המקום שבו אנחנו מתחילים להיכשל - הירוקים
אני אזהר הפעם בכל מילה שניה שלי , כי זהו אחד המאמרים הפחות אורתודוכסיים שפרסמתי עד כה. מקום טוב להביע בו את אחד הדברים הכי משונים והכי פוגעים בתחום אבטחת המידע בארץ ובעולם כולו. ולא אני לא מתכוון לוירוסים , ולא אני לא מתכוון להאקרים ואפילו לא לאותה מנקה שמפילה את המערכות כשהיא שואבת אבק בחדר השרתים.
אני מתכוון לירוקים.
מהו ירוק ? ובכן ירוק זהו מושג כללי לגבי אדם בעל נסיון מוגבל בתחום , או כזה שעבר הסבה מקצועית לכיוון אבטחת המידע לאחרונה , ולאחר שנה בתחום - מתגאה שהוא מוביל וממקם עצמו בין הטובים בתחום מבחינתו.
אותם ירוקים הם אותם אנשי מקצוע אשר לקחו קורס אחד או שניים באבטחת מידע , ומאותו היום מכריזים על עצמם האקרים ומומחי אבטחת מידע למיניהם. אנשים שעסקו מרבית הקריירה שלהם בתקשורת או בPC ולאחר שלמדו קורס אבטחת מידע למנהלים ( יש שלל קורסים כאלו בארץ ובעולם ) הם מכריזים על עצמם מומחים.
זה קל למדי, תחשבו על זה ... תוך שנה אפשר ללמוד למספר הסמכות טכנולוגיות ( שלא ממש מצריכות נסיון HANDS-ON בכדי לקבלן ) ולאחר מכן לפרסם בקורות החיים כאילו שזהו העיסוק העיקרי שלהם מאז ומעולם. נתקלתי בלא מעט כאלה , חלקם אפילו תפסו משרות בכירות בארגונים שונים על סמך קו"ח בלבד , ולא , המעסיק לא תמיד בודק. תחשבו על זה , כל CISSP חושב פתאום שהוא יועץ, וכל CEH חושב שהוא האקר, לא מדבר בכלל על המגוונים לכיוון MCSE SECURITY.
המשמעות העיקרית היא , שאותם אנשי HARDCORE שבעצם מהווים חוד החנית , מצטמצמים בHIGHEND כי מחליפים אותם אנשים אשר מקומם אינו שם. אנשים טובים בעלי ידע ויכולת טכנית ומודעות אבטחת מידע גבוהה הופכים לטכנאים זוטרים בחברות שונות , או אינטגרטורים בLOWEND , ואותם מחליפים כל מיני זוטרים אשר התחילו את דרכם לא מזמן , אבל עם מוטיבציה להראות שהם יודעים.
אני רואה את זה כל יום . שלא תבינו לא נכון , כאשר מדובר בפיתוח התחום והAGENDA העולמית בעולם האבטחה , אני תמידאהיה הראשון לקפוץ ולהגיד - בואו אני אסביר לכם ואעזור. אבל קשה כאשר כל SCRIPT-KIDDY או CISCO-NEWB חושב שהוא ברוס שנייר. כאשר כל אדם אשר אי פעם הפעיל כמה חתימות בIPS משווה עצמו למיטניק , וכאשר כל אדם שמרשה לעצמו ללבוש עניבה לעבודה בכל יום - מדפיס על כרטיס הביקור שלו - יועץ.
ומי נפגע ? אבטחת המידע !
הרי בכל ארגון שמחפשים איש אבטחת מידע , מנהל אבטחה או אפילו אינטגרטור חיצוני , מסתפקים ברשימת ההסמכות שלו , או בקורות החיים המאוד לא מדוייקות שלו ( 4 שנים בחברה אדם מתפקד כאיש סיסטם , בשנה האחרונה הוא למד קצת צ'קפוינט , והוא רושם ניסיון של 4 שנים בתור אדמין לFirewall ). הלקוח הוא זה שנפגע , שכן השירות שאותו הוא מקבל הוא פחות טוב, והוא משלם כסף רב עבור "מוצר" שאינו המוצר האמיתי שרכש , זה בערך כמו לקנות שעון ROLEX בתאילנד, הוא יראה את השעה בשבוע הראשון ... ומה אחר כך ?
הארגונים היום , למרות שמתגאים בכך שאנשי אבטחת מידע מהשורה הראשונה מטפלים במערכות שלהם , אינם מודעים לכך בעצם שאותם אנשים בעצם באים מרקע ירוק לחלוטים בתחום ואינם מחזיקים בכלים המצטברים לטפל בנושאים כואבים שעשויים לעלות , וגם אם כן , אז אותן החלטות שהם לוקחים הן יותר פזיזות ( ברור שכך , הרי הפזיזות נמחקת ככל שהנסיון מצטבר )
אם היה תלוי בי , בכל עסקה או תהליך בו היה מעורב תחום אבטחת המידע , היה צריך להיות מצורף מסמך ובו חתומים הגורמים מטעם החברה שמספקת את השירות , שבו רשום הניסיון הפעיל שלהם במערכות , סוג ההסמכות , ועל פי דירוג בארגון ( בעלי תפקידים ואחריות ) והיה גם גוף מוסמך אשר יכול היה לבוא ולתת חותמת לכל איש אבטחת מידע , למספר השנים הפעיל האמיתי שלהם בתחום.
