Frage:
Ich sehe Sicherheitskompetenzen für Einsteiger als Problem für die Industrie - was können wir dagegen tun?
Rory Alsop
2011-01-21 08:41:19 UTC
view on stackexchange narkive permalink

Okay, also drängen wir Unternehmen, die Sicherheit zu verbessern und IT-Mitarbeiter zu schulen und CEOs usw. zu sensibilisieren, aber jedes Jahr werden neue Absolventen in Unternehmen aufgenommen, wenn andere das Unternehmen verlassen, und sie haben normalerweise einen von zwei Perspektiven:

  1. Sicherheit?
  2. Sicherheitsfaschist!
    3. ol>

    Eins Einige der Dinge, die einige von uns in Schottland versuchen, sind Schulungen für Studenten (Vorträge, Workshops, Sommerpraktika) durch Unternehmen (Banken, Strafverfolgungsbehörden usw.), aber es gibt einen echten Kampf, sich einzukaufen - obwohl die Unternehmen bieten ihre Ressourcen kostenlos an (nun, sie verstehen die Vorteile, die es für sie hat, Absolventen mit etwas Erfahrung zu gewinnen), und Organisationen wie das Chartered Institute of Information Security sponsern viele von uns, um in so vielen Bereichen Schulungen anzubieten Bereiche wie möglich.

    Was könnten wir tun, um dies zu verbessern - nicht nur in Schottland, sondern überall, da es für alle relevant sein sollte. ..das Problem verschwindet nicht, es wird sogar größer, aber Unternehmen nehmen es nicht ernst, bis sie schwer getroffen werden, und selbst dann nur, bis die Zeitungen auf jemand anderen zielen.

    Unternehmen haben Sicherheitsrichtlinien, aber haben sie eine Kultur von oben bis unten? "Nein" ist die einfache Antwort. Wir versuchen, die Kultur an der Spitze zu fixieren, aber das ist normalerweise ein großer Aufwand für keine Rückkehr. Können wir also unten einsteigen? Bilden Sie Studenten und neue Absolventen aus!

    Das Problem ist natürlich, dass Studenten nichts über Sicherheit hören möchten, da dies gegen das übliche Studentenethos verstößt :-)

    [ Bearbeiten - es sei denn, sie absolvieren einen Sicherheitskurs als @DW wies darauf hin, aber hier bekommen wir viele Sicherheitsfaschisten von - Übermaß an Sicherheit, nicht genug Fokus auf die reale Welt, weniger als ideale Szenarien]

    Also

  • Wofür interessieren sich Studenten und Absolventen?
  • Was würde in Ihrem Unternehmen / Ihrer Universität / Organisation funktionieren?
  • Was ist der größte Gewinn für Sie?
  • Was haben Sie vom Hören satt?
  • Hat Ihre Organisation eine alternative Lösung?

Wenn Sie wichtige Lernpunkte haben, die Ihrer Meinung nach für die Community geeignet sind, bringen wir sie in die Community!

----------- Kopfgeld hinzugefügt. 2 wirklich gute Antworten, aber ich würde mich sehr über viele weitere Gesichtspunkte freuen, da dies und das damit verbundene Problem (wie man CEOs usw. über Sicherheit aufklärt) wesentliche Dinge sind, um besser zu werden.

