周末在Steelcon会议上进行行业变化的呼吁
在今年的Steelcon会议上,推动行业变革是一个主要主题,呼吁集成和安全开发是主要的谈话要点。
没有模型来应对当前风险环境的现实。数字中断萨斯基亚·科普兰(Saskia Coplans),与谢菲尔德(Sheffield)的研究员阿利斯泰尔·奥尼尔(Alistair O’Neill)一起展示。
Coplans告诉SteelCon与会者:“技术一直在移动,但安全没有改变。”强调了时间和成本限制如何超过实施适当的安全措施。
O’Neill补充说:“对安全的需求没有受到限制。”“只要您存储数据,就将继续进行信息安全。这是一件永无止境的事情。”
这些约束可能发生的一个很好的例子是在笔测试期间,分配给发现漏洞的时间通常与安全预算的规模有关 - 通常是基于最小和反动的。
笔测试人员通常会花费大量时间警告开发人员有关相同类型的漏洞,何时可以专注于更复杂的漏洞利用,从而通过减轻Infosec员工的压力来进一步改善安全生态系统。
奥尼尔说:“基本上,这涉及将安全性整合到开发管道中。”
“因此,安全的责任是在整个团队中分配的,并且在一段时间之后,您可以摆脱技术债务。”
将安全性集成到管道中 - 通常称为DevSecops- 所涉及的不同角色之间需要更少的冲突。
需要更多的关注,以创建可以帮助保护软件免受一开始的工具。
这意味着创建新的方法来建立已经婴儿的劳动力,这是其非传统入境途径而闻名的,经验和指导可以等于资格。
Coplans说:“对于应对风险的职业来说,这是不寻常的。”
“其他所有处理风险的职业都将具有例如普遍技能,在做什么方面的可扩展性,监管和问责制。”
缺乏明确的职业途径和技能的定义使Infosec陷入了远离传统开发商的角色的泡沫中。
Coplans说,安全行业需要的是某种能力清单,该清单确保企业,雇主和教育机构对需要哪些技能达成一致。
Coplans指着技能矩阵- 映射Infosec某些角色所需功能的文档。
它是由马克·卡尼丹尼斯·格罗夫斯(Dennis Groves),旨在改变招聘经理和招聘人员的实践,同时帮助教育者和学生为他们应该学习的内容提供良好的基础。
Coplans说:“有一些技术和非技术人员已经处于整理软件的生态系统中。”
“如果我们开始使用工具来赋予他们权力,以使他们思考如何更安全地操作,那么我们可以开始散布安全的责任,以便不仅仅是作为安全专业人员坐在我们身上。”
她补充说:“这不会使我们失业,这使我们更有用和有针对性。”