לא , CCIE זה לא איש אבטחת מידע.
לא , CISSP זה לא איש אבטחת מידע.
וממש לא , CEH הוא ממש ממש לא איש אבטחת מידע.
אבטחת מידע = ניסיון ולוגיקה. לא הסמכות.
אני מתכוון לירוקים.
מהו ירוק ? ובכן ירוק זהו מושג כללי לגבי אדם בעל נסיון מוגבל בתחום , או כזה שעבר הסבה מקצועית לכיוון אבטחת המידע לאחרונה , ולאחר שנה בתחום - מתגאה שהוא מוביל וממקם עצמו בין הטובים בתחום מבחינתו.
אותם ירוקים הם אותם אנשי מקצוע אשר לקחו קורס אחד או שניים באבטחת מידע , ומאותו היום מכריזים על עצמם האקרים ומומחי אבטחת מידע למיניהם. אנשים שעסקו מרבית הקריירה שלהם בתקשורת או בPC ולאחר שלמדו קורס אבטחת מידע למנהלים ( יש שלל קורסים כאלו בארץ ובעולם ) הם מכריזים על עצמם מומחים.
זה קל למדי, תחשבו על זה ... תוך שנה אפשר ללמוד למספר הסמכות טכנולוגיות ( שלא ממש מצריכות נסיון HANDS-ON בכדי לקבלן ) ולאחר מכן לפרסם בקורות החיים כאילו שזהו העיסוק העיקרי שלהם מאז ומעולם. נתקלתי בלא מעט כאלה , חלקם אפילו תפסו משרות בכירות בארגונים שונים על סמך קו"ח בלבד , ולא , המעסיק לא תמיד בודק. תחשבו על זה , כל CISSP חושב פתאום שהוא יועץ, וכל CEH חושב שהוא האקר, לא מדבר בכלל על המגוונים לכיוון MCSE SECURITY.
המשמעות העיקרית היא , שאותם אנשי HARDCORE שבעצם מהווים חוד החנית , מצטמצמים בHIGHEND כי מחליפים אותם אנשים אשר מקומם אינו שם. אנשים טובים בעלי ידע ויכולת טכנית ומודעות אבטחת מידע גבוהה הופכים לטכנאים זוטרים בחברות שונות , או אינטגרטורים בLOWEND , ואותם מחליפים כל מיני זוטרים אשר התחילו את דרכם לא מזמן , אבל עם מוטיבציה להראות שהם יודעים.
אני רואה את זה כל יום . שלא תבינו לא נכון , כאשר מדובר בפיתוח התחום והAGENDA העולמית בעולם האבטחה , אני תמידאהיה הראשון לקפוץ ולהגיד - בואו אני אסביר לכם ואעזור. אבל קשה כאשר כל SCRIPT-KIDDY או CISCO-NEWB חושב שהוא ברוס שנייר. כאשר כל אדם אשר אי פעם הפעיל כמה חתימות בIPS משווה עצמו למיטניק , וכאשר כל אדם שמרשה לעצמו ללבוש עניבה לעבודה בכל יום - מדפיס על כרטיס הביקור שלו - יועץ.
ומי נפגע ? אבטחת המידע !
הרי בכל ארגון שמחפשים איש אבטחת מידע , מנהל אבטחה או אפילו אינטגרטור חיצוני , מסתפקים ברשימת ההסמכות שלו , או בקורות החיים המאוד לא מדוייקות שלו ( 4 שנים בחברה אדם מתפקד כאיש סיסטם , בשנה האחרונה הוא למד קצת צ'קפוינט , והוא רושם ניסיון של 4 שנים בתור אדמין לFirewall ). הלקוח הוא זה שנפגע , שכן השירות שאותו הוא מקבל הוא פחות טוב, והוא משלם כסף רב עבור "מוצר" שאינו המוצר האמיתי שרכש , זה בערך כמו לקנות שעון ROLEX בתאילנד, הוא יראה את השעה בשבוע הראשון ... ומה אחר כך ?
הארגונים היום , למרות שמתגאים בכך שאנשי אבטחת מידע מהשורה הראשונה מטפלים במערכות שלהם , אינם מודעים לכך בעצם שאותם אנשים בעצם באים מרקע ירוק לחלוטים בתחום ואינם מחזיקים בכלים המצטברים לטפל בנושאים כואבים שעשויים לעלות , וגם אם כן , אז אותן החלטות שהם לוקחים הן יותר פזיזות ( ברור שכך , הרי הפזיזות נמחקת ככל שהנסיון מצטבר )
אם היה תלוי בי , בכל עסקה או תהליך בו היה מעורב תחום אבטחת המידע , היה צריך להיות מצורף מסמך ובו חתומים הגורמים מטעם החברה שמספקת את השירות , שבו רשום הניסיון הפעיל שלהם במערכות , סוג ההסמכות , ועל פי דירוג בארגון ( בעלי תפקידים ואחריות ) והיה גם גוף מוסמך אשר יכול היה לבוא ולתת חותמת לכל איש אבטחת מידע , למספר השנים הפעיל האמיתי שלהם בתחום.
