英國要給網絡安全人員加“皇家特許”頭銜
作者:星期二, 九月 18, 20180

設立職業機構提供網絡安全從業者職業技能等級評定標準的想法已經討論了很多年。如今,英國政府明確提出要建立這樣一個機構以“發展網絡安全職業”,并擬在2020年獲得皇家特許頭銜。

除了名字不對,這完全就是網絡安全的職業化。該提案并未提及“管理”一詞,但正如英國醫學總會管理著醫療從業人員,“未來的”英國國家網絡安全委員會或許最終會統管網絡安全從業人員

所謂管理,可能包括設置并要求網絡安全職業資格證書,設立特定行業所需的職業資格等級。雖然這終將提高很多網絡安全從業者的技術水平,但也意味著可能會有一些從業者因為沒獲取到預設的職業資格級別而無法被某些公司企業雇傭。

一份題為《發展英國網絡安全行業》的咨詢文檔中指出,這并非政府提案的必然結果。但該項咨詢已于2018年8月31日截止,英國政府目前正在分析反饋。

提案

提案表明,到2021年網絡安全職業會提供4個特定發展主題,分別為職業發展、職業道德、思想領袖與影響,以及外延與多樣性。每個主題后面都跟著一個或多個相關咨詢問題。

支持擬議國家網絡安全委員會角色的是CyBOK項目——英國布里斯托大學教授 Awais Rashid 主導的網絡安全知識體系發展項目。CyBOK項目旨在編撰網絡安全領域的基礎及公認知識。

該項目目前正在進行中。第一階段于2017年10月完成,定義了19個網絡安全知識域(KA)。

19個KA設定了網絡安全的范圍,塑造了培訓、標準設置、專家意見傳播和職業化推進的方式方法。

CyBOK的19個KA

這里面有很多好的建議。比如說,政府希望支持該職業機構的建設,但在之后要放手,讓該機構保持完整的獨立性。

然而,值得吐槽的地方一樣很多。首先,這不是一份討論該做什么的文檔,而是指導該怎么做到已經決定了的事的指南。說白了,就是告訴你要怎么組建國家網絡安全委員會。

更值得注意的是,這個委員會是要由現有組織而不是個人構成。提案中稱:我們設想,委員會不由個人成員構成,而是來自組織之間的聯合,由現有職業機構和其他對網絡安全感興趣的組織組成。

盡管沒人會否定這些現有組織做出的巨大貢獻,但事實是,它們基本上都是售賣證書的公司。

真正要代表的個人網絡安全從業者反而沒有直接代表加入,那這個機構的建立本身就值得商榷。

來自現有職業機構的支持

現有網絡安全職業機構表達了強烈的贊同意愿,并聯合起來組建了一個“聯盟”以支持政府的提案。

該聯盟目前包含的成員組織有:英國計算機學會(BCS)、英國特許IT協會、英國特許人事與發展協會(CIPD)、英國特許鑒證科學學會(CSofFS)、CREST、英國工程師委員會、泛美認證合作組織(IAAC)、分析師與程序員協會(IAP)、英國工程技術學會(IET)、信息安全專業人員協會(IISP)、英國測量與控制學會 (InstMC)、信息系統審計與控制協會(ISACA)、國際信息系統安全認證聯盟(ISC)2、techUK、英國安全協會,以及信息技術專家公司(WCIT)。

(ISC)2歐洲、中東及亞洲常務董事 Deshini Newman 就表示稱:發展建設國家認可的職業機構并考慮取得國家特許地位,可以令我們的職業成熟度取得重大進展。英國在這方面走在了世界前列,為世界其他國家政府樹立了榜樣。我們很樂于支持他們的工作。

ISACA董事 Michael Hughes 補充道:我們認為,優先設立網絡技能基準和更加注重高技術網絡安全人才的培養輸送,令聯盟得以作為一份寶貴的資源對英國國家網絡安全戰略加以支持。

IISP主席 Alastair MacWillson 博士則表示:IISP從一開始就參與了這項倡議。這些討論促成英國文化傳媒與體育部(DCMS)去年7月開始咨詢創建新的英國網絡安全委員會,以發展英國的網絡安全職業。政府通過這項倡議提出的,是信息安全職業最為深刻的治理發展方案。

