Question:
Je considère les compétences de sécurité d'entrée de gamme comme un problème pour l'industrie - que pouvons-nous y faire?
Rory Alsop
2011-01-21 08:41:19 UTC
view on stackexchange narkive permalink

D'accord, nous incitons donc les entreprises à améliorer la sécurité et à fournir une formation au personnel informatique et des présentations de sensibilisation aux PDG, etc., mais chaque année, un nouveau groupe de diplômés est amené dans les entreprises au fur et à mesure que d'autres partent, et ils en ont généralement un sur deux. perspectives:

  1. sécurité?
  2. fasciste de la sécurité!

Un certaines des choses que quelques-uns d'entre nous essayent de faire en Écosse est de faciliter des sessions de formation pour les étudiants (conférences, ateliers, stages d'été) par des entreprises (banques, forces de l'ordre, etc.), mais il y a une vraie difficulté à obtenir l'adhésion - même si les entreprises offrent leurs ressources gratuitement (enfin, ils comprennent les avantages pour eux de recruter des diplômés avec une certaine expérience) et des organisations telles que le Chartered Institute of Information Security parrainent beaucoup d’entre nous pour offrir une formation à autant de

Que pourrions-nous faire pour améliorer cela - pas seulement en Écosse, mais partout, car cela devrait être pertinent pour tous. ... le problème ne disparaît pas, en fait il s'agrandit, mais les entreprises ne le prennent pas au sérieux tant qu'elles ne sont pas durement touchées, et même alors seulement jusqu'à ce que les journaux ciblent quelqu'un d'autre.

Les entreprises ont des politiques de sécurité, mais ont-elles une culture du haut vers le bas? «Non» est la réponse facile. Nous essayons de corriger la culture au sommet, mais en général, c'est un effort important pour aucun retour, alors pouvons-nous entrer en bas? Éduquez les étudiants et les nouveaux diplômés!

Le problème est, bien sûr, que les étudiants ne veulent pas entendre parler de sécurité, car cela va à l'encontre de l'éthique étudiante habituelle :-)

[ modifier - à moins qu'ils ne suivent un cours de sécurité, comme @DW souligné, mais c'est de là que nous tirons beaucoup de fascistes de la sécurité - exagération de la sécurité, pas assez de concentration sur le monde réel, scénarios moins qu'idéaux]

Donc

  • Qu'est-ce qui intéresse les étudiants et les diplômés?
  • Qu'est-ce qui fonctionnerait dans votre entreprise / université / organisation?
  • Quelle est la plus grande victoire pour vous?
  • Qu'est-ce que vous en avez assez d'entendre
  • Votre organisation a-t-elle une solution alternative?

Si vous avez des points d'apprentissage clés que vous jugez appropriés pour la communauté, intégrons-les dans la communauté!

----------- Prime ajoutée. 2 très bonnes réponses, mais j'apprécierais vraiment beaucoup plus de points de vue, comme je vois cela, et le problème associé (Comment éduquer les PDG, etc. sur la sécurité) comme des choses essentielles pour s'améliorer.

