Cybersecurity insiders發佈了一篇彌補關鍵基礎設施的網路安全技能差距
網路安全技能缺口是當今企業面臨的一個重大挑戰,尤其是在關鍵基礎設施(CI)領域,如能源、交通、通訊等,這些領域的數位化轉型不僅涉及資訊科技(IT),還涉及運營科技(OT),如控制系統、感測器、監控設備等。這些OT系統與IT系統的連接,為提高效率和創新帶來了機遇,但也增加了網路安全風險,因為它們可能成為黑客的攻擊目標,對公共安全和國家安全造成嚴重威脅[。
根據英國國家網路安全中心(NCSC)的報告,過去一年,英國的網路安全職位招聘增加了30%,但要滿足這種日益增長的需求,英國的網路安全勞動力還需要增加11,200名員工。這個挑戰在CI領域更加突出,因為保護OT系統需要與保護IT環境不同的技能和知識,然而,大多數網路安全培訓和資訊都是針對IT安全,而不是OT安全。
那麼,CI組織如何應對網路安全技能缺口呢?以下是一些可能的策略:
培養安全意識和文化
根據Verizon的報告,74%的資料外洩是由人為錯誤造成的。因此,提高組織內所有員工的安全意識和文化,是減少人為錯誤和減輕網路安全員工工作負擔的重要途徑。一個良好的安全文化,可以鼓勵員工識別和舉報可疑的郵件或活動,並及時向相關團隊報告。這種行為可以阻止攻擊在組織內部傳播。建立安全文化的方法,可以包括定期進行安全教育和培訓,以及持續評估內部措施的影響。
重訓和提升現有的網路安全人才
由於網路安全技能的需求不斷增長,而且涉及到各種專業領域,如威脅分析、滲透測試、人工智慧等,因此,CI組織不能僅依靠招聘新人來解決技能缺口的問題,還需要重訓和提升現有的網路安全人才,讓他們能夠適應不斷變化的網路安全環境。這可以通過提供內部或外部的培訓課程、認證考試、線上學習資源、導師計畫、交流計畫等方式來實現。重訓和提升現有的網路安全人才,不僅可以增強他們的技能和知識,還可以提高他們的工作滿意度和忠誠度。
建立跨部門和跨領域的合作
CI組織的網路安全,不僅是網路安全部門的責任,還需要與其他部門和領域的人員合作,如IT部門、OT部門、法律部門、風險管理部門、業務部門等。這樣可以促進資訊和經驗的共享,並確保網路安全的策略和措施與組織的目標和需求相一致。此外,CI組織還可以與其他CI組織、政府機構、學術機構、行業協會等外部夥伴建立合作關係,以共同應對網路安全的挑戰和威脅。
採用新的技術和工具
隨著科技的發展,CI組織可以採用新的技術和工具,來提高網路安全的效率和效果,例如人工智慧、雲端運算、區塊鏈等。這些技術和工具可以幫助CI組織自動化和優化網路安全的流程和任務,如監測、分析、預測、預防、應對等。同時,這些技術和工具也可以增強CI組織的創新能力和競爭優勢。然而,採用新的技術和工具,也需要CI組織考慮其成本、可用性、可靠性、相容性、安全性等因素,並確保其與現有的系統和人員相協調。
總之,網路安全技能缺口是一個長期存在的問題,需要CI組織採取多種策略來應對。這些策略包括培養安全意識和文化、重訓和提升現有的網路安全人才、建立跨部門和跨領域的合作、採用新的技術和工具等。這些策略旨在提高CI組織的網路安全能力和水平,從而保護其關鍵的資產和服務,並為社會和國家的安全和發展做出貢獻。
詳情請看: