Nghịch lý an ninh mạng: Tại sao miễn phí lại tốn kém quá nhiều

Vâng, vâng, vâng. Hãy xem con mèo kéo thứ gì từ không gian mạng vào. Ngành công nghiệp an ninh mạng đang thực hiện một trò ảo thuật khiến Houdini phải tự hào: đồng thời tăng giá tư vấn và tràn ngập thị trường với những người mới vào nghề với đôi mắt mở to. Một nghịch lý được gói gọn trong một câu đố, đi kèm với một chút mỉa mai. Bạn nghĩ rằng đây sẽ là lý do để ăn mừng nhưng hãy giữ bình tĩnh. Màn xiếc nhỏ này có thể chỉ khiến chúng ta ngã sấp mặt, gợi nhớ đến thảm họa gia công phần mềm khiến các cựu chiến binh CNTT mất ngủ vào ban đêm. Vì vậy, hãy vén bức màn che đậy vở kịch kỹ thuật số này và xem liệu chúng ta có thể phát hiện ra trò lừa bịp trước khi quá muộn hay không. Cộng đồng an ninh mạng từng tự hào về tinh thần đồng chí và mục đích chung. Tuy nhiên, tinh thần này đã bị xói mòn bởi cuộc đua xuống đáy về giá cả và giá trị nhận thức. Bằng cách cung cấp đào tạo và dịch vụ miễn phí hoặc cực kỳ rẻ, ngành công nghiệp vô tình gửi đi thông điệp rằng những kỹ năng và nỗ lực này không có nhiều giá trị thực chất.

Sự trỗi dậy của văn hóa người có sức ảnh hưởng trong an ninh mạng

Sự mất giá của chuyên môn an ninh mạng càng trầm trọng hơn do sự gia tăng của “ văn hóa người có sức ảnh hưởng ” trong ngành. Trong những năm gần đây, đã có một làn sóng cá nhân tập trung vào việc xây dựng thương hiệu cá nhân và trở thành người có sức ảnh hưởng trong lĩnh vực an ninh mạng. Trong khi một số tiếng nói này cung cấp những hiểu biết có giá trị, lĩnh vực này đã trở nên bão hòa với những người háo hức chia sẻ suy nghĩ của họ, bất kể trình độ chuyên môn hoặc kinh nghiệm thực tế của họ.

Sự gia tăng của các chuyên gia tự xưng này đã dẫn đến một lượng lớn tiếng ồn trong bối cảnh thông tin an ninh mạng (Xem bài viết của Alyssa Miller về “Infosec Rockstars vs Influencers”) . Các nền tảng truyền thông xã hội và diễn đàn trực tuyến tràn ngập lời khuyên, mẹo và “đào tạo” với chất lượng khác nhau. Thật không may, số lượng thường lấn át chất lượng, khiến người học khó phân biệt được thông tin có giá trị với suy đoán đơn thuần hoặc những lời giải thích quá đơn giản.

Sự phong phú của nội dung miễn phí hoặc giá rẻ tạo ra nhận thức sai lầm rằng giáo dục an ninh mạng chất lượng cao phải dễ tiếp cận và không tốn kém. Do đó, các nhà cung cấp đào tạo có uy tín như Viện SANS , CISA (Cơ quan An ninh mạng và Cơ sở hạ tầng) và Cybrary , cung cấp các khóa học toàn diện, được thẩm định và cập nhật, thường được coi là đắt đỏ.

Thực tế là việc phát triển và duy trì chương trình đào tạo an ninh mạng hiện tại, chất lượng cao đòi hỏi nguồn lực và chuyên môn đáng kể. Tuy nhiên, nhiều chuyên gia an ninh mạng đầy tham vọng, phải đối mặt với mức học phí lên tới hàng nghìn đô la, đã lựa chọn các giải pháp thay thế miễn phí hoặc giá cả phải chăng hơn. Lựa chọn này, mặc dù có thể hiểu được từ góc độ tài chính, nhưng thường dẫn đến những khoảng trống về kiến thức và kỹ năng có thể gây ra hậu quả nghiêm trọng trong các tình huống an ninh mạng thực tế.

