstattes af cloud-tjenester), behov for sikkerhed, til at gå gennem den samme skift, og start med at prøve nye ting, Simpson indtrængende.
“Sikkerhed ikke ønsker at hæmme virksomhedernes aktiviteter; vi ønsker at muliggøre, understøtte og fremskynde. Hvordan vi gør det er at blive involveret tidligt i analysen fase, at opdage, hvad de forretningsmæssige behov er, og gør sikkerheden vurderinger af platforme og teknologier business teams kigger på.”
SE: virkningen af Brexit på CISOs
Der kan afsløre, sårbarheder, at virksomheder ikke ønsker at blive udsat for, og det lader erhvervsledere forstå, hvad konsekvensen ville være, eller hvad risiko afhjælpninger, de har brug for at sætte på plads. “Dette er alle løses: det er kommunikation, det er at have sikkerhed, og DET samarbejdspartner med forretningen, og have en plads ved bordet.” Og det betyder, at ansætte en person med funktionelle, operationelle og ledelsesmæssige kompetencer.
“Brainstorming, kommunikation, samarbejde og teamwork: for et par år tilbage, dem, der ikke var værdsat i cybersecurity. Vi ville bare de bedste og de klogeste og teknologi ekspert, men nu har vi brug for nogen, der kan tale og kommunikere og lette. Hvad vi er begyndt at se, er, at den typiske CISO-og sikkerhedspolitiske rolle er morphing fra brug den traditionelle computer science baggrund til et langt mere mangfoldigt ikke-teknisk baggrund. Sikkerhed ledere er nødt til at fortolke data og fortælle en historie, der kommer til at være meningsfuldt, at CFO ‘ en, den administrerende DIREKTØR til bestyrelse.”
Folk med disse kompetencer kan ikke have en sikkerhed baggrund, eller en infosec grad, så organisationer har brug for at tænke anderledes om, hvordan de ansætter, og som de ser ud til. Samt at udfylde de åbne job, der også kunne hjælpe sikkerhed hold vedtage den slags eksperimenter, der er ved at blive så vigtigt for innovation i andre dele af erhvervslivet.
Der er en lang vej fra institut for ikke – eller endda afdeling af “ikke lide” – og det er en meget mere interessant job. Begynde at tænke på sikkerhed som det, og du har måske en masse mindre problemer fylde dem sikkerhed arbejdspladser.
CXO
Tidligere Twitter-CISO aktier hans råd for IT-sikkerhed ansættelse og cybersecurity
Salesforce: Hvorfor vi droppet Python for Google ‘ s Go sprog i Einstein Analytics
Hvad er en CIO? Alt, hvad du behøver at vide om den Chief Information Officer forklarede
IT-sikkerhed fagfolk er bange for, at deres toiletter (ZDNet YouTube)
Facebook er “vanedannende, er dårligt for os,” siger Salesforce CEO (CNET)
Top 5 dos og don ‘ ts i tech etikette på arbejde (TechRepublic)
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
500 ord ind i fremtiden
| November 15, 2019 — 09:31 GMT (09:31 GMT)
| Emne: Sikkerhed