サイバーセキュリティの雇用危機:厄介な軌道

情報セキュリティの専門家がひどく不足しており、業界の専門家たちはそれが唯一悪化していると言います。

今月のBlack Hat USA 2014カンファレンス(北米最大のセキュリティカンファレンス)で出席者の間で語られたことは、サイバーセキュリティの分野で雇用が増えていることでした。

これは、家系図を持っていることが実際にあなたが適格ではないと考えることができるビジネスであり、伝統的な基準によって不可解であることは…ほぼ望ましいものです。

Leviathan Security Groupのシニアセキュリティコンサルタント、James Arlenは、会議の周りを歩き回っていて、誰もが誰にでも自分の履歴書を投げるよう求めていました。

; BadUSB、基調講演:Black Hat USA 2014ビデオがオンラインになりました

「私は50歳以上の人を雇っていると思う」とか「仕事の兆候について私に話す」と彼は言った。

カンファレンス中の会話では、熟練した研究者は、彼が、infosecの才能のギャップを埋めるための攻撃的なハッカーの唯一の会社ではなかったことを非常に迅速に発見しました。

彼はウェブサイトにこう言いました。「これらの中で最も面白いのは、ナイキがブラックハットで才能を引き出す努力でした」

「私がチームの空きスロットを埋めるのを助けようとするすべての要求に対し、私は「より良い」ポジションへの移行を検討しているかどうか尋ねられた」とコンサルタントは付け加えた。

多くの取締役会は、主にセキュリティ技術者にITセキュリティを委ねるのはなぜですか?また、技術者は、取締役会に、利害関係者の情報を保護するための犠牲を払うことを納得させることができません。私たちは、ITセキュリティガバナンスのギャップを埋めるためのガイダンスを提供しています。

成長が分かりにくいセクターについては、雇用の急増は直観に反しているように見えます。しかし、この苦しい瞬間のinfosecで、それを危機と呼ぶことは、この問題の全体的過小評価のようです。

米連邦捜査局(FBI)はCrackasのメンバーを逮捕し、米国政府の役人をハッキングした姿勢を示している;セキュリティ、Wordpressはユーザーに重大なセキュリティホールを修正するように今更新するよう強く促す;セキュリティ、ホワイトハウスは連邦最高情報セキュリティ責任者政府の監視による緊急対応

1月には、2014年のCisco Annual Security Report(CASR)は、近い将来にセキュリティ上の課題に対応するために公的および民間部門の組織が必要とするITセキュリティ専門家の数が世界的に50万人から100万人になると予測しました。

「シスコの数字は、セキュリティスキルの問題の最も高い見積もりです」とeWeekはinfosecの雇用危機に対処するInternet of Thingsの悪化する影響に関する6月の記事を説明しました。

セントラル・インテリジェンス・エージェンシーで働くサイバーセキュリティの専門家、ジェームズ・ゴスラーは、米国には約3万人の技術的サイバーセキュリティ労働者、本質的にハッカーが必要だと主張している。

一方、国際情報システムセキュリティ認証コンソーシアムは、ビジネスシステムを維持管理するために30万人以上のサイバーセキュリティ専門家が必要であると計算しています。

Arlen氏は国内問題の大きな部分は、国境の外で才能を雇うという官僚的なロードブロッキングだと考えています。

彼は、「米国内のニーズは国内の才能によっては満たされない」と述べた。

リバイアサンの安全保障は、外国人労働者の地位の変更、すなわち雇用に基づく移民ビザのための、長引く必要性のギャップを広げている。

US-TN Status(NAFTA)とH1-B以外から才能を得るための最低の2つの摩擦方法は、カナダまたは世界の他の国から才能を獲得するには依然として大きな障壁となります。

もちろん、市民権と忠誠心の奇妙な結びつきがあります…多くの保安上の立場は、あるタイプまたは別のタイプのクリアランスを必要とするため、米国市民のみで満たされなければなりません – 外国人、さらには同盟国(カナダでさえ)

ビザ要件などの構造的な障害は、潜在的なボトルネックの上に重なっています。「適格」の定義が泥と同じくらい明確な若い業種では、適格な才能が限られています。

この危機を解決することは、有資格のハッカーを構成するものを定義することと同じくらい複雑であることが判明しました。

Chris Hoffは、ジュニパーネットワークスの戦略、技術マーケティングエンジニアリング – セキュリティ、スイッチング、およびソリューションBUの副社長です。

ホフ氏は、高度なマルウェア検出/軽減、リバースエンジニアリング、法医学、暗号化、仮想化、クラウドなど、いくつかの新しい分野で必要とされる経験を持つ、競争の激しい雇用市場においてベンダーが適切な候補者を見つけるのが難しいとWebサイトに語った。

彼は続けて言った

これは主に、新たな種類の脅威俳優、新技術、革新的な脅威ベクトルと革新的な脅威ベクトルの出現、毎日のメディアに現れる侵害の波に対応しています。これは、公式の教育、指導、専門的な貿易研修の欠如に加えて、

さらに、「セキュリティ」は依然として合理的に若い「職業」であり、多くのスキルは職場で学ばれます。多くの場合、十分なバランスのとれた背景を持つ業界に侵入することは難しい新興のキャリアの機会と過度に専門化されていません。

Arlen氏は、最も重大な課題は、情報セキュリティ専門家にとっての教育対経験の混乱に関連していると考えています。

私は経験に基づいて雇用するという個人的な好みを持っています。そして、十分な数の他の人も同様に、「実用的ではなくむしろ本の学習」バケツに「利用可能な」才能の大部分を残しています。

アーレン氏は、業界は教育と経験を同一視するのを止める必要があると強く信じています。 「平均的な組織が実際の資格のある人材を雇うのは難しい。学位、認定資格、審問済みの履歴書は、魔法のように資格のある人を創造するものではない」

Edward Snowdenの啓示は、政府、グローバル企業、テクノロジー界を揺るがしました。今後10年を振り返ってみると、これが2013年の最大の話だと考えています。ここでは、ITセキュリティとリスク管理のベストプラクティスとともに、まだ展開されている意味合いについての見解を示します。

私は誰かが名前のブランド大学(これと他の多くのような)からサイバーセキュリティのマスターを持っているかもしれないが、実際に学んだことを実践的に適用する能力を持っているとは必ずしも言えません。

才能のあるディフェンダーを雇うことと、サイバーセキュリティの悪魔のような細部を把握していない血統を持つセールスマンとの違いを突き止めることができる攻撃や、おそらくは不愉快なハッキング趣味の経験です。

先週末、White House Cyber​​security Czar Michael Danielとのインタビューで、ダニエルが技術的な知識と経験を忘れて “雑草の中で”問題を政策立案者に翻訳する際の専門知識に賛成したとき、インフォセックスコミュニティ全体で生来の神経を叩いたことは不思議ではありません。

一部の人にとっては、ホワイトハウスは最悪の場合でも情報セキュリティを真剣に受け止めていないという印象を与えました。

ホフ氏は、このような結果は、「リスクが増加し、インシデントが増え、準備が整い、反発力が低下し、腐敗して消耗した従業員であり、私たちを守る人のために」

写真のクレジット:許可のあるBlack Hat USA / UBM Techの画像提供。

次の記事:サイバーセキュリティの雇用危機:ロックスター、怒り、10億ドルの問題

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命

国防総省のサイバー緊急対応を批判したペンタゴン

ヒントなし