Meiner Meinung nach würde es helfen, spezifischer zu sein und mehr Hintergrundinformationen zu liefern. Konzentrieren Sie sich auf Comp-Sci-Absolventen oder andere, die in der IT arbeiten werden? Welche Branche oder Klasse von Arbeitnehmern interessiert Sie? Was ist das Bedrohungsmodell? Welcher Teil der Schüler wird in einem Job mit diesem Bedrohungsmodell arbeiten und welche Hebelwirkung haben Sie? Hochbezahlte Jobs in Banken? Ich streife nur, aber wir brauchen ein Modell des Problems und des Ökosystems, in das es passt, um ein systemisches Problem anzugreifen.
@nealmcb - leider kann ich nicht genauer sein. Ein Teil meiner Aufgabe als Vorsitzender des IISP in Schottland besteht darin, den Beruf der Informationssicherheit insgesamt zu verbessern. Daher bin ich offen für alle Antworten, Lösungen, Hinweise usw., die helfen könnten. Ich bin nur der Meinung, dass alles, was wir früh auf dem Karriereweg tun können, später der gesamten Branche zugute kommen wird.
Sie können in mehreren Dingen spezifisch sein. Welcher Karriereweg? Mit "Industrie als Ganzes" meinen Sie die Sicherheitsindustrie? Die Wirtschaft? (Demokratie?) Können Sie auf Hintergrundmaterial verweisen, das die Probleme beschreibt, an denen Sie interessiert sind? Denken Sie an CS-Absolventen? Business Majors? Hat jemand die Kosten für Sicherheitsvorfälle mit den Opportunitätskosten für mehr Sicherheitsschulungen oder eine sorgfältigere Entwicklung verglichen? Oder Wasauchimmer.
@nealmcb - habe gerade Ihren Kommentar erhalten. Infosec-Karriereweg, aber die gesamte Branche benötigt IT und damit IT- und Informationssicherheit. Auf jeden Fall CS, aber auch Entwickler, Business Majors. Die globalen Unternehmen, mit denen ich zusammenarbeite, haben die Kosten verglichen und sind sich einig, dass Schulungen im Voraus Geld sparen - daher ihr Buy-In.
Neun antworten:
bethlakshmi
2011-02-09 02:58:08 UTC
view on stackexchange narkive permalink

Eines der Dinge, die mich in den letzten Jahren am meisten beeindruckt haben, ist der neue Fokus auf Sicherheit als Gleichgewicht zwischen Kosten und Risiko. Eine Sicherheitslösung sollte nicht implementiert werden, wenn die Kosten das Exploit-Risiko übersteigen und sowohl Kosten als auch Risiken schwer zu diagnostizieren sind.

Was mir an diesem Kernkonzept am besten gefällt, ist, dass es im Grunde die Idee vorschreibt dass es keine "Einheitsgröße" -Lösung gibt. Das Entwerfen von Sicherheit ist ebenso ein Handwerk wie das Entwerfen einer Lösung oder eines Teils der Software. Es bietet einen Mittelweg zwischen (1) ahnungslosen und (2) Nazis.

Wenn ich es einem Publikum vorstelle, das neu in der Sicherheit ist, möchte ich es als Herausforderung herausstellen - die Herausforderung besteht darin, etwas zu schaffen, das im Rahmen der Vernunft für die Funktionalität sicher ist muss bereitstellen, um sein Ziel zu erreichen. Geeks mögen Rätsel, und das ist ein ziemlich cooles Rätsel, wenn man sich darauf einlässt.

Wenn ich alle Mittel und Zeit hätte, die ich mir wünschen könnte, würde ich eine Sicherheitskonzentration für Undergrad- und Grad-Programme erstellen das führte Sicherheitsthemen als eine Reihe von Rätseln ein. Ich würde mit "Was war das Problem, das zur Verwendung dieser Technologie geführt hat?" Und dann mit "Wie funktioniert die Technologie?" Beginnen. und "Welche Probleme kann es verursachen?"

Was die Fragen betrifft:

Was interessiert Studenten und Absolventen?

Sie wollen sinnvolle Arbeit und eine Chance auf einen guten Job in der Branche. Ich denke, Sicherheit kann als beides dargestellt werden. Wenn Sie Sicherheit nicht als "Nein" betrachten, sondern als clevere Lösungen, mit denen die Mitarbeiter ihre Arbeit effizient erledigen können, ohne das Unternehmen zu gefährden, ist die Arbeit meiner Meinung nach äußerst bedeutsam. Außerdem hat es mir nie an einem Job als Sicherheits-Nerd gefehlt, daher bin ich immer froh, aus persönlicher Erfahrung darüber zu sprechen.