J'ai le sentiment que cela aiderait à être plus précis et à fournir plus de contexte. Vous concentrez-vous sur des diplômés en science de la science ou d'autres personnes qui travailleront dans l'informatique? De quelle industrie ou classe de travailleurs vous souciez-vous? Quel est son modèle de menace? Quelle fraction des étudiants travaillera dans un emploi avec ce modèle de menace et quel effet de levier avez-vous? Des emplois bien rémunérés dans les banques? Je ne fais que me promener, mais nous avons besoin d'un modèle du problème et de l'écosystème dans lequel il s'inscrit pour attaquer un problème systémique.
@nealmcb - malheureusement, je ne peux pas être plus précis. Une partie de ma mission en tant que président de l'IISP en Écosse est d'améliorer la profession de sécurité de l'information dans son ensemble, je suis donc ouvert à toutes les réponses, solutions, indices, etc. Je pense simplement que tout ce que nous pouvons faire dès le début du cheminement de carrière profitera plus tard à l'industrie dans son ensemble.
Vous pouvez être précis sur plusieurs choses. Quel cheminement de carrière? Par «industrie dans son ensemble», voulez-vous dire l'industrie de la sécurité? L'économie? (Démocratie?) Pouvez-vous citer une sorte de documentation de base décrivant quels sont les problèmes qui vous intéressent? Pensez-vous aux diplômés CS? Majors en affaires? Quelqu'un a-t-il comparé les coûts des incidents de sécurité avec les coûts d'opportunité d'une formation à la sécurité plus poussée ou d'un développement plus soigné? Ou peu importe.
@nealmcb - vient d'attraper votre commentaire. Le cheminement de carrière d'Infosec, mais l'industrie dans son ensemble a besoin de l'informatique, et donc de la sécurité informatique et de l'information. Certainement CS, mais aussi des développeurs, des majors d'affaires. Les entreprises mondiales avec lesquelles je travaille ont comparé les coûts et conviennent que la formation initiale leur permet d'économiser de l'argent - d'où leur adhésion.
Neuf réponses:
#1
+18
bethlakshmi
2011-02-09 02:58:08 UTC
view on stackexchange narkive permalink

L'une des choses qui m'ont le plus impressionné ces dernières années est le nouvel accent mis sur la sécurité en tant qu'équilibre entre les coûts et les risques. Une solution de sécurité ne doit pas être mise en œuvre si le coût dépasse le risque d'exploit, et les coûts et les risques peuvent être difficiles à diagnostiquer.

Ce que j'aime le plus dans ce concept de base, c'est qu'il rend fondamentalement l'idée qu'il n'y a pas de solution «unique». La conception de la sécurité est autant un métier que la conception d'une solution ou d'un logiciel. Il offre un juste milieu entre (1) ignorant et (2) nazi.

Lorsque je le présente à un public novice en matière de sécurité, j'aime le présenter comme un défi - le défi consiste à créer quelque chose de sûr dans les limites du raisonnable pour la fonctionnalité qu'il doit fournir pour atteindre son objectif. Les geeks aiment les énigmes et c'est un casse-tête plutôt sympa quand on y va.

Si j'avais tout le financement et le temps que je pourrais souhaiter, je créerais une concentration sur la sécurité pour les programmes de premier et de deuxième cycle qui a présenté les sujets de sécurité comme un ensemble d'énigmes. Je commencerais par "quel était le problème qui a provoqué l'utilisation de cette technologie?", Puis "comment la technologie fonctionne-t-elle?" et "quels problèmes cela peut-il causer?"

En ce qui concerne les questions:

Qu'est-ce qui intéresse les étudiants et les diplômés?

Ils veulent un travail significatif et une chance de trouver un bon travail dans l'industrie. Je pense que la sécurité peut être présentée comme les deux choses. Si vous considérez la sécurité non pas comme un «non» tout le temps, mais comme une proposition de solutions intelligentes qui permettent aux gens de faire leur travail efficacement mais avec peu de risques pour l'entreprise, alors je pense que le travail est extrêmement significatif. De plus, je n'ai jamais manqué de travail en tant que nerd de la sécurité, donc je suis toujours heureux de parler de mon expérience personnelle à ce sujet.

Qu'est-ce qui fonctionnerait dans votre entreprise / université / organisation ?

Je suis probablement un cas particulier - je travaille pour un entrepreneur de la défense. La sécurité fait tellement partie de notre culture d'entreprise que j'ai du mal à envisager le monde sans elle. La chose que je trouve le plus souvent, cependant, c'est que les geeks sont nulles par cœur - et il y a BEAUCOUP d'aspects de la sécurité (en particulier la sécurité physique) qui nécessitent un respect servile des détails de sécurité. Jusqu'à un certain point, je peux motiver les gens à trouver des moyens de «mettre à l'épreuve les ingénieurs» - par exemple - «que pouvez-vous faire pour vous assurer de verrouiller l'objet sécurisé dans le grand coffre-fort en métal à la fin de la nuit? " Parfois, les gens proposent des solutions vraiment créatives.