Xu hướng này tạo ra một vòng luẩn quẩn. Khi ngày càng nhiều người chuyển sang các nguồn tài nguyên miễn phí hoặc giá rẻ, sẽ có ít hỗ trợ tài chính hơn cho các chương trình đào tạo chất lượng cao. Điều này có khả năng dẫn đến sự suy giảm chất lượng chung của giáo dục an ninh mạng, ngay khi nhu cầu về các chuyên gia lành nghề đang ở mức cao nhất.

Hơn nữa, việc tập trung vào thương hiệu cá nhân và vị thế người có sức ảnh hưởng có thể làm chệch hướng sự chú ý khỏi nhiệm vụ cốt lõi của an ninh mạng: bảo vệ hệ thống, dữ liệu và con người. Khi mục tiêu trở thành thu hút người theo dõi thay vì phát triển chuyên môn sâu, toàn bộ ngành sẽ bị ảnh hưởng.

Gia công Boomerang: Bài học công nghệ lịch sử bị bỏ qua

Tình hình này kỳ lạ gợi nhớ đến một câu trích dẫn nổi tiếng trong loạt phim Battlestar Galactica được tái hiện: “ Tất cả những điều này đã từng xảy ra trước đây. Tất cả những điều này sẽ lại xảy ra lần nữa. ” Thật vậy, chúng ta đã thấy những mô hình tương tự diễn ra trong các lĩnh vực công nghệ khác, đáng chú ý nhất là trong cơn sốt gia công phần mềm vào đầu những năm 2000.

Trong thời gian đó, nhiều công ty Mỹ đã vội vã thuê ngoài phát triển phần mềm cho các quốc gia như Ấn Độ, bị thu hút bởi chi phí lao động thấp hơn đáng kể. Mặc dù chiến lược này có vẻ hợp lý về mặt kinh tế trong ngắn hạn, nhưng nó đã gây ra hậu quả sâu rộng cho ngành công nghiệp công nghệ Hoa Kỳ – hãy đọc bài báo nghiên cứu này “ Tác động của việc thuê ngoài dịch vụ CNTT ở nước ngoài đối với nền kinh tế Hoa Kỳ ” của Kalyan Chakraborty và William Remington để biết thêm chi tiết:

Chuyển việc ra nước ngoài: Một số lượng lớn việc làm trong ngành dịch vụ của Hoa Kỳ, đặc biệt là trong lĩnh vực CNTT, đã được chuyển ra nước ngoài. Đến năm 2015, ước tính có 3,4 triệu việc làm trong ngành dịch vụ của Hoa Kỳ sẽ được chuyển ra nước ngoài. Sự thay đổi này được thúc đẩy bởi việc tiết kiệm chi phí liên quan đến việc thuê ngoài, cho phép các công ty giảm giá phần mềm và dịch vụ, tăng năng suất và đầu tư vào các công nghệ và ý tưởng kinh doanh mới.

Bằng cách chuyển các vị trí đầu vào ra nước ngoài, các công ty Mỹ vô tình tạo ra một khoảng trống trong nguồn nhân tài trong nước của họ. Những người mới tốt nghiệp ngày càng thấy khó khăn hơn trong việc tích lũy kinh nghiệm cần thiết để thăng tiến trong sự nghiệp. Quay lại 15 năm trước, Hoa Kỳ hiện đang phải đối mặt với tình trạng thiếu hụt các nhà phát triển cấp cao và quản lý kỹ thuật giàu kinh nghiệm – những chuyên gia đã từng làm việc ở những công việc đầu vào đó cách đây một thập kỷ rưỡi.

Trớ trêu thay, làn sóng gia công phần mềm hiện đang chống lại những người đi đầu như Ấn Độ. Khi các công ty tìm kiếm nguồn lao động ngày càng rẻ hơn hoặc chuyển sang tự động hóa, những người làm công nghệ Ấn Độ thấy mình đang phải đối mặt với những thách thức tương tự như những người đồng cấp người Mỹ của họ đã từng trải qua nhiều năm trước.

Sự tương đồng với tình trạng an ninh mạng hiện tại là rõ ràng và đáng lo ngại. Bằng cách đánh giá thấp yếu tố con người trong an ninh mạng – dù là thông qua đào tạo miễn phí, giá dịch vụ cực thấp hay quá phụ thuộc vào AI – chúng ta có nguy cơ tạo ra khoảng cách nhân tài tương tự trong lĩnh vực quan trọng này.

Ngành an ninh mạng phải học hỏi từ những bài học lịch sử này. Mặc dù đổi mới và hiệu quả về chi phí là quan trọng, nhưng chúng không nên đánh đổi bằng việc nuôi dưỡng tài năng và chuyên môn của con người. Bản chất phức tạp, không ngừng phát triển của các mối đe dọa mạng đòi hỏi một lực lượng lao động không chỉ có kỹ năng mà còn liên tục phát triển và thích nghi.

Khi chúng ta tiến về phía trước, điều quan trọng là phải cân bằng giữa việc tận dụng các công nghệ mới và coi trọng chuyên môn của con người. Chỉ bằng cách công nhận và đền bù xứng đáng cho các kỹ năng và nỗ lực của các chuyên gia an ninh mạng, chúng ta mới có thể đảm bảo khả năng phòng thủ mạnh mẽ và hiệu quả trước các mối đe dọa kỹ thuật số trong tương lai.

Bản chất chu kỳ của các xu hướng công nghiệp này đóng vai trò như một lời nhắc nhở rằng lợi ích ngắn hạn thường dẫn đến những thách thức dài hạn. Khi chúng ta định hướng tương lai của an ninh mạng, hãy cố gắng phá vỡ chu kỳ này và xây dựng một mô hình bền vững coi trọng cả sự đổi mới và chuyên môn của con người.

Bản tóm tắt

Ngành an ninh mạng đang phải đối mặt với một thách thức quan trọng: sự mất giá của chuyên môn và dịch vụ, được thúc đẩy bởi đào tạo miễn phí nhưng thường kém chất lượng và bối cảnh thông tin quá bão hòa. Xu hướng này, gợi nhớ đến những sai lầm trong quá trình thuê ngoài trước đây, đe dọa làm suy yếu hiệu quả của lĩnh vực này trước các mối đe dọa kỹ thuật số đang phát triển. Để bảo vệ tương lai của an ninh mạng, các bên liên quan phải:

 Recognize the true value of expert knowledge and quality training

 Critically evaluate information sources and invest in reputable education

 Prioritize building a skilled workforce over personal brand promotion

Bằng cách giải quyết những vấn đề quan trọng này, ngành công nghiệp có thể duy trì tính toàn vẹn, cải thiện nguồn nhân tài và nâng cao năng lực bảo vệ cơ sở hạ tầng kỹ thuật số của chúng ta trong bối cảnh các mối đe dọa ngày càng phức tạp.

Tín dụng

Tôi muốn ghi nhận một cuộc thảo luận đang diễn ra giữa những người sáng lập ThreatGEN và tôi về cách đào tạo miễn phí và các dịch vụ chi phí thấp đang phá hủy an ninh mạng. Clint Bodungen , Aaron Shbeeb và Matthew Anderson đã cảm nhận được điều này trực tiếp. Jeff Whitney và Gary Leibowitz với tư cách là thành viên hội đồng quản trị đang giúp chống lại “ tâm lý miễn phí ” đang thịnh hành này.

Tôi cũng muốn cảm ơn người bạn thân nhất của tôi, Patrick Anderson , người đang trải nghiệm điều này từ một góc nhìn khác – quy trình và triển khai gia công CNTT. Patrick và tôi cùng với Eddie Tipton là đối tác của Systems Evolution Incorporated trong những năm đầu từ 1999 đến 2003, và chúng tôi là một phần của hoạt động gia công tại chỗ với các công ty như EDS, Accenture và các công ty tư vấn lớn khác. Sau này trong quá trình phát triển của Systems Evolution (vào thời điểm đó, là một công ty đại chúng), chúng tôi đã mua lại Duration Software, công ty phát triển phần mềm tùy chỉnh lớn nhất của tiểu bang Texas. Chris Montgomery , Rich Steinle , Frank Prevatt và Scott Friesen cùng những người khác hiểu được các giai đoạn sau của hoạt động gia công khi chúng tôi đang cạnh tranh với làn sóng gia công ngoài khơi.

Cuối cùng, tôi tiết lộ rằng tôi đã sử dụng Claude của Anthropic để trau dồi suy nghĩ của mình cũng như sử dụng công cụ tìm kiếm của Perplexity để tìm tài liệu tham khảo nhấn mạnh suy nghĩ của mình.

Đây là liên kết tới bài viết gốc trên LinkedIn.