Was würde in Ihrem Unternehmen / Ihrer Universität / Organisation funktionieren? ?

Ich bin wahrscheinlich ein Ausreißer - ich arbeite für einen Verteidigungsunternehmer. Sicherheit ist so ein Teil unserer Unternehmenskultur, dass ich Probleme habe, mir die Welt ohne sie vorzustellen. Das, was ich jedoch am häufigsten finde, ist, dass Geeks an einem roten Prozess saugen - und es gibt eine Menge Sicherheitsaspekte (insbesondere physische Sicherheit), die die sklavische Einhaltung von Sicherheitsdetails erfordern. Bis zu einem gewissen Punkt kann ich Leute motivieren, Wege zu finden, um Dinge "ingenieur-sicher" zu machen - zum Beispiel - "was können Sie tun, um sicherzustellen, dass Sie das sichere Ding am Ende der Nacht im großen Metalltresor einsperren?" "" Manchmal kommen Leute auf wirklich kreative Lösungen.

Was ist der größte Gewinn für Sie?

Ich persönlich liebe die Herausforderung. Ich mag es, sichere Dinge zum Laufen zu bringen, und Sicherheit ist ein zusätzlicher Teil des Spaßes. Ich mag es auch sehr, wenn neuere Ingenieure das Licht angehen, wenn sie anfangen, wie ein Sicherheits-Nerd zu denken. Und eines der Dinge, die ich an meiner Unternehmenskultur mag, ist, dass es ein großer Teil des Jobs und des Gesellschaftsvertrags ist, anderen Menschen zu helfen, Sicherheit für sich selbst zu durchdenken.

Worüber haben Sie es satt zu hören?

Ich habe es ein wenig satt zu erfahren, dass die Regeln "dumm" sind. Sie mögen langweilig sein, aber wenn Sie sie für dumm halten, sehen Sie im Allgemeinen kein ausreichend großes Bild.

Leider bin ich es auch leid, dass mir die Mandate mitgeteilt werden Eine hochsichere Arbeitsumgebung bedeutet, dass sich jemand nicht schnell bewegen kann. Sicher ist nicht gleich langsam, besonders nicht, wenn ich mich frage, ob der einzige Grund für Langsamkeit Bürokratie ist.

Mike
2011-01-21 14:40:23 UTC
view on stackexchange narkive permalink

Nun, ich kann sicherlich meinen Anteil am "Studentenethos" sagen, weil auch mir die Sicherheit nicht wichtig war (oder nicht genug wichtig war). Fügen Sie die Tatsache hinzu, dass ich ein bisschen mehr in die Sicherheit involviert war als meine Schülerfreunde. Sie können erkennen, wohin das führt.

Das Hauptproblem, das ich hatte, war einfach, dass Ihnen in der Schule gesagt wird, wie Dinge funktionieren und wie Sie es in Bezug auf die Leistung tun sollten. Was Ihnen nicht gesagt wird, ist, was Sie in Bezug auf die Sicherheit niemals tun sollten. Außerdem ist der Kurs so eng, dass Sie tatsächlich herumspringen, um so viel wie möglich zu behandeln, ohne sich wirklich mit einem Thema zu befassen.

In der Schule haben wir einige Projekte für unser Abschlussdiplom durchgeführt, aber Sie werden nur pünktlich bewertet Planung, Projektabschluss und Arbeitszustand. Niemals werden Sie in Sicherheitsfragen bewertet. Ihr Projekt könnte selbst für die primitivsten SQL-Injection- oder XSS-Versuche anfällig sein, und Sie könnten immer noch volle 60 von 60 Punkten erhalten (oder 1 oder A +, abhängig von Ihrem Land).