Quelle est la plus grande victoire pour vous?

Personnellement, j'adore le défi. J'aime faire fonctionner les choses sécurisées, et la sécurité fait partie du plaisir. J'aime aussi vraiment, vraiment voir la lumière s'allumer pour les nouveaux ingénieurs quand ils commencent à penser comme un nerd de la sécurité. Et l'une des choses que j'aime dans ma culture d'entreprise, c'est qu'aider les autres à penser par eux-mêmes à la sécurité fait partie intégrante du travail et du contrat social.

De quoi avez-vous marre d'entendre parler?

J'en ai un peu marre d'apprendre que les règles sont "stupides". Ils peuvent être fastidieux, mais si vous pensez qu'ils sont stupides, vous ne voyez généralement pas une image assez grande.

Malheureusement, à l'autre bout, je suis aussi fatigué d'apprendre que les mandats d'un environnement de travail hautement sécurisé signifie que quelqu'un ne peut pas se déplacer rapidement. Sécurisé n'est pas synonyme de lenteur, surtout pas quand je me demande si la seule raison de la lenteur est la paperasserie.

#2
+10
Mike
2011-01-21 14:40:23 UTC
view on stackexchange narkive permalink

Eh bien, je peux certainement dire ma part de "l'éthique étudiante" parce que moi aussi je ne me souciais pas (ou ne me souciais pas assez) de la sécurité. Ajoutez le fait que j'étais un peu plus impliqué dans la sécurité que mes amis étudiants, vous pouvez dire où cela va.

Le principal problème que j'ai eu était simplement qu'à l'école, on vous dit comment les choses fonctionnent et comment vous devez le faire en termes de performances. Ce que l'on ne vous dit pas, c'est ce que vous ne devriez jamais faire en matière de sécurité. De plus, le cours est si serré que vous sautez pour couvrir autant que possible mais sans vraiment entrer dans un sujet.

À l'école, nous avons fait quelques projets pour notre diplôme final, mais vous n'êtes noté qu'à temps planification, achèvement du projet et état de fonctionnement. Vous n'êtes jamais évalué sur les problèmes de sécurité. Votre projet pourrait être sensible même aux tentatives d'injection SQL ou XSS les plus primitives et vous pourriez toujours obtenir 60 points sur 60 (ou 1, ou A + selon votre pays).

Donc, je pense que le problème réside non seulement dans le désintérêt commun de l'élève, mais aussi parce que les écoles ne montrent pas à l'élève POURQUOI c'est important et comment utiliser tous les trucs de sécurité qui ont été inventés pour un meilleur cyber-monde. Je pense qu'il y a BEAUCOUP de possibilités d'amélioration.

c'est certainement une bonne partie de celui-ci. Nous travaillons à essayer de faire comprendre aux universités que leurs diplômés sont plus employables avec de bonnes compétences en sécurité, et à l'inverse, nous essayons d'amener les entreprises à exiger des compétences en sécurité (plutôt que d'avoir à former tous les nouveaux diplômés). ce serait gagnant-gagnant.
#3
+7
Phoenician-Eagle
2011-01-21 14:04:11 UTC
view on stackexchange narkive permalink

Généralement, une présentation de l'équipe de réponse de sécurité d'une entreprise capte le public, qu'elle soit composée d'étudiants, de directions ou de développeurs.

Il s'est avéré assez efficace (il était basé sur une initiative informelle) pour raconter différentes histoires. Certaines de ces histoires se sont concentrées sur des développeurs en colère qui ont laissé des portes dérobées, d'autres sur des innocents "personne ne l'exploitera!" ou ... et bien sûr, vous devrez montrer comment ces différents cas finissent par être signalés par des professionnels de la sécurité et combien de personnes par mois ont été nécessaires pour résoudre les problèmes.

