استانداردهای رسمی | امنیت حرفه ای

جمال الملاس، مدیر عملیات Focus-on-Security، می‌گوید، متخصصان امنیت سایبری باید از حلقه‌های جدیدی عبور کنند تا به پیش بروند.

صدور گواهینامه همیشه در صنعت امنیت سایبری به عنوان راهی برای نشان دادن تخصص و انجام تعهدات قراردادی مهم بوده است. اما کل بخش در شرف استاندارد شدن است و با معرفی استانداردهای جدید حرفه ای امنیت سایبری استاندارد می شود.CSPCS) توسط شورای امنیت سایبری انگلستان. بنابراین، این استانداردها چیست، چرا به آنها نیاز داریم و در عمل چه معنایی خواهند داشت؟

برای شروع، استانداردها جایگزین مدرک CCP (Certified Cyber ​​Professional) می شوند که توسط NCSC در سال 2018 ایجاد شد. CCP قبلاً دستخوش تغییرات اساسی شده است – از یک تمرکز بر نقش به یک تمرکز تخصصی تبدیل شد و سه سطح قبلی با Certified جایگزین شد. و Associate فقط دو سال پیش. اما، پس از تحویل آن به شورای امنیت سایبری بریتانیا در آوریل 2022، این طرح به طور کلی بازنشسته خواهد شد. سپس گواهینامه حرفه ای ها به عنوان Chartership تغییر می یابد، در حالی که سازمان هایی که در حال حاضر وضعیت CCP را به عنوان شرط استخدام می دانند نیز این مورد را تغییر می دهند تا به عنوان Chartership نیاز داشته باشند.

به نظر می‌رسد دلیل این امر این است که ح‌ک‌چ تمرکز بسیار محدودی دارد. این فقط دو تخصص را پوشش می دهد: مدیریت ریسک یا معماری امنیتی. CSPCS اینها را ترکیب کرده و گسترش می دهد تا در مجموع 16 تخصص شغلی را پوشش دهد، و در هر یک از آنها سه سطح گواهی ارائه می دهد: کاردانی و اصلی (عناوین “حرفه ای”) و کسب اوج وضعیت گواهینامه.

طرح اجرا

تاکنون، شورای امنیت سایبری بریتانیا تنها طرح‌های آزمایشی را در سه تخصص (حاکمیت امنیت سایبری و مدیریت ریسک، معماری و طراحی سیستم امن، و تست امنیت) اجرا کرده است که توسط نهادهای صنعتی (ISC)2، مؤسسه Chartered تایید شده‌اند. امنیت اطلاعات (CISEC) و تاج، به ترتیب.

در اواخر این ماه، حسابرسی و تضمین امنیت سایبری اضافه می‌شود و متخصص امنیت سایبری، عملیات امن، توسعه سیستم امن و مدیریت امنیت سایبری طی 12 ماه آینده به دنبال آن خواهد بود. این به این معنی است که تا سه ماهه دوم سال 2024، تنها هشت مورد از ویژه گرایی ها به صورت آزمایشی خواهند بود، اگرچه شورا قصد دارد تا سال 2025 همه 16 مورد را بایستد.

این یک مقیاس زمانی است که نشان می دهد چقدر این یک تعهد بلندپروازانه است. اما آیا واقعاً به این استانداردها نیاز داریم؟ به هر حال، تعداد زیادی گواهینامه معتبر وجود دارد، از سطح ورودی SSCP، GSEC و CompTIA Security+ گرفته تا مدارک تحصیلی سطح متوسط ​​و ارشد مانند CRISC، CIS، CISA، CISSP و CASP+. همچنین مدارک تخصصی مانند CEH برای هک اخلاقی، CHFI برای کسانی که در پزشکی قانونی دیجیتال هستند و CCSP یا CCSK برای کسانی که در امنیت ابری کار می کنند وجود دارد. بنابراین، اینطور نیست که صنعت قبلاً تخصص را ارزیابی و درجه بندی نکرده باشد و تخصص را تشخیص ندهد.

چرا ما به اون احتیاج داریم؟

تفاوت CSPCS این است که به نظر می‌رسد تلاشی برای استانداردسازی کل صنعت، در سراسر جهان است. با توجه به شورای امنیت سایبری بریتانیا، که قصد خود را برای تبدیل شدن به “تعیین کننده استاندارد برای صنعت” اعلام کرده است، استانداردهای جدید جامع، پاسخگو و فراگیر هستند. آنها موانع غیرضروری برای ورود یا پیشرفت ایجاد نمی کنند و خط لوله ای از نامزدها ایجاد می کنند و افرادی را تولید می کنند که استاندارد طلایی تخصص، برتری و رفتار حرفه ای را نشان می دهند. بنابراین، به نظر می‌رسد این استاندارد راهی برای تشویق تازه واردان و تضمین ماندگاری در صنعت با ارائه چارچوبی برای سطوح مهارت فهرست خواهد بود. این امر برای کسانی که با متخصصان امنیت سایبری درگیر هستند، تشخیص مناسب بودن و ایجاد شفافیت بیشتر را آسان‌تر می‌کند.