現有職業機構會支持政府的職業化道路并不令人意外——不支持的會讓位于支持的那些。但從業者的聲音在提案或者對提案的支持中并沒有地方安放。

來自一線的觀點

現有網絡安全從業者及個人安全顧問對提案的看法則與職業機構不同,有人認為是個不錯但難以實行的主意,有人則對此持有保留的反對態度。

坦帕城信息安全官 Martin Zinaich 長久以來都倡導為能保持職業水準的網絡安全從業者成立一個職業機構。他發現英國的這個提案與自己的看法不謀而合。

他認為,職業化不僅僅是個好主意,還是改善網絡安全整體質量的重要步驟。不過,他對政府的涉入有點擔心,覺得政府提案中建議的參與度比較合適,但不太可能實現。他一直以來的觀點都是,職業化不可避免,但如果不是由從業者自己進行,政府就會強加給他們。

技術、互聯網和IoT之類無處不在的基礎生命線不會受到嚴加監管的想法,隨著安全事件在數量和影響上的不斷擴張而顯得無比短視。我們要么主導職業化進程,要么被領導。

成立職業機構促進專業技能發展的概念受到廣泛歡迎,但政府參與卻值得商榷。

全球身份基金會CEO,耶利哥論壇共同創始人 Paul Simmonds認為,基本上,這是個好主意。事實上,10年前他就開始支持成立IISP了,這也正是Paul希望的網絡安全職業機構的樣子。

與很多其他職業機構不同,安全行業發展進步的速度比其他行業快上一個數量級。于是,定義資格標準的‘大人物’們能不能跟上發展變化的腳步?我們會不會被迫繼續實現90年代的邊界化網絡?這些我們也必須考慮到。

《網絡安全初學者入門》一書的作者 Raef Meeuwisse 則認為該提案是個很糟糕的想法。

現有網絡安全專業人士會對比國家培訓標準的額外開銷或要求,然后覺得:不是這樣的。他們會用腳投票,將自己的技術能力轉移到更符合實際的國際雇主那里。

Meeuwisse認為,頂級人才極少為證書操心,這不僅是因為他們的才能說明一切,更因為培訓和認證內容往往滯后現實操作很多年。

他擔心國家網絡安全委員會不僅不會提升網絡安全職業化水平,反而會將最有才的專業人士逼出英國。Meeuwisse甚至提到:任何國家注冊或要求都只會成為嚇跑頂級網絡安全人才的威懾力量,因為頂級網絡安全人才的成功正是建立在具有全球視角上。

質疑國家認證必要性的不止Meeuwisse一個。三星美國研究院信息安全主管兼首席安全官 Steven Lentz 稱:很多安全從業人員都沒有安全資格證書或是什么安全協會的會員,但這并不意味著他們不了解自己的專業領域。他們可能從事安全行業十幾年,只不過沒時間去考證而已。會員和資格認證很有幫助,但要看工作,工作經驗才是關鍵。

有經驗的專業人士熟知本行業存在的問題。因為身處某聯盟成員組織而不愿透露姓名的一位專家認為,安全領域如今依然存在一些長久以來的嚴重問題。這些問題與安全從業人員知識水平不足、缺乏對安全行為與方法的衡量評估、風險管理判斷與決策糟糕、組織之間與組織內部各層級之間溝通不足、業務一致性有限,以及提供給利益相關者的安全保障不足有關。

他認為職業化網絡安全有助改善這一狀況,同時也有他自己的顧慮。

信息風險管理涵蓋甚廣,策略、架構、軟件開發、運營、供應鏈風險、事件管理、業務持續性及保障都有涉獵。一個職業應覆蓋這些科目及其他操作。將范圍限制在網絡安全上可能會太窄了。

他覺得CyBOK本身就是有問題的。但是前提是需要一個健壯、全面且平衡的框架來建立這個職業。他認為,CyBOK當前的內容是有問題的。原因有二:首先,治理、法律、監管和隱私功能已經有了自己的標準,為什么還要在CyBOK里再包含進來?其次,心理學、經濟、決策理論、社會科學和統計學這些基礎學科又為什么要排除掉?他指出這些基礎學科才是有效網絡安全的基礎。

成立正式的網絡安全職業機構是積極而受歡迎的一步,但有問題也正常。獨立安全顧問 Stewart Twynham 承認,必須有所改變。

招聘廣告上對網絡安全人員的職位要求挺高,必須具備的培訓和資格認證花樣繁多。要取得這些資格,花費從5000英鎊到2.5萬英鎊不等。而且往往還有經驗和先決條件要求,僅這些要求就能刷掉一大票人。這種情況必須有所改變。但同時,我們也得注意一些非預期的后果。

