Black Hat USA 2022: Kiệt sức, một vấn đề quan trọng

Thảo luận về các vấn đề cung ứng nguồn lực trong lĩnh vực an ninh mạng không phải là một hiện tượng mới; dựa theo Công ty liên doanh an ninh mạng, số lượng vị trí an ninh mạng chưa được lấp đầy trên toàn thế giới đã tăng 350% từ năm 2013 đến năm 2021, từ 1 triệu lên 3.5 triệu. Bài báo chia nhỏ con số này hơn nữa, ước tính rằng có 1 triệu nhân viên an ninh mạng ở Mỹ và tính đến tháng 2021 năm 715,000 có khoảng XNUMX vị trí bổ sung, chưa được lấp đầy. Những con số này nói lên câu chuyện về vấn đề nguồn cung ứng; họ cũng kể câu chuyện về một ngành hiện đang sử dụng khoảng XNUMX/XNUMX nguồn lực mà nó cần.

Bài thuyết trình trong lịch trình Black Hat US 2022 của Stacy Rioux, Ph. D. Tâm lý học lâm sàng và tổ chức / kinh doanh đã thu hút sự chú ý của tôi -Cố gắng trở thành tất cả mọi thứ cho mọi người: Hãy nói về sự kiệt sức. Khi sự thiếu hụt rất lớn nhân tài trong ngành công nghiệp an ninh mạng, những người ở tuyến đầu có khả năng bị kiệt sức. Giả định của tôi là bài thuyết trình sẽ đi sâu vào những căng thẳng mà các nhóm an ninh mạng đang phải gánh chịu bằng cách sử dụng các nghiên cứu điển hình và ví dụ cụ thể, sau đó làm thế nào để nhận ra sự tồn tại của vấn đề và các bước có thể giúp giảm bớt nỗi đau mà một người nào đó phải chịu đựng. Thật không may, bài thuyết trình này là một ví dụ nhẹ nhàng và là một bài thuyết trình về vấn đề kiệt sức, hơn là xác định và giảm thiểu nó trong cài đặt an ninh mạng.

Các dấu hiệu kiệt sức là cực kỳ quan trọng để phát hiện, và một số dấu hiệu cho thấy bao gồm mệt mỏi, hoài nghi, không thích công việc và có thể uống hoặc ăn quá nhiều, không nhất thiết đến mức nghiện mà là một biện pháp thoải mái. Hai –có thể ba– trong số bốn điều này có thể được nhận dạng ở gần như tất cả những người tham dự Mũ đen: mệt mỏi do văn hóa tiệc tùng ở Vegas, uống quá nhiều, đó là Vegas, và cuối cùng, chủ nghĩa hoài nghi, dường như là một yêu cầu công việc trong ngành an ninh mạng - chúng tôi được điều kiện để không tin tưởng gì và để xác minh mọi thứ.

Một lưu ý nghiêm trọng hơn, đây là một vấn đề cực kỳ quan trọng và là điều mà tất cả các công ty lớn nhỏ cần phải lưu ý và giải quyết. Định nghĩa về kiệt sức được Stacy trình bày là “Chán việc nghề nghiệp được định nghĩa lâm sàng là một hội chứng tâm lý xảy ra do các tác nhân gây căng thẳng mãn tính về cảm xúc và giữa các cá nhân trong công việc” với “giữa các cá nhân” được giải thích là “liên quan đến các mối quan hệ hoặc giao tiếp giữa con người với nhau”.

Các số nhận dạng kiệt sức được đề cập trong bài thuyết trình và liên quan cụ thể đến an ninh mạng, là:

• Khối lượng công việc trí óc cao
• Dự đoán các cuộc tấn công mạng
• Thiếu nhân sự và tăng khối lượng công việc
• Đấu tranh để tìm vị trí của mình trong một tổ chức
• Công việc thường không được đánh giá cao trong tổ chức

Có những chiến lược có thể giúp giải quyết tình trạng kiệt sức và tôi khuyên bạn nên dành thời gian nghiên cứu chúng để hiểu rõ hơn. Một bộ phận nhân sự hoặc chuyên gia có năng lực phải có khả năng đưa nhân viên đi đúng hướng hoặc cung cấp một số tài liệu đọc hiểu về chủ đề này.

Theo tôi, vấn đề là sự kết hợp do thiếu những người tài năng có kinh nghiệm, quá trình chuyển đổi kỹ thuật số tăng tốc mà chúng ta đã chứng kiến ​​trong hơn hai năm qua và hàng loạt các cuộc tấn công không ngừng nghỉ mà các đội an ninh mạng phải đối phó. Sự kết thúc của sự thiếu hụt này đang ở trong tầm mắt; Nếu chỉ có điều đó là đúng! Nhiều công ty yêu cầu ứng viên phải có trình độ học vấn, có bằng cấp về an ninh mạng được ngành công nhận trình độ chuyên môn như CISSP và có kinh nghiệm 3-5 năm. Những yêu cầu này có khả năng, ít nhất là một yếu tố đóng góp, đổ lỗi cho các vị trí an ninh mạng chưa được lấp đầy.

Nhà tuyển dụng cần hạ thấp yêu cầu về chứng chỉ hoặc trình độ học vấn đối với các công việc an ninh mạng và thu hút một số nhân viên ít kinh nghiệm hơn nhưng quan tâm và gắn bó với nơi làm việc để họ có được kinh nghiệm đó và trở thành chuyên gia tài năng cần thiết để bảo vệ trước các cuộc tấn công trong tương lai. Theo tôi, điều cấp thiết là an ninh mạng phải được đưa vào tất cả các chủ đề của chương trình giảng dạy trong hệ thống giáo dục từ cấp trung học trở xuống. Chúng tôi nói về nhu cầu an ninh mạng được xem xét trong tất cả các phần của thiết kế sản phẩm, trong mọi phần của quy trình kinh doanh và tương tự như vậy, vì vậy nó có thể thuộc về mọi chủ đề được giảng dạy trong lớp học. Ngay cả những bài học về tài năng sáng tạo chẳng hạn như nghệ thuật cũng sẽ có lợi bằng cách cung cấp sự hiểu biết về làm thế nào để bảo mật một NFT: có rất ít chủ đề không được hưởng lợi từ sự hiểu biết và đánh giá cao về an ninh mạng.

Bình thường hóa an ninh mạng theo cách này, hy vọng sẽ tránh được sự thiếu hụt nhân tài vào ngày mai, và quan trọng là sự kiệt sức của những người chọn sự nghiệp trong lĩnh vực an ninh mạng.