לא , CCIE זה לא איש אבטחת מידע.
לא , CISSP זה לא איש אבטחת מידע.
וממש לא , CEH הוא ממש ממש לא איש אבטחת מידע.
אבטחת מידע = ניסיון ולוגיקה. לא הסמכות.
Labels: thesis
| Link 
הי בארי
הסכמתי כמעט עם כל מה שכתבת, אבל במה זה שונה מכל תחום אחר? לך תראה בתחום ייעוץ לתשתיות מה קורה. כל ילד שפעם ראה מחשב פתוח אצל השכנים ועשה קורס מנהלי רשתות מרשה לעצמו לתכנן רשת של ארגון.
התוצאה לא פחות קטלנית לארגון
כל היתר - אני מסכים אתך בכל מילה.
Posted by
מנהל |
4:01 PM
אני מקבל את התיקון , זה אכן נכון לתחומים נוספים. אולי פחות כואב בחלק גדול של המקרים , אבל אכן חוסר הנסיון בכל תחום שהגורם המטפל בו מתיימר להיות מומחה וגורו ללא כל גיבוי - הוא פגיעה חמורה בתחום.
לאחרונה נתקלתי במספר מקרים אפילו של אנשים שאני יודע שאינם בתחום מעל חצי שנה רשמו בכרטיס הביקור , ולא פעם בהנחיית המנהל שלהם -
"מומחה אבטחת מידע"
כן , זה הפך תהיות תקן ולא תואר.
Posted by
barry |
4:22 PM
היי בארי,
אני מסכים איתך במה שכתבת רק שום דבר לא יעזור. עד שלא יבוא רגולטור ויגרום בכוח לחברה לעבור ביקורת של מערכות מידע או אבטחת מידע לא תדע מה קורה שם (וגם בביקורת לא תגלה הכל). ודרך אגב אפילו אם הירוק הגדיר הכל טוב ויפה יכול להיות מצב שהבוס שלו יגיד שיש יותר מידי הגבלות וצריך להחזיר את המצב לקדמותו.
Posted by
Anonymous |
1:07 PM
בארי,לא הבנתי רק את הזלזול לגבי MCSE SECURITY .זה רק אומר שלבן אדם ספציפי אמור להיות מוסג איך לעבוד עם מוצרים של מיקרוסופט (או CISCO במקרה של CCIE) ולהגדיר דברים מסוימים. זה לא עושה אותו מומחה אבטחת מידע כמו שאמרת לגבי CISSP או CCIE לכן אין כאן שום הבדל.
Posted by
Anonymous |
4:55 PM
היי בארי.
עוד דבר מעניין - אמרת שCISSP הוא לא מי יודע מה חשוב :) בתור איש אבטחת מידע. אבל תראה כמה דלוקים עליו באוסטרליה, הוא אפילו נמצא ברשימה של המקצועות המבוקשים - http://www.immi.gov.au/skilled/general-skilled-migration/skilled-occupations/occupations-in-demand.htm
באוסטרליה היום יש רק 805 CISSP ובארץ כבר קרוב ל151.
Posted by
Anonymous |
5:42 PM
הבעיה היא אחרת , אנשים משתמשים בהסמכות בצורה של - "היי תראה אותי , לי יש הסמכה כזו וכזו , וזה אומר שאני מומחה"
Posted by
barry |
5:43 PM
בארי, לכל הסמכה כמו לבדיקת חדירה יש ערך מסוים וזה נכון רק לאותו רגע שבו הבדיקה (או הסמכה) נערכה. בחלק מהמקומות אפילו לא יזמינו אותך לראיון בלי הסמכה. חוץ מזה איך אתה מציע למדוד רמת הידע? בגופות של המשתמשים שהורידו MP3 מהאינטרנט?
גם אם זה לא מושלם והסמכה בחלק מהמקרים היא רק בשביל להראות טוב בקורות חיים אין מדידה אחרת.
Posted by
Anonymous |
6:10 PM
טוב , יש לי פה נקודת מבט שאומרת שלא ממש התייחסת לעיקר המאמר.
אני לא שולל הסמכות , להיפך , אני מחזיק אישית במעל 30 כאלו. אבל אני חושב שהן לא מחליפות ניסיון - והבעיה היא שהיום מתקבלים על סמך מסמכים יפים שכתוב בהם CERTIFIED במקום בהוכחות רסמיות לעבודות או הוכחות לנסיון תעסוקתי או פרויקטלי בתחום.
Posted by
barry |
7:42 PM