Kritik Altyapı Dayanıklılığının Beceriye Dayalı İşgücüyle Desteklenmesi
Yazan: Randall Sandone, İcra Direktörü, Illinois Urbana-Champaign Üniversitesi Grainger Mühendislik Koleji Kritik Altyapı Dayanıklılığı Enstitüsü
“Neredeyse 700.000 siber güvenlik açık pozisyonuyla ABD, ülkenin kritik altyapısını koruyacak yeterli siber güvenlik uzmanına sahip değil…” National Defence dergisinde yayınlanan bir makalenin baş cümlesi bu.[1] beş aydan kısa bir süre önce. Bu, Kritik Altyapı Dayanıklılığı Enstitüsü'nde (CIRI) misyon hedeflerimizi takip ederken karşılaştığımız göz korkutucu zorlukların çarpıcı bir hatırlatıcısıdır. CIRI, Illinois Urbana-Champaign Üniversitesi'ndeki Grainger Mühendislik Koleji'nde yer alan, ülkemizin kritik altyapısının güvenliğini ve dayanıklılığını artırmaya odaklanan bir Ulusal Güvenlik Departmanı (DHS) Bilim ve Teknoloji Direktörlüğü Mükemmeliyet Merkezidir.
Bu boşluğu çeşitli ve kaliteli bir boru hattıyla doldurmak, ülkemiz ve bu eksikliğin etkilerini yaşayan özel sektör şirketleri ve kamu kurumları için büyük bir zorluktur. Ancak insanları yalnızca boru hattına eklemek hikayenin tamamı değil. CIRI olarak aynı zamanda mevcut siber güvenlik iş gücünün bugün ve gelecekte verimliliğini ve üretkenliğini artırma sorununu da ele alıyoruz.
CIRI, DHS sponsorluğu ve finansmanı aracılığıyla (1) operasyonel verimliliği artırabileceğine; ve (2) siber güvenlik iş gücünün işe alımını, işte tutulmasını ve yönetimini iyileştirmek. Bu operasyonel hedefleri takip ederken, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Savunma Bakanlığı (DoD) tarafından geliştirilen ve yayınlanan ulusal standartlardan yararlanıyoruz.
İşgücü Verimliliğinin Artırılması
Özel kurumsal siber risk yönetimi uygulamaları sıklıkla çeşitli eksikliklerden muzdariptir. Tepkisel olma, yetersiz belgelenme ve kurumsal politika tarafından yeterince desteklenmeme eğilimindedirler. Takip edilen gereksinimler ve hedefler kesin olarak tanımlanmamış ve yetersiz bir şekilde ifade edilmiş, bu da iş gücü içinde kafa karışıklığına yol açmaktadır. Ayrıntılı bir eylem planını tanımlayacak, izleyecek ve rapor edecek mekanizmalardan ve bu plana göre ilerlemeyi izleyip raporlayacak mekanizmalardan genellikle yoksundurlar.
Sonuç olarak, bu tür uygulamalar kilit iç ve dış paydaşlar için şeffaf olmayan sonuçlar sunma eğilimindedir. Bu, verimliliğin azalmasına ve maliyetlerin artmasına neden olur; siber güvenlik yöneticilerinin yeterli siber güvenlik bütçelerini güvence altına almasını ve sürdürmesini zorlaştırır; siber güvenlik iş gücünün stres düzeyini artırır; bu da personelin tükenmişliğine ve personel değişimine yol açar; ve kuruluşun siber güvenlik kapsamında boşluklar yaratma riski.
Kuruluşların yaygın olarak tanınan ulusal siber güvenlik standartlarını ve en iyi uygulamaları benimseyerek bu ortak eksiklikleri giderebileceklerine inanıyoruz. Kuruluşların bu standartları benimsemelerine yardımcı olmak için CIRI, Heartland Science and Technology (bir 501(c)(3) teknoloji geliştirme şirketi) ile ortaklaşa Siber Güvenli Kontrol Panelini (CSD) geliştirdi. CSD, kuruluşların açık hedefler oluşturmasına ve bu hedeflere ulaşmak için sağlam, standartlaştırılmış, tekrarlanabilir ve tutarlı süreçlerin ve en iyi uygulamaların uygulanması ve yönetilmesi için ayrıntılı bir eylem planı geliştirmesine yardımcı olan bir siber risk yönetimi uygulamasıdır; iç faaliyetleri dış ortaklar ve/veya yükleniciler tarafından yürütülen faaliyetlerle uyumlu hale getirmek; ve iç ve dış işgücü içinde ve arasında iletişim ve bilgi paylaşımı. Bu, kuruluşun verimliliğinin artmasına, tüm paydaşlar arasında daha fazla şeffaflığa ve siber güvenlik iş gücü üzerindeki stresin azalmasına yol açar.
CSD bunu, Kontrollü Sınıflandırılmamış Bilgilerin (CUI), NIST Siber Güvenlik Çerçevesi (CSF) ve DoD Siber Güvenlik Olgunluk Modeli Sertifikasyonu (CMMC) standardının işlenmesine yönelik NIST 800-171 standardı dahil olmak üzere birden fazla siber güvenlik standardını operasyonel hale getirerek yapar. Bