Парадокс кибербезопасности: почему бесплатное стоит слишком дорого

Ну, ну, ну. Посмотрите, что кот притащил из киберпространства. Индустрия кибербезопасности проворачивает фокус, которым гордился бы Гудини: одновременно завышая цены консультантов и наводняя рынок широко открытыми глазами новичков. Парадокс, завернутый в загадку, поданную с долей иронии. Вы могли бы подумать, что это повод для празднования, но придержите коней. Этот маленький цирковой номер может просто подготовить нас к впечатляющему падению лицом вниз, напоминающему фиаско аутсорсинга, которое не дает ветеранам ИТ спать по ночам. Итак, давайте приоткроем занавес над этой цифровой драмой и посмотрим, сможем ли мы заметить ловкость рук, пока не стало слишком поздно. Сообщество кибербезопасности когда-то гордилось чувством товарищества и общей целью. Однако этот дух был подорван гонкой на дно с точки зрения ценообразования и воспринимаемой ценности. Предлагая бесплатное или очень дешевое обучение и услуги, отрасль непреднамеренно посылает сигнал о том, что эти навыки и усилия имеют небольшую внутреннюю ценность.

Рост влияния культуры в сфере кибербезопасности

Девальвация экспертных знаний в области кибербезопасности еще больше усугубляется ростом « культуры влияния » в отрасли. В последние годы наблюдается всплеск людей, сосредоточенных на создании своего личного бренда и становлении влиятельными лицами в сфере кибербезопасности. Хотя некоторые из этих голосов дают ценные идеи, сфера перенасыщена людьми, стремящимися поделиться своими мыслями, независимо от их фактического опыта или знаний.

Такое распространение самопровозглашенных экспертов привело к подавляющему количеству шума в информационном ландшафте кибербезопасности (см. статью Алиссы Миллер «Infosec Rockstars vs Influencers») . Платформы социальных сетей и онлайн-форумы переполнены советами, подсказками и «обучением» разного качества. К сожалению, количество часто заглушает качество, из-за чего учащимся сложно отличить ценную информацию от простых домыслов или упрощенных объяснений.

Обилие бесплатного или недорогого контента создает ложное представление о том, что качественное образование в области кибербезопасности должно быть легкодоступным и недорогим. В результате авторитетные поставщики обучения, такие как SANS Institute , CISA (Cybersecurity and Infrastructure Security Agency) и Cybrary , которые предлагают комплексные, проверенные и актуальные курсы, часто воспринимаются как непомерно дорогие.

Реальность такова, что разработка и поддержание высококачественного, актуального обучения по кибербезопасности требует значительных ресурсов и опыта. Однако многие начинающие специалисты по кибербезопасности, столкнувшись с платой за курсы в тысячи долларов, выбирают более доступные или бесплатные альтернативы. Этот выбор, хотя и понятный с финансовой точки зрения, часто приводит к пробелам в знаниях и навыках, которые могут иметь серьезные последствия в реальных сценариях кибербезопасности.

Эта тенденция создает порочный круг. Поскольку все больше людей обращаются к бесплатным или дешевым ресурсам, финансовая поддержка высококачественных программ обучения снижается. Это может потенциально привести к снижению общего качества образования в области кибербезопасности, как раз тогда, когда потребность в квалифицированных специалистах наиболее высока.

Более того, фокус на личном брендинге и статусе влиятельного лица может отвлечь внимание от основной миссии кибербезопасности: защиты систем, данных и людей. Когда целью становится накопление последователей, а не развитие глубокой экспертизы, страдает вся отрасль.

Бумеранг аутсорсинга: проигнорированный технический урок истории

Ситуация пугающе перекликается с известной цитатой из переосмысленной серии Battlestar Galactica: « Все это уже случалось раньше. Все это случится снова». Действительно, мы видели, как похожие модели разыгрывались в других технологических секторах, особенно во время аутсорсингового бума в начале 2000-х годов.

В этот период многие американские компании поспешили передать разработку программного обеспечения на аутсорсинг в такие страны, как Индия, привлеченные значительно более низкой стоимостью рабочей силы. Хотя эта стратегия казалась экономически выгодной в краткосрочной перспективе, она имела далеко идущие последствия для технологической отрасли США — прочитайте эту исследовательскую статью « Влияние офшорного аутсорсинга ИТ-услуг на экономику США » Кальяна Чакраборти и Уильяма Ремингтона для получения более подробной информации:

Перевод рабочих мест за границу: Значительное количество рабочих мест в сфере услуг США, особенно в сфере ИТ, было переведено за границу. К 2015 году предполагалось, что 3,4 млн рабочих мест в сфере услуг США будут переведены за границу. Этот сдвиг был обусловлен экономией средств, связанной с аутсорсингом, что позволило компаниям снизить цены на программное обеспечение и услуги, повысить производительность и инвестировать в новые технологии и бизнес-идеи.