تصادفی نیست که CSPCS همزمان با چارچوب شغلی سایبری توسط شورای امنیت سایبری بریتانیا توسعه یافته است. این 16 تخصص را منعکس می کند و هدف آن این است که به پزشکان جدید و فعلی اجازه دهد تا با ارائه جزئیات در مورد عناوین شغلی، مسئولیت ها، پاداش و نقش های مرتبط، مشاغل خود را توسعه دهند. مانند CSPCS، این چارچوب هنوز در حال توسعه است و هنوز تمام اطلاعات موجود نیست، اما شفافیت بسیار مورد نیاز را فراهم می کند. علاوه بر این، شورا در ماه فوریه یک ابزار نقشه‌برداری شغلی را راه‌اندازی کرد تا به تازه واردان کمک کند تا کشف کنند که مهارت‌های قابل انتقال آنها به کجا می‌تواند منجر شود و کدام رشته امنیت سایبری بهترین است.

با این حال، این تلاش ها به هیچ وجه منحصر به فرد نیستند. در ایالات متحده، ابتکار ملی برای آموزش امنیت سایبری (NICE) برای مدتی نقشه‌برداری شغلی گسترده‌ای را با چارچوبی که در سال 2020 بازنگری شده است، ارائه کرده است. ENISA چارچوب مهارت های امنیت سایبری اروپا (ECSF) را در سپتامبر راه اندازی کرد که در حال حاضر توسط ایساکا و ECSO (سازمان امنیت سایبری اروپا). بنابراین، چارچوب شغلی سایبری به عنوان یک مفهوم در سراسر جهان برای استانداردسازی و تسهیل نیروی کار امنیت سایبری بزرگ‌تر در تلاش برای رسیدگی به شکاف گسترده‌تر که شکاف مهارت‌های امنیت سایبری است، استفاده می‌شود. ISC (2) مطالعه نیروی کار امنیت سایبری در سال 2022 ادعا می کند که 3.4 میلیون شغل خالی در سراسر جهان وجود دارد و با توجه به اینکه خود نیروی کار امنیت سایبری در جهان بالغ بر 4.7 میلیون نفر است، این به معنای کسری 42 درصدی است.)

مسائلی برای اتو کردن

با این حال سوالات باقی می ماند. آیا CSPCS در سطح بین المللی به رسمیت شناخته می شود یا با این چارچوب های دیگر ترسیم می شود؟ انتشار تخصص‌ها حداقل 18 ماه دیگر طول می‌کشد تا محقق شود و در طول این مدت، کسانی که CCP دارند باید اعتبار مجدد داشته باشند (برای مدت سه سال اعتبار دارد، اعتبار مجدد CCP هر 18 ماه لازم است) بنابراین آیا این اتفاق همچنان رخ می‌دهد؟ و شرایط متقاضیان چیست؟ ما می دانیم که آنها باید برای تأیید مهارت ها و تجربه خود مصاحبه ای انجام دهند و برنامه های کاربردی مورد بررسی همتایان قرار می گیرند، اما چیز دیگری نیست. فقط سطح Chartered احتمالاً فرآیند درخواست CCP را دنبال می کند و به مدرک گواهی NCSC / CISSP / CISM / CIISec / گواهی گذراندن یک ارزیابی مهارت های داخلی NCSC / مدرک تکمیل یک مدرک نیاز دارد. NCSC چارچوب توسعه حرفه ای / دارای گواهی معماری امنیتی NCSC. اگر شرایط لازم برای عناوین حرفه ای به اندازه کافی سختگیرانه نباشد، این می تواند اعتماد به استاندارد را متزلزل کند.

با وجود این اخطارها، تعهد شورای امنیت سایبری بریتانیا یک تغییر گام جدی را نشان می‌دهد. شورا وعده می دهد که CSPCS مدرکی برای اثبات مهارت ها، بهبود اعتبار، و امکان پیشرفت شغلی و افزایش پتانسیل درآمد ارائه می دهد. این قدرت را دارد که صنعت را با ایجاد یک ساختار یکنواخت که پیشرفت شغلی را تسهیل می‌کند و به افراد دارای مجوز آن نوع شناختی را می‌دهد که تاکنون فقط در حرفه‌هایی مانند حسابداری و حقوق دیده‌ایم. این امر می تواند باعث شود که این بخش بسیار محترم تر شود، و متخصصان برتر قادر به دریافت پاداش مناسب باشند. بنابراین، برای هر کسی که به دنبال ورود به این صنعت یا پیشرفت در حرفه امنیت سایبری خود است، این موردی است که این فضا را تماشا کنید و آماده باشید تا از آن حلقه‌ها عبور کنید زیرا پاداش‌ها ممکن است ارزش آن را داشته باشند.

زمینه؛ بازدید کنید https://www.ukcybersecuritycouncil.org.uk/news/news/chartering-the-cyber-security-sector/.