Also denke ich Das Problem liegt nicht nur im allgemeinen Desinteresse des Schülers, sondern auch darin, dass die Schulen dem Schüler nicht zeigen, WARUM es wichtig ist und wie man all die großartigen Sicherheitsvorkehrungen verwendet, die für eine bessere Cyberwelt erfunden wurden. Ich denke, es gibt viel Raum für Verbesserungen.

das ist definitiv ein guter Teil davon. Wir arbeiten daran, die Universitäten dazu zu bringen, zu verstehen, dass ihre Absolventen mit guten Sicherheitsfähigkeiten beschäftigungsfähiger sind, und auf der anderen Seite zu versuchen, Unternehmen dazu zu bringen, Sicherheitsfähigkeiten zu fordern (anstatt alle neuen Absolventen ausbilden zu müssen), so dass Sie denken Es wäre eine Win-Win-Situation.
Phoenician-Eagle
2011-01-21 14:04:11 UTC
view on stackexchange narkive permalink

Normalerweise erfasst eine Präsentation des Security Response Teams eines Unternehmens das Publikum, unabhängig davon, ob es sich um Studenten, Führungskräfte oder Entwickler handelt.

Es hat sich als sehr effizient erwiesen (es basierte auf einer informellen Initiative), verschiedene Geschichten zu erzählen. Einige dieser Geschichten konzentrierten sich auf einige verärgerte Entwickler, die Hintertüren hinterlassen hatten, andere auf unschuldige "Niemand wird das ausnutzen!" oder ... und natürlich müssen Sie zeigen, wie diese verschiedenen Fälle tatsächlich von Sicherheitsexperten gemeldet werden und wie viele Personenmonate erforderlich waren, um die Probleme zu beheben.

Angesichts dieser Geschichten können Sie den Exploit präsentieren und ihnen dann beibringen, dass schwacher Code nicht verschwindet, und dann die sichere Programmierung oder Bedrohungsanalyse einführen oder ...

Ich vermute, wenn ich Leuten von meinen Erfahrungen mit Sicherheitsproblemen / -diensten erzähle, würde dies sie eher dazu ermutigen, sich anderswo nach einer Karriere umzusehen :(
bstpierre
2011-11-01 18:30:00 UTC
view on stackexchange narkive permalink

Ein Teil des Problems besteht darin, dass Sicherheit allgegenwärtig ist: Das Studium der "Sicherheit" allein macht kaum Sinn. Sie müssen Sicherheit im Kontext studieren. Im Gegensatz zu "Datenbanken", in denen es sinnvoll ist, einen Semesterkurs zu diesem Thema zu unterrichten. Ich will damit nicht sagen, dass ein Semesterkurs über Sicherheit schlecht ist, nur dass er nicht ausreicht. Die meisten Kurse im Lehrplan für Informatik, an denen ich teilgenommen habe, hätten eine Woche lang die Sicherheitsaspekte des Fachs erörtern können:

  • die meisten Mathematikkurse: Relevanz für Krypto
  • -Algorithmen: Krypto
  • Mensch-Computer-Interaktion: Psychologie der Sicherheit, Sicherheit und Benutzerfreundlichkeit
  • Computerarchitektur: Krypto-Hardware, Schnittstellen, Hardware-Unterstützung für sichere Betriebssysteme
  • : die meisten Aspekte des Betriebssystems sind sicherheitsrelevant
  • usw.

Eigentlich habe ich auch Business Classes besucht, und es ist dort genauso anwendbar:

  • Betriebsmanagement: physische Sicherheit
  • Buchhaltung: Sie sprachen nur über Belastungen &-Gutschriften, sie sprachen nicht über why
  • Organisationsverhalten: wieder , Psychologie der Sicherheit; Unternehmenskultur

Sie erstreckt sich über fast alles. Die Ausbilder sind jedoch bereits damit beschäftigt, alle Informationen aus ihrem Kurs in die Schüler zu packen, die keine zusätzliche Zeit für etwas "Peripheres" benötigen. Dies wäre eine Möglichkeit, das Problem anzugreifen: Überzeugen Sie die Instruktoren davon, dass Sicherheit ein wichtiges Thema ist, das im Rahmen ihres Kurses zu X diskutiert werden soll.