Compte tenu de ces histoires, vous pouvez présenter l'exploit et leur apprendre ensuite que le code faible ne disparaît pas, puis vous introduisez la programmation sécurisée ou l'analyse des menaces ou ...

Je soupçonne que si je parlais aux gens de mes expériences avec les problèmes / services de sécurité, ce serait plus susceptible de les encourager à chercher ailleurs une carrière :(
#4
+5
bstpierre
2011-11-01 18:30:00 UTC
view on stackexchange narkive permalink

Une partie du problème est que la sécurité est omniprésente: étudier la «sécurité» seule n'a guère de sens. Vous devez étudier la sécurité en contexte. Contrairement aux "bases de données", où il est logique d'enseigner un cours semestriel sur le sujet. Je ne veux pas dire qu'un cours semestriel sur la sécurité est mauvais, juste qu'il est insuffisant. La plupart des cours du programme d'informatique que j'ai suivis auraient pu passer une semaine à discuter des implications sécuritaires du sujet:

  • la plupart des cours de mathématiques: pertinence pour les algorithmes cryptographiques
  • : crypto
  • interaction homme-machine: psychologie de la sécurité, de la sécurité et de l'utilisabilité
  • architecture informatique: matériel cryptographique, interfaces, support matériel pour un système d'exploitation sécurisé
  • systèmes d'exploitation: la plupart les aspects du système d'exploitation sont liés à la sécurité
  • etc.

En fait, j'ai également suivi des cours de gestion, et cela s'applique tout autant:

  • gestion des opérations: sécurité physique
  • comptabilité: ils ne parlaient que de débits de crédits &, ils ne parlaient pas de pourquoi
  • comportement organisationnel: encore une fois , psychologie de la sécurité; culture d'entreprise

Elle recoupe presque tout. Mais les instructeurs sont déjà occupés à essayer de rassembler toutes les informations de leur cours dans les étudiants qu'il n'y a pas de temps supplémentaire à passer sur quelque chose de «périphérique». Ce serait un moyen de s'attaquer au problème: persuadez les instructeurs que la sécurité est un sujet important à discuter dans le cadre de leur cours sur X .

Le problème ne semble pas si différent du problème connexe auquel sont confrontés les responsables du développement: comment obtenir des diplômés avec les compétences de base, point final. Certains professeurs d'université se soucient beaucoup de cela - une conversation avec un membre sympathique du corps professoral peut aider à mettre certains des problèmes au premier plan. J'ai parlé avec un directeur du département CS et il était très intéressé par ce que l'industrie intéressait de la part des diplômés. Sa motivation était simple: pour maintenir les inscriptions, il avait besoin de diplômés pour obtenir de bons emplois - les parents n'enverront pas leurs enfants dans une école où ils se retrouveront inemployables après l'obtention de leur diplôme. S'il parle à une douzaine d'anciens élèves et responsables du recrutement d'entreprises locales et qu'il entend les mêmes problèmes, il va apporter des ajustements au programme. Même les professeurs titulaires sont touchés par les compressions budgétaires et de personnel résultant de la baisse des inscriptions.

Une approche pour obtenir des diplômés possédant les compétences de base consiste à embaucher des stagiaires. J'ai travaillé pour quelques entreprises là où c'est une pratique courante et qui semble bien fonctionner pour les deux parties: le stagiaire a un ensemble de compétences plus commercialisable, gagne un bon salaire (par rapport à un emploi étudiant alternatif, par exemple la livraison de pizzas ou la vente au détail) et élargit son réseau personnel; l'entreprise a quelqu'un avec des compétences de base qu'elle peut probablement embaucher après l'obtention de son diplôme sans frais de recrutement importants, les stagiaires sont bon marché (par rapport au coût de l'embauche de professionnels à temps plein). Ce n'est pas un déjeuner gratuit, cependant - il y a des coûts:

  • Vous devez recruter les stagiaires, interviewer, passer par l'embauche, etc.
  • Stagiaires don Je ne sais rien et a besoin de beaucoup d'attention de la part du personnel professionnel pour devenir utile.
  • Il y a un risque d'embaucher des bozos qui passent toute la journée à surfer sur le Web ou à discuter avec des amis.

