来自一线的观点
现有网络安全从业者及个人安全顾问对提案的看法则与职业机构不同,有人认为是个不错但难以实行的主意,有人则对此持有保留的反对态度。
坦帕城信息安全官 Martin Zinaich 长久以来都倡导为能保持职业水准的网络安全从业者成立一个职业机构。他发现英国的这个提案与自己的看法不谋而合。
他认为,职业化不仅仅是个好主意,还是改善网络安全整体质量的重要步骤。不过,他对政府的涉入有点担心,觉得政府提案中建议的参与度比较合适,但不太可能实现。他一直以来的观点都是,职业化不可避免,但如果不是由从业者自己进行,政府就会强加给他们。
技术、互联网和IoT之类无处不在的基础生命线不会受到严加监管的想法,随着安全事件在数量和影响上的不断扩张而显得无比短视。我们要么主导职业化进程,要么被领导。
成立职业机构促进专业技能发展的概念受到广泛欢迎,但政府参与却值得商榷。
全球身份基金会CEO,耶利哥论坛共同创始人 Paul Simmonds认为,基本上,这是个好主意。事实上,10年前他就开始支持成立IISP了,这也正是Paul希望的网络安全职业机构的样子。
与很多其他职业机构不同,安全行业发展进步的速度比其他行业快上一个数量级。于是,定义资格标准的‘大人物’们能不能跟上发展变化的脚步?我们会不会被迫继续实现90年代的边界化网络?这些我们也必须考虑到。
《网络安全初学者入门》一书的作者 Raef Meeuwisse 则认为该提案是个很糟糕的想法。
现有网络安全专业人士会对比国家培训标准的额外开销或要求,然后觉得:不是这样的。他们会用脚投票,将自己的技术能力转移到更符合实际的国际雇主那里。
Meeuwisse认为,顶级人才极少为证书操心,这不仅是因为他们的才能说明一切,更因为培训和认证内容往往滞后现实操作很多年。
他担心国家网络安全委员会不仅不会提升网络安全职业化水平,反而会将最有才的专业人士逼出英国。Meeuwisse甚至提到:任何国家注册或要求都只会成为吓跑顶级网络安全人才的威慑力量,因为顶级网络安全人才的成功正是建立在具有全球视角上。
质疑国家认证必要性的不止Meeuwisse一个。三星美国研究院信息安全主管兼首席安全官 Steven Lentz 称:很多安全从业人员都没有安全资格证书或是什么安全协会的会员,但这并不意味着他们不了解自己的专业领域。他们可能从事安全行业十几年,只不过没时间去考证而已。会员和资格认证很有帮助,但要看工作,工作经验才是关键。
有经验的专业人士熟知本行业存在的问题。因为身处某联盟成员组织而不愿透露姓名的一位专家认为,安全领域如今依然存在一些长久以来的严重问题。这些问题与安全从业人员知识水平不足、缺乏对安全行为与方法的衡量评估、风险管理判断与决策糟糕、组织之间与组织内部各层级之间沟通不足、业务一致性有限,以及提供给利益相关者的安全保障不足有关。
他认为职业化网络安全有助改善这一状况,同时也有他自己的顾虑。
信息风险管理涵盖甚广,策略、架构、软件开发、运营、供应链风险、事件管理、业务持续性及保障都有涉猎。一个职业应覆盖这些科目及其他操作。将范围限制在网络安全上可能会太窄了。
他觉得CyBOK本身就是有问题的。但是前提是需要一个健壮、全面且平衡的框架来建立这个职业。他认为,CyBOK当前的内容是有问题的。原因有二:首先,治理、法律、监管和隐私功能已经有了自己的标准,为什么还要在CyBOK里再包含进来?其次,心理学、经济、决策理论、社会科学和统计学这些基础学科又为什么要排除掉?他指出这些基础学科才是有效网络安全的基础。
成立正式的网络安全职业机构是积极而受欢迎的一步,但有问题也正常。独立安全顾问 Stewart Twynham 承认,必须有所改变。
招聘广告上对网络安全人员的职位要求挺高,必须具备的培训和资格认证花样繁多。要取得这些资格,花费从5000英镑到2.5万英镑不等。而且往往还有经验和先决条件要求,仅这些要求就能刷掉一大票人。这种情况必须有所改变。但同时,我们也得注意一些非预期的后果。
所谓非预期后果,他指的是1986年 NHS Project 2000 护士职业化工程。32年过去了,NHS如今面临着其70年历史上最大的招聘危机——护士如今都是科班毕业,不再将护士这个角色迫切需要的软技能带入各家医院。
Cavirin市场营销副总裁 David Ginsburg 评论道:安全作为受认可的职业这种概念相当宏伟。然而,有可能面临固化的职业机构干预自由市场或阻碍新鲜血液加入的风险。
他认为,美国的“专业工程师”概念或许会是个有用的发展方向。他说道,折衷办法之一是设立像美国专业工程师(PE)这样的制度,这种体制下个体可以自由使用最新技术和方法。加州已经有了电子工程师、核工程师、交通工程师和化学工程师等等,网络安全工程师很容易上榜。
虽然大多数从业者觉得成立职业机构是个有点问题和难以实现的想法,但也有人对此持强烈赞同态度,如普利茅斯大学信息安全学院副院长兼教授 Steve Furnell。
个人认为这是件好事。不仅仅因为强调了网络安全作为一个职业的重要性,也肯定了其自身价值而不是被看成IT的一部分,并且意味着任意合格的IT从业者都有尝试安全职位的可能。
他认为未必要以证书来证明会员资格,可以通过能力和技术证据加以确认。就像他提到的那样,资格和证书可以证明一些方面,但从业经验也应计入能力水平考虑范围。希望雇佣安全人才的公司企业最好招聘具备适合自家公司技术集的人,而持有职业机构会员资格可以作为证明这一点的一种方式。
作为德州达拉斯市的一名信息安全主管,Randy Potts 也支持成立职业机构的主意。他认为能得到的帮助不嫌多只嫌少,成立新的wyh/组织/机构可以获得更大的成功。这当然不会是最终解决方案,但新的委员会至少旨在明晰资格和职业道路,能够帮助到想要入行的人。
SANS和美国政府机构经常在框架方面合作共建。我也是澳大利亚国防部35强的支持者。新委员会似乎是此类倡议的扩展和深入。政府与外部团体合作是获取多元视角的良好方式。以色列国防力量和特拉维夫初创公司出产的大量网络安全人才就是例子。
要点
设立职业机构创建并维护网络安全标准的想法很好,但在实现上有很多需要注意的地方。
虽然2018年8月的征求意见期里个人从业者可以表达自己的观点,但个人从业者本身是被剔除在国家网络安全委员会成员之外的。也就是说,该委员会是作为控制组织存在,而不是所谓的从业者论坛。
现有的英国医学总会(GMC)可能成为国家网络安全委员会的组建模板。取得行医资格的执业医师在真正执业之前需到GMC注册,但因为观点不同而被“撤销资格”的医生例子并不在少数。
如果GMC是范本,那么安全产品供应商就有可能会对未来的“安全总会(GSC)”施加过多影响,正如现在制药公司就掌握着过多GMC话语权一样。
来自制药公司的影响已经成为了医疗行业的一大毒瘤。网络安全领域面临的风险与医疗行业类似。
政府是否会在组建完成后功成身退仍是个问题,国家网络安全委员会未必会是个完全独立的机构。政府总是自认为自己全知全能,但实际上作为高新技术领域的网络安全行业日新月异,政府在这方面的知识根本落后了一个世纪。政治因素过多对网络安全的发展全无好处。政府可以作为顾问的角色存在,但不应该插手委员会的日常运作。
如果成立网络安全职业机构的倡议取得成功,政府肯定不想放手;如果失败,整个倡议有很大可能性渐渐淡出人们视线,就好像政府从来没有过这项倡议一样。
执行细节决定成败。做对了,职业机构惠及国家、公司企业和安全从业人员。做错了,那就是一场不折不扣的灾难。
信息风险管理职业化应该是利大于弊的,虽然需要一些额外的管理。甚至,这有可能成为展现新兴职业如何作为典范引导其他职业的机会。或许有些理想主义,但机会确实存在。
最后还有一个问题值得考虑。如果成立统管职业机构是如此吸引人的一个概念,那为什么现有专业组织(比如“联盟”)不自己组建一个而非要等邀入政府干预之后呢?
《发展英国网络安全行业》咨询文档:
(责任编辑:安博涛)