Das Problem scheint sich nicht allzu sehr von dem damit verbundenen Problem zu unterscheiden, mit dem Entwicklungsmanager konfrontiert sind: wie man Absolventen mit Grundfertigkeiten bekommt, Punkt. Einige Universitätsfakultäten kümmern sich sehr darum - ein Gespräch mit einem freundlichen Fakultätsmitglied kann dabei helfen, einige der Themen in den Mittelpunkt zu rücken. Ich sprach mit einem CS-Abteilungsleiter und er war sehr daran interessiert zu erfahren, woran die Industrie von Absolventen interessiert war. Seine Motivation war einfach: Um die Einschreibung aufrechtzuerhalten, brauchte er Absolventen, um gute Jobs zu bekommen - Eltern schicken keine Kinder in eine Schule, in der sie nach dem Abschluss arbeitslos werden. Wenn er mit einem Dutzend Alumni und Personalmanagern lokaler Unternehmen spricht und dieselben Probleme hört, wird er Anpassungen am Lehrplan vornehmen. Selbst fest angestellte Professoren werden durch Budget- und Personalabbau verletzt, der sich aus dem Rückgang der Einschreibung ergibt.

Ein Ansatz, um Absolventen mit Grundkenntnissen zu erreichen, besteht darin, Praktikanten einzustellen. Ich habe für einige Unternehmen gearbeitet Wo dies gängige Praxis ist und für beide Seiten gut zu funktionieren scheint: Der Praktikant verfügt über marktfähigere Fähigkeiten, verdient ein gutes Gehalt (im Vergleich zu einer alternativen Studentenbeschäftigung, z. B. Pizza-Lieferung oder Einzelhandel) und erweitert sein persönliches Netzwerk. Das Unternehmen hat jemanden mit Grundkenntnissen, den es wahrscheinlich nach dem Abschluss ohne große Rekrutierungskosten einstellen kann. Praktikanten sind billig (im Vergleich zu den Kosten für die Einstellung von Vollzeitfachleuten). Dies ist jedoch kein kostenloses Mittagessen - es fallen Kosten an:

  • Sie müssen die Praktikanten einstellen, ein Vorstellungsgespräch führen, Einstellungen vornehmen usw.
  • Praktikanten ziehen an Ich weiß nichts und brauche einiges an Aufmerksamkeit von professionellen Mitarbeitern, um hilfreich zu werden.
  • Es besteht die Gefahr, dass Bozos eingestellt werden, die den ganzen Tag im Internet surfen oder mit Freunden chatten.

Dies ist ein "egoistischer" Ansatz: Das Unternehmen unternimmt nichts, um der Branche insgesamt zu helfen, sondern hilft sich nur selbst. Aber ich denke, es kommt letztendlich der Branche zugute, weil es dazu neigt, das Qualifikationsniveau des Talentpools für Absolventen zu erhöhen. (Tatsächlich haben wir ein paar Praktikanten nach dem Abschluss "verloren" (nicht eingestellt), und eine andere glückliche Firma hat einen gut ausgebildeten Abschluss!)

Ich komme aus einem Programmier- / Entwicklungshintergrund. Eine Aktivität, an der ich während der Schule teilgenommen habe, waren Programmierwettbewerbe. Ich sehe, dass IISP Studentenmitgliedschaft hat; Haben Sie Schülerkapitel an verschiedenen Schulen? Könnten Sie einen sicherheitsrelevanten Wettbewerb organisieren? Ich schlage das nicht beiläufig vor - es wäre eine Menge Arbeit. Es entwickelt möglicherweise nicht einmal die spezifischen Einstiegsfähigkeiten, die Sie suchen, aber es könnte das Bewusstsein schärfen, nach dem Sie suchen. Denken Sie daran, es ist nur interessant, wenn es Spaß macht und herausfordernd ist.

