本文讲的是 NIST发布网络安全劳动力框架,美国国家标准与技术研究所(NIST)近日公布了一份网络安全劳动力框架,用以支持企业培养并维护有效网络安全员工的能力。
该框架定义了角色及角色所需的知识和技能;还定义了澄清网络安全教育者、培训者/认证者、雇主和雇员之间交流的通用语。该框架意图帮助公司企业发展其现有劳动力,并帮助学术机构持续培养未来劳动力。
与其他所有框架类似,使用的公司企业受益,而其他人无视。坦帕市信息安全官马丁·兹奈赫看出了其中的潜在好处。2015年,他将当前网络安全状态,与1972年美国东方航空401航班的缓慢下降并最终坠毁相提并论——机组人员仅仅是没分清应关注的主次。
在文章中,兹奈赫写道:“国家研究理事会在其2013年报告《为决策专业化国家网络安全劳动力标准》中,声明了网络安全依然是太过新兴的领域,无法为其实践者引入专业化标准。”
然而如今已是4年之后,NIST确实在提出教育性劳动力标准。我们正慢慢达到那一步。
NIST框架定义了7个主要的安全劳动力类别:安全供应;运营与维护;监管和治理;保护与防御;分析;收集与处理;调查。对于一些人来讲,这种解构主义是有其可取之处的;而其他人,则更多的是对潜在问题的担忧。
信息安全论坛(ISF)执行董事史蒂夫·德宾评论道:“尽管未来两年里,企业信息安全劳动力规模预计增加1/4以上;某些企业却是负担不起员工增长的。该框架可进一步帮助公司领导人为现有员工提供信息安全再培训和交流机会,以可承受的方式在一定程度上封堵不断拉大的技术缺口。”
内森·温斯勒,AsTech首席安全策略师,却对此不那么有信心。他认为,此框架适用于结构严谨相互独立的环境,比如联邦政府。但对广大已经挣扎于寻找适格网络安全人才的公司企业而言,通过该框架引入的人才只适应某个专门领域是不够的。大多数公司需要的是一专多能的安全人才。”
史蒂文·棱兹,三星美国研究院CSO兼信息安全总监,也有同样的顾虑。“网络安全劳动力框架是个好主意。但实际上,公司企业会不会采用,会不会关注,那是个很现实的问题。”
棱兹认为,其有效性取决于现有安全培训公司的接纳度。“当前安全培训认证网站,比如ISC^2、ISACA、SANS等等,会受到什么影响?他们会参与并帮助发展该NIST倡议吗?或者将之看作是短命的替代品?政府的备选?我们都需要继续培训,但培训合作伙伴需拧成一股绳来让我们这些实践者变得更强大。”
其他实践者还有更大的质疑。其中之一就是克里斯·罗伯茨,Acalvio首席安全架构师。“我不是证书爱好者,学历学位或任何正式培训都吸引不到我。我来自另一个时代,不是学徒工时代,但也相去不远了。我是在工作中学习的,我很庆幸自己遇到了一些极棒的导师,也有一颗渴望知识的心。这条路不适合所有人。我们需要以更好的方式适应。我不赞同‘只有获得学位才能成为专业人士’的想法。这种狗屁逻辑早就被世界上众多成功者证否了,应该被禁掉。我认同我们大家都是独立的个体,这个行业很善于适应并理解该领域众多从业者都没接受主流教育。”
罗伯茨的抗争或许是徒劳的。任何系统的成熟,都伴随着控制的集中化。个别银行经理不再能决定贷款,决策由总部控制。连锁店经理基本决定不了自己的库存——同样是集中控制的。政治管控一贯归于中央。网络安全教育国家倡议(NICE)网络安全劳动力框架,或许是集中化的又一个样本,目前以指南和辅导的形式存在,但最终会走向坚持要求的形式。它对某些人有用,其他人则不然。
史蒂夫·德宾对此毫不疑虑。“有些人可能会说该框架太过简单或不够彻底,但面对很多人预测的人才短缺程度,这至少能为企业提供努力吸引和留住网络人才的指南。”