所謂非預期后果,他指的是1986年 NHS Project 2000 護士職業化工程。32年過去了,NHS如今面臨著其70年歷史上最大的招聘危機——護士如今都是科班畢業,不再將護士這個角色迫切需要的軟技能帶入各家醫院。

Cavirin市場營銷副總裁 David Ginsburg 評論道:安全作為受認可的職業這種概念相當宏偉。然而,有可能面臨固化的職業機構干預自由市場或阻礙新鮮血液加入的風險。

他認為,美國的“專業工程師”概念或許會是個有用的發展方向。他說道,折衷辦法之一是設立像美國專業工程師(PE)這樣的制度,這種體制下個體可以自由使用最新技術和方法。加州已經有了電子工程師、核工程師、交通工程師和化學工程師等等,網絡安全工程師很容易上榜。

雖然大多數從業者覺得成立職業機構是個有點問題和難以實現的想法,但也有人對此持強烈贊同態度,如普利茅斯大學信息安全學院副院長兼教授 Steve Furnell

個人認為這是件好事。不僅僅因為強調了網絡安全作為一個職業的重要性,也肯定了其自身價值而不是被看成IT的一部分,并且意味著任意合格的IT從業者都有嘗試安全職位的可能。

他認為未必要以證書來證明會員資格,可以通過能力和技術證據加以確認。就像他提到的那樣,資格和證書可以證明一些方面,但從業經驗也應計入能力水平考慮范圍。希望雇傭安全人才的公司企業最好招聘具備適合自家公司技術集的人,而持有職業機構會員資格可以作為證明這一點的一種方式。

作為德州達拉斯市的一名信息安全主管,Randy Potts 也支持成立職業機構的主意。他認為能得到的幫助不嫌多只嫌少,成立新的wyh/組織/機構可以獲得更大的成功。這當然不會是最終解決方案,但新的委員會至少旨在明晰資格和職業道路,能夠幫助到想要入行的人。

SANS和美國政府機構經常在框架方面合作共建。我也是澳大利亞國防部35強的支持者。新委員會似乎是此類倡議的擴展和深入。政府與外部團體合作是獲取多元視角的良好方式。以色列國防力量和特拉維夫初創公司出產的大量網絡安全人才就是例子。

要點

設立職業機構創建并維護網絡安全標準的想法很好,但在實現上有很多需要注意的地方。

雖然2018年8月的征求意見期里個人從業者可以表達自己的觀點,但個人從業者本身是被剔除在國家網絡安全委員會成員之外的。也就是說,該委員會是作為控制組織存在,而不是所謂的從業者論壇。

現有的英國醫學總會(GMC)可能成為國家網絡安全委員會的組建模板。取得行醫資格的執業醫師在真正執業之前需到GMC注冊,但因為觀點不同而被“撤銷資格”的醫生例子并不在少數。

如果GMC是范本,那么安全產品供應商就有可能會對未來的“安全總會(GSC)”施加過多影響,正如現在制藥公司就掌握著過多GMC話語權一樣。

來自制藥公司的影響已經成為了醫療行業的一大毒瘤。網絡安全領域面臨的風險與醫療行業類似。

政府是否會在組建完成后功成身退仍是個問題,國家網絡安全委員會未必會是個完全獨立的機構。政府總是自認為自己全知全能,但實際上作為高新技術領域的網絡安全行業日新月異,政府在這方面的知識根本落后了一個世紀。政治因素過多對網絡安全的發展全無好處。政府可以作為顧問的角色存在,但不應該插手委員會的日常運作。

如果成立網絡安全職業機構的倡議取得成功,政府肯定不想放手;如果失敗,整個倡議有很大可能性漸漸淡出人們視線,就好像政府從來沒有過這項倡議一樣。

執行細節決定成敗。做對了,職業機構惠及國家、公司企業和安全從業人員。做錯了,那就是一場不折不扣的災難。

信息風險管理職業化應該是利大于弊的,雖然需要一些額外的管理。甚至,這有可能成為展現新興職業如何作為典范引導其他職業的機會。或許有些理想主義,但機會確實存在。

最后還有一個問題值得考慮。如果成立統管職業機構是如此吸引人的一個概念,那為什么現有專業組織(比如“聯盟”)不自己組建一個而非要等邀入政府干預之后呢?

《發展英國網絡安全行業》咨詢文檔:

https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/727071/Developing_the_Cyber_Security_Profession_in_the_UK_-_consultation_document.pdf

 

分享:

相關文章

寫一條評論

 

 

0條評論