Il s'agit d'une approche «égoïste»: l'entreprise ne fait rien pour nécessairement aider l'industrie dans son ensemble, elle s'aide elle-même. Mais je pense que cela finit par bénéficier à l’industrie, car il tend à accroître le niveau de compétence du bassin de talents diplômés. (En fait, nous avons «perdu» (nous n'avons pas réussi à embaucher) quelques stagiaires après l'obtention de leur diplôme, et une autre entreprise chanceuse a obtenu un diplômé bien formé!)

Je viens d'une formation en programmation / développement. Une activité à laquelle j'ai participé à l'école était la programmation de concours. Je vois que l'IISP a des membres étudiants; avez-vous des sections d'élèves dans différentes écoles? Pourriez-vous organiser une sorte de compétition liée à la sécurité? Je ne le suggère pas par hasard - ce serait beaucoup de travail. Il se peut que cela ne développe même pas les compétences de niveau d'entrée spécifiques que vous recherchez, mais cela pourrait augmenter la prise de conscience que vous recherchez. N'oubliez pas que ce n'est intéressant que si c'est amusant et stimulant.

Possibilités:

  • Les équipes s'affrontent pour trouver des trous dans un progiciel donné. Variante: la source est disponible, auditez le code source.
  • Les équipes s'affrontent pour pénétrer le réseau de leurs adversaires. Variantes:
    • Imposer des restrictions, par exemple les utilisateurs doivent avoir accès à distance, sans fil, etc.
    • Insider malveillant - l'équipe adverse contrôle un nœud sur votre réseau. Détectez et répondez.
  • Les équipes s'affrontent pour analyser les logiciels malveillants et déployer des contre-mesures.
C'est une excellente réponse. Quelques bons points à considérer!
#5
+4
Bradley Kreider
2011-02-08 23:32:43 UTC
view on stackexchange narkive permalink

Je pense que la meilleure façon d'amener les gens à considérer la sécurité comme une chose réelle plutôt que abstraite est d'enseigner les véritables principes de base, séparés des ordinateurs. Commencez par la sécurité physique et les différences entre cela et la sécurité informatique.

  1. Les gens rejettent la sécurité car elle est en grande partie un théâtre de sécurité: verrouillage après 3 tentatives infructueuses, accès physique aux machines, clé Loggers vs politiques de mot de passe draconiennes.

  2. Arbres de menaces: laissez les élèves développer leurs propres arbres de menaces. Est-il plus probable que quelqu'un enregistre au clavier la machine de la bibliothèque ou trouve son mot de passe de 12 caractères qui doit changer tous les 3 mois et utiliser 4 classes différentes de caractères? Les enfants sont doués pour faire des farces et doivent souvent compromettre la sécurité physique, alors puisez-y.

  3. Démontrez des exploits effrayants. Au chapeau noir, ils ont généralement un mur de la honte montrant tous les comptes en texte clair qu'ils ont reniflés (ils bloquent les mots de passe et une partie de l'adresse). Une application qui permettrait des sessions en texte clair en temps réel sur le campus rendrait compte de l'importance de la sécurité.

  4. Exemples de sites exploités. Consultez le spam de cialis inséré dans ce blog. C'est gênant. Les liens de spam vers l'arnaque Canadian Pharmacy. Les liens sont rompus car l'autre machine a été corrigée. C'est une arnaque très organisée et sophistiquée censée venir d'Europe de l'Est. Ils exécutent de très petits serveurs Web sur des machines fissurées pour éviter que les adresses IP ne soient inscrites sur la liste noire.