Переведя начальные должности за границу, американские компании непреднамеренно создали пробел в своем внутреннем кадровом резерве. Недавним выпускникам становилось все труднее приобретать необходимый опыт для продвижения по карьерной лестнице. Прошло 15 лет, и теперь в США наблюдается нехватка опытных старших разработчиков и технических менеджеров — профессионалов, которые могли бы набраться опыта на этих начальных должностях полтора десятилетия назад.

По иронии судьбы, волна аутсорсинга сейчас поворачивается против таких ранних последователей, как Индия. Поскольку компании ищут все более дешевые источники рабочей силы или обращаются к автоматизации, индийские технические специалисты сталкиваются с теми же проблемами, что и их американские коллеги много лет назад.

Параллели с текущим состоянием кибербезопасности очевидны и вызывают беспокойство. Недооценивая человеческий фактор в кибербезопасности — будь то посредством бесплатного обучения, предельно низких цен на услуги или чрезмерной зависимости от ИИ — мы рискуем создать аналогичный дефицит талантов в этой критической области.

Индустрия кибербезопасности должна извлечь уроки из этих исторических уроков. Хотя инновации и экономическая эффективность важны, они не должны идти в ущерб развитию человеческого таланта и опыта. Сложная, постоянно меняющаяся природа киберугроз требует рабочей силы, которая не только квалифицирована, но и постоянно развивается и адаптируется.

По мере продвижения вперед крайне важно найти баланс между использованием новых технологий и оценкой человеческого опыта. Только признавая и соответствующим образом вознаграждая навыки и усилия специалистов по кибербезопасности, мы можем обеспечить надежную и эффективную защиту от будущих цифровых угроз.

Цикличность этих отраслевых тенденций служит напоминанием о том, что краткосрочные выгоды часто приводят к долгосрочным проблемам. Поскольку мы ориентируемся в будущем кибербезопасности, давайте постараемся разорвать этот цикл и построить устойчивую модель, которая ценит как инновации, так и человеческий опыт.

Краткое содержание

Индустрия кибербезопасности сталкивается с критической проблемой: обесцениванием экспертных знаний и услуг, подпитываемых бесплатным, но часто некачественным обучением и перенасыщенным информационным ландшафтом. Эта тенденция, напоминающая о прошлых ошибках аутсорсинга, грозит подорвать эффективность отрасли в борьбе с развивающимися цифровыми угрозами. Чтобы защитить будущее кибербезопасности, заинтересованные стороны должны:

 Recognize the true value of expert knowledge and quality training

 Critically evaluate information sources and invest in reputable education

 Prioritize building a skilled workforce over personal brand promotion

Решая эти ключевые проблемы, отрасль сможет сохранить свою целостность, улучшить кадровый резерв и повысить способность защищать нашу цифровую инфраструктуру в условиях все более сложной картины угроз.

Кредиты

Я хотел бы отметить продолжающуюся дискуссию между основателями ThreatGEN и мной о том, как бесплатное обучение и недорогие услуги разрушают кибербезопасность. Клинт Бодунген , Аарон Шбиб и Мэтью Андерсон почувствовали это на собственном опыте. Джефф Уитни и Гэри Лейбовиц как члены совета директоров помогают бороться с этим преобладающим « свободным менталитетом ».

Я также хотел бы выразить признательность моему лучшему другу Патрику Андерсону , который переживает это с другой точки зрения – процесса и внедрения ИТ-аутсорсинга. Патрик и я вместе с Эдди Типтоном были партнерами в Systems Evolution Incorporated в первые годы с 1999 по 2003 год, и мы были частью аутсорсинга на суше с такими крупными консалтинговыми фирмами, как EDS, Accenture и другими. Позже в развитии Systems Evolution (на тот момент это была публичная компания) мы приобрели Duration Software, которая была крупнейшим разработчиком заказного программного обеспечения для штата Техас. Крис Монтгомери , Рич Стейнл , Фрэнк Преватт и Скотт Фризен среди других понимают более поздние этапы аутсорсинга, поскольку мы конкурировали с офшорной волной.

Наконец, я сообщаю, что использовал Claude от Anthropic для совершенствования своих мыслей, а также поисковую систему Perplexity для поиска ссылок , которые подчеркивают мои мысли.

Вот ссылка на оригинальную статью на LinkedIn.