美国在每年的10月份都会举办一个国家网络安全意识月,由国土安全部主办,国家网络安全联盟和多状态信息共享及分析中心协办,它致力于面向公共及私营行业,宣传共同加强工作场所、家庭、数字生活安全性的责任。
2015年美国国家网络安全意识月的最后一周主题是“培养下一代网络安全专业人员 ”。
人们对网络安全的了解还远远不够,也无法只靠自己解决安全问题。因此需要大力培养下一代受过良好教育、乐意为安全事业奉献的安全专家,以共同抵御未来的网络威胁。
为安全播种
当今的数字威胁不会在意受害者的年龄。有些远程控制木马等恶意程序甚至专门对儿童和青少年进行敲诈。承认这个现实,就有了尽早对孩子进行安全教育的动力。
百通公司网络安全主管曼迪·胡特在论述中将数字安全比作消防事业。
“当我上小学的时候,每个月都会有消防演习。每个人都会疏散并在指定地点重新集合。”
“学校不会等到真的生了火才告诉学生们如何在紧急情况下采取行动。对下一代进行网络安全教育的最好方式,就是将类似的演习也运用在网络安全领域。比如,学校在幼儿园时期就会教孩子们打字,为什么不用网络钓鱼、社会工程来考验他们呢?与此同时,还可以教他们如何安全地网上浏览。”
通过在早期教育计划中渗透安全意识,可以启发学生在年龄增长和个人发展过程中走上信息安全之路。
独立信息安全咨询机构Claus Cramon Houmann称,一旦我们吸引了未来安全专家们的兴趣,教育工作者就应当倾囊相授,同时对该行业的成功与不足之处作出诚实的评估。
“要提高用户意识和教育水平,我们应当将精力集中在给教育工作者提供与教育主题相关的各种背景信息,然后可以讲述行业技术的发展前景,以及网络安全的基础知识。”
“充满激情的教师们应当向学生强调,我们目前所做的一切都仍然不够。因此我们应当尽自己所能地传授知识,比如教他们懂得安全与隐私必须齐头并进地发展,并期待下一代能够建立一个比当今更加安全可靠的世界。”
开始信息安全生涯
一旦安全专家结束了教育过程,责任就落在了他们自己肩上,他们必须尽可能将信息安全之路走得漂亮,比如掌握正确的技能。掌握技能可以通过一些认证来实现:
Standard Deviant Security 博客的主播托尼·马丁威戈说:“考下对的证书是进入行业的极佳切入点。这并不意味着证书是你学习的重点,它们只是学习的开始,而且应当被看成是你的敲门砖。因此,你应当考虑一份通用的认证,比如注册信息系统安全师,然后在安全领域继续锻炼自己的技术专长。”
然而即使到了那时,安全领域需要的也不仅仅是技术专长。
“解决未来的问题需要许多技能。而且要想解决这些它们,我们必须从各种领域中吸收人才,比如会计、经济、刑事司法、行为心理学和公共关系,而这还只是很少的几个例子。”
优秀的写作和演讲技巧以及对企业并购的了解也很有价值,可以帮助你成为组织里的关键人物。
一旦安全专家找到了自己的位置,就可以开始利用自身优势,建立关系、深化自己的职业道路。
美国加利福尼亚调查局的策略师以及调查局学院的负责人沃尔夫冈·格尔利奇说:“在我的职业生涯中,我见到的走得最远、最快的人们都能在社区里找到导师和朋友。”
“他们不是参加几个会议了事,他们会自愿上前。他们寻找可供合作的开源项目。通过这类方式,人们能够通过日日奉献锻炼自己的技能。”
与任何职业一样,信息安全需要持久的努力和奉献精神。深入理解到这一点的参与者一定会成功,只不过是路径不同罢了。
结语
要培养下一代安全专家,作为教育者、雇主和安全从业者的我们需要在学生的职业发展早期就提供资源,让他们专注于发展兴趣和技能,而不是给他们提供能够在行业内快速晋升的关系和项目。这也体现了网络安全意识月的中心思想:安全是共同的责任,站在一起才能更好地保障线上安全。