#6
+4
D.W.
2011-02-09 13:33:46 UTC
view on stackexchange narkive permalink

Je ne partage pas votre hypothèse selon laquelle les étudiants ne veulent pas entendre parler de sécurité. J'enseigne un cours de sécurité informatique de premier cycle. C'est l'un des cours les plus populaires de notre département d'informatique (pas le plus populaire, mais là-haut).

Une chose à comprendre est que la plupart des collèges / universités sont intéressés par l'enseignement de concepts et de principes qui durer toute une vie d'étudiant. En comparaison, l'enseignement de compétences qui peuvent être obsolètes dans 5 ans est une priorité moindre. Donc, si vous voulez une formation professionnelle pour le logiciel du jour, les entreprises devront probablement la fournir en formant leurs employés. Mais si vous voulez des gens qui savent penser à la sécurité, qui savent comment penser comme un attaquant, qui connaissent les principes fondamentaux de la sécurité, alors c'est quelque chose qu'un programme universitaire bien conçu peut offrir.

J'ai parlé aux futurs employeurs de nos diplômés, et je ne les ai jamais entendus se plaindre que les étudiants qui suivent notre cours de sécurité deviennent des nazis de la sécurité. Au contraire, le commentaire le plus courant que je reçois des employeurs est le suivant: pouvez-vous ajouter plus de matériel sur la sécurité dans plus de vos cours?

Je réalise que cela diffère de vos propres perceptions, mais vous avez demande plus de points de vue. C'est à moi.

#7
+2
Philip Polstra
2011-10-05 23:51:43 UTC
view on stackexchange narkive permalink

Je suis d'accord avec votre affirmation. Il semble que nous ayons deux camps d'étudiants. Nous devons éduquer tous les étudiants de l'industrie informatique XX sur les bases de la sécurité. Dans mon université, nous forçons toutes les majors de l'informatique informatique (CIS) et de l'informatique informatique (CIT) à suivre mon cours d'introduction à la sécurité civile. CIT major doivent également suivre au moins un cours de suivi sur infosec.

Exiger de tous les étudiants qu'ils suivent au moins un cours d'intro infosec est un premier pas vers l'amélioration de la situation. Cependant, je ne pense pas que ce soit suffisant. Je pense que la façon dont le cours est enseigné compte également. Par exemple, je prends l'habitude de rappeler aux étudiants que «la sécurité de l'information n'est pas seulement la sécurité informatique» au moins une fois par semaine. Je fais cela parce que je pense qu'en tant que techniciens, nous avons tendance à plonger dans les détails de tout ce que nous pouvons faire pour abuser des systèmes informatiques. C'est une sorte de façon d'essayer de ressembler à un geek alpha (Regarde ce que je peux faire, personne n'est en sécurité ...). Se concentrer strictement sur les technologies amusantes et ignorer tout le reste semble créer un fossé entre les deux camps. Les nazis en mangent et veulent appliquer des politiques ridicules (et inefficaces) après l'obtention de leur diplôme. Les étudiants qui ne recherchent pas une carrière dans le domaine de l’infosec endurent simplement la classe et continuent d’être ignorants de la sécurité et déterminés à résister aux politiques des nazis.

Pour moi, j’essaie de trouver un équilibre entre les étudiants qui enseignent. à propos de la technologie infosec cool et amusante et les aider à comprendre qu'Infosec est bien plus que des tests de stylet, des scans vuln, un av, etc. J'ai une configuration amusante pour eux avec quelques systèmes sur un réseau isolé qu'ils peuvent pirater. Même les étudiants qui ne s'intéressent pas à l'infosec semblent apprécier cela. Espérons qu'ils obtiennent leur diplôme un peu plus sage et sans haine pour tout ce qui concerne infosec.