Möglichkeiten:

  • Teams konkurrieren darum, Lücken in einem bestimmten Softwarepaket zu finden. Variante: Quelle ist verfügbar, prüfen Sie den Quellcode.
  • Teams treten gegeneinander an, um in das Netzwerk ihrer Gegner einzudringen. Varianten:
    • Beschränkungen auferlegen, z. Benutzer müssen über Fernzugriff, WLAN usw. verfügen.
    • Böswilliger Insider - Das gegnerische Team kontrolliert einen Knoten in Ihrem Netzwerk. Erkennen und reagieren.
  • Teams konkurrieren um die Analyse von Malware und setzen Gegenmaßnahmen.
Dies ist eine ausgezeichnete Antwort. Einige gute Punkte zum Nachdenken!
Bradley Kreider
2011-02-08 23:32:43 UTC
view on stackexchange narkive permalink

Ich denke, der beste Weg, um die Menschen dazu zu bringen, Sicherheit als real und nicht als abstrakt zu betrachten, besteht darin, die realen Grundprinzipien zu lehren, die von Computern getrennt sind. Beginnen Sie mit der physischen Sicherheit und den Unterschieden zwischen dieser und der Computersicherheit.

  1. Die Leute entlassen die Sicherheit, weil so viel davon Sicherheitstheater ist: Sperre nach 3 fehlgeschlagenen Versuchen, physischer Zugriff auf Maschinen, Schlüssel Logger vs. drakonische Passwortrichtlinien.

  2. Bedrohungsbäume: Lassen Sie die Schüler ihre eigenen Bedrohungsbäume entwickeln. Ist es wahrscheinlicher, dass jemand den Bibliothekscomputer verschlüsselt oder sein 12-Zeichen-Passwort herausfindet, das sich alle 3 Monate ändern und 4 verschiedene Zeichenklassen verwenden muss? Kinder können sehr gut Streiche spielen und müssen oft die physische Sicherheit untergraben.

  3. Demonstrieren Sie beängstigende Heldentaten. Bei Black Hat haben sie normalerweise eine Wand der Schande, die alle Klartextkonten zeigt, an denen sie gerochen haben (sie blockieren die Passwörter und einen Teil der Adresse). Eine App, die Klartext-Sitzungen in Echtzeit auf dem gesamten Campus durchführen sollte, würde die Bedeutung der Sicherheit deutlich machen.

  4. Beispiele für ausgenutzte Websites. Schauen Sie sich den Cialis-Spam an, der in diesen Blog eingefügt wurde. Es ist peinlich. Der Spam verweist auf den Betrug in der kanadischen Apotheke. Die Links sind unterbrochen, weil der andere Computer repariert wurde. Es ist ein sehr organisierter und raffinierter Betrug, der angeblich aus Osteuropa stammt. Sie führen sehr kleine Webserver auf geknackten Maschinen aus, um zu verhindern, dass IPs auf die schwarze Liste gesetzt werden.

    5. ol>
D.W.
2011-02-09 13:33:46 UTC
view on stackexchange narkive permalink

Ich teile nicht Ihre Prämisse, dass Schüler nichts über Sicherheit hören möchten. Ich unterrichte einen Grundkurs für Computersicherheit. Es ist einer der beliebtesten Kurse in unserer Informatikabteilung (nicht der beliebteste, aber dort oben).

Eine Sache zu verstehen ist, dass die meisten Hochschulen / Universitäten daran interessiert sind, Konzepte und Prinzipien zu vermitteln, die dies tun ein Student ein Leben lang dauern. Im Vergleich dazu haben Lehrfähigkeiten, die in 5 Jahren möglicherweise veraltet sind, eine geringere Priorität. Wenn Sie also ein Kompetenztraining für die aktuelle Software wünschen, müssen Unternehmen dies wahrscheinlich durch Schulung ihrer Mitarbeiter bereitstellen. Aber wenn Sie Leute wollen, die wissen, wie man über Sicherheit denkt, die wissen, wie man wie ein Angreifer denkt, die mit den Grundprinzipien der Sicherheit vertraut sind, dann kann dies ein gut gestalteter Lehrplan für Hochschulen bieten.

Ich habe mit zukünftigen Arbeitgebern unserer Absolventen gesprochen, und ich habe nie gehört, dass sie sich darüber beschwert haben, dass Studenten, die an unserem Sicherheitskurs teilnehmen, als Sicherheitsnazis auftreten. Im Gegenteil, der häufigste Kommentar, den ich von Arbeitgebern bekomme, lautet: Können Sie mehr Material zur Sicherheit in mehr Ihrer Kurse einfügen?

Mir ist klar, dass dies von Ihren eigenen Wahrnehmungen abweicht, aber Sie haben es getan frage nach weiteren Gesichtspunkten. Das ist meins.

Philip Polstra
2011-10-05 23:51:43 UTC
view on stackexchange narkive permalink

Ich stimme Ihrer Behauptung zu. Wir scheinen zwei Studentenlager zu haben. Wir müssen alle Studenten in der Computer-XX-Branche über die Grundlagen der Sicherheit informieren. An meiner Universität zwingen wir alle Hauptfächer von Computer Info Systems (CIS) und Computer Info Tech (CIT), an meinem Einführungskurs für Infosec teilzunehmen. CIT-Hauptfach muss außerdem mindestens eine Folge des Infosec-Kurses absolvieren.

Es ist ein erster Schritt zur Verbesserung der Situation, dass alle Schüler mindestens eine Intro-Infosec-Klasse belegen müssen. Ich halte es jedoch nicht für ausreichend. Ich denke, dass auch die Art und Weise, wie der Kurs unterrichtet wird, von Bedeutung ist. Zum Beispiel mache ich es mir zur Gewohnheit, die Schüler mindestens einmal pro Woche daran zu erinnern, dass "Informationssicherheit nicht nur Computersicherheit ist". Ich mache das, weil ich denke, dass wir als Techniker dazu neigen, direkt in die Details aller Dinge einzutauchen, die wir tun können, um Computersysteme zu missbrauchen. Es ist eine Art Versuch, wie ein Alpha-Geek auszusehen (Schau, was ich tun kann, niemand ist in Sicherheit ...). Sich streng auf das lustige Tech-Zeug zu konzentrieren und alles andere zu ignorieren, scheint einen Keil zwischen die beiden Lager zu treiben. Die Nazis essen es auf und wollen nach dem Abschluss lächerliche (und ineffektive) Richtlinien durchsetzen. Die Schüler, die keine Infosec-Karriere anstreben, ertragen die Klasse einfach und haben weiterhin keine Ahnung von Sicherheit und sind auch entschlossen, sich den Richtlinien der Nazis zu widersetzen.

Für mich versuche ich, ein Gleichgewicht zwischen dem Unterrichten von Schülern zu finden über Spaß coole Infosec-Technologie und ihnen zu helfen zu verstehen, dass Infosec so viel mehr ist als Pen-Tests, Vuln-Scans, AV usw. Ich habe ein lustiges Spielplatz-Setup für sie mit ein paar Systemen in einem isolierten Netzwerk, in das sie sich hacken können. Sogar die Studenten, die sich nicht für Infosec interessieren, scheinen dies zu genießen. Hoffentlich machen sie einen etwas weiseren Abschluss und ohne Hass auf alles, was mit Infosec zu tun hat.

James Rigby
2011-10-06 04:03:12 UTC
view on stackexchange narkive permalink

Ich frage mich, ob Absolventen der richtige Ausgangspunkt sind?

Es ist fraglich, ob ein guter Sicherheitsexperte (oder in der Tat jeder Fachmann) zumindest eine gute Grundlage im Geschäftsleben und wahrscheinlich auch im IT / IS benötigt . Wenn Sie jemanden von der Universität nehmen und ihn direkt in die Infosec aufnehmen, ist es weitaus wahrscheinlicher, dass er zum Sicherheits-Nazi wird als nicht.

Vielleicht sollte der Ansatz darin bestehen, sich auf die Ebene der Teamleiter / Junior-Manager innerhalb der Unternehmen zu konzentrieren. Sie kennen bereits die Unternehmensseile, wissen, wie man Politik beeinflusst, überzeugt und mit ihr umgeht - und suchen nach ihrer Nische. Wenn sie sich in der IT befinden, können sie wahrscheinlich entweder die Infosec- oder die IT-Sek-Route (oder beides) wählen. Jemand mit einem nicht-technischen Hintergrund muss sich möglicherweise über ein paar Jahre auf Infosec konzentrieren und sich in die IT-Abteilung einarbeiten. Aber hier würde ich meine Energie einsetzen, wenn ich sicherstellen wollte, dass die Führer der Zukunft sicherheitsfreundlich sind.

The IMT
2012-07-29 20:45:43 UTC
view on stackexchange narkive permalink

Ich sehe die gleichen Probleme, die Sie sehen, habe aber eine Teillösung gefunden, als ich als Leiter von Betriebssicherheitsprogrammen für ein großes multinationales Unternehmen gearbeitet habe. Ich hatte das Glück, die Unterstützung einiger wichtiger Führungskräfte und ein wirklich gutes Startprogramm für neue Absolventen zu haben. Der bereits bestehende Ansatz war einfach: Dieses Unternehmen stellte einen Block neu graduierter Ingenieure und CS-Typen ein, unterzeichnete einen 2-Jahres-Vertrag und wechselte sie in dieser Zeit durch mehrere Gruppen / Positionen. Sie können beispielsweise einige Monate damit verbringen, einen großen Trunking-Switch zu unterstützen, und dann mehrere Monate damit verbringen, neuen Code für denselben Switch zu schreiben. Andere haben möglicherweise etwas Zeit, um neue Hardware zu entwickeln, und verbringen dann Zeit damit, das Netzwerkmanagement zu unterstützen. Die Entscheidung, zu welchen Gruppen jeder neue Absolvent gehen würde, war eine Kombination aus Fähigkeiten, Wünschen und Bedürfnissen, sowohl der neuen Mitarbeiter als auch der verschiedenen Organisationen.

Das Bit, das ich hinzufügte, bestand darin, eine Reihe von Optionen für diese aufzunehmen neue Absolventen erhalten die gleichen Arten von realen Sicherheitsrisiken. Wir haben Pläne für diese neuen Leute zusammengestellt, um IT-Sicherheit von der IT-Sicherheitsgruppe zu lernen, wir hatten ein paar Gruppen zur Reaktion auf Vorfälle, mit denen sie zusammenarbeiten konnten, und ich hatte sogar gelegentlich ein paar, die bei der Politik halfen. Auf diese Weise hatten sie bei ihrer Landung (vorausgesetzt, ihnen wurde am Ende des Programms eine feste Stelle angeboten) ein gewisses Verständnis für die Sicherheit und die damit verbundenen Herausforderungen in der realen Welt.

Alles in allem verstehe ich, dass ein solches Programm für die meisten Arbeitgeber nicht realistisch ist. Es könnte jedoch möglich sein, ein paar Sommerpraktikantenstellen zusammenzustellen, die die gleiche Grundbelichtung zu stark reduzierten Kosten bieten. Ich habe die Erfahrung gemacht, dass technische Ansätze vernünftiger und ausgewogener werden, wenn technische Mitarbeiter den tatsächlichen Herausforderungen und Chancen im Sicherheitsbereich ausgesetzt werden. Wir haben schnell festgestellt, dass es auch nicht viel Zeit braucht. Es war nicht notwendig, dass sie genug lernen, um die Arbeit tatsächlich zu erledigen, nur dass sie ein solides Verständnis für die Realität bekommen. In den meisten Fällen lieferten ein paar Monate (ungefähr die Länge der Sommerpause) mit einem Sicherheitsteam mehr als genug Erfahrung, um ein sehr positives Ergebnis zu erzielen.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 2.0-Lizenz, unter der er vertrieben wird.
Loading...