#8
+2
James Rigby
2011-10-06 04:03:12 UTC
view on stackexchange narkive permalink

Je me demande si les diplômés sont le bon endroit pour commencer?

On peut soutenir qu'un bon professionnel de la sécurité (ou même n'importe quel professionnel) a besoin de bonnes bases en affaires au moins, et probablement en TI / SI . Prendre quelqu'un de l'université et le mettre directement dans l'infosec signifie qu'il est beaucoup plus probable qu'il finisse par devenir un nazi de la sécurité.

Peut-être que l'approche devrait être de se concentrer sur le niveau de chef d'équipe / gestionnaire junior au sein des entreprises. Ils connaissent déjà les rouages ​​de l'entreprise, comment influencer, persuader et gérer la politique - et recherchent leur créneau. Maintenant, s'ils sont dans l'informatique, ils peuvent probablement emprunter la route infosec ou IT sec (ou les deux); une personne non technophile devra peut-être se concentrer sur la sécurité informatique et se familiariser avec la sécurité informatique pendant quelques années. Mais c'est là que je mettrais mes énergies si je cherchais à m'assurer que les dirigeants du futur étaient soucieux de la sécurité.

#9
+1
The IMT
2012-07-29 20:45:43 UTC
view on stackexchange narkive permalink

Je vois les mêmes problèmes que vous, mais j'ai trouvé une solution partielle en travaillant en tant que responsable des programmes de sécurité des opérations pour une grande multinationale. J'ai eu la chance d'avoir le soutien de quelques cadres clés et un très bon programme de départ pour les nouveaux diplômés. L'approche préexistante était simple: cette entreprise embaucherait un bloc d'ingénieurs nouvellement diplômés et de types CS, les signait pour un contrat de 2 ans puis les faisait tourner dans chacun de plusieurs groupes / postes au cours de cette période. Ils peuvent, par exemple, passer quelques mois à prendre en charge un grand commutateur de jonction, puis passer plusieurs mois à écrire un nouveau code pour ce même commutateur. D'autres peuvent passer du temps à développer du nouveau matériel, puis passer du temps à prendre en charge la gestion du réseau. La décision autour de quels groupes chaque nouveau diplômé irait était une combinaison de compétences, de désirs et de besoins, à la fois du nouvel employé et des différentes organisations.

Le peu que j'ai ajouté était d'inclure un ensemble d'options pour ces les nouveaux diplômés reçoivent les mêmes types d'exposition réelle à la sécurité. Nous avons mis au point des plans pour que ces nouvelles personnes apprennent la sécurité informatique du groupe de sécurité informatique, nous avions quelques groupes de réponse aux incidents avec lesquels ils pouvaient travailler, et j'en avais même parfois quelques-uns qui aidaient sur la politique. De cette façon, lorsqu'ils ont atterri où que ce soit (en supposant qu'on leur offre un poste permanent à la fin du programme), ils avaient un certain niveau de compréhension de la sécurité et des défis associés dans le monde réel.

Cela dit, je comprends qu'un tel programme n'est pas réaliste pour la plupart des employeurs. Il serait peut-être possible, cependant, de créer quelques postes de type stagiaire d'été qui offrent la même exposition de base, à un coût bien réduit. Mon expérience est que, à mesure que les techniciens sont exposés aux vrais défis et opportunités dans l'espace de sécurité, leur approche devient plus raisonnable et équilibrée. Nous avons rapidement découvert que cela ne prend pas beaucoup de temps non plus. Il n'était pas nécessaire qu'ils en apprennent suffisamment pour faire le travail, mais seulement qu'ils acquièrent une solide compréhension de la réalité. Dans la plupart des cas, quelques mois (à peu près la durée des vacances d'été) avec une équipe de sécurité ont fourni une expérience plus que suffisante pour avoir un résultat très positif.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 2.0 sous laquelle il est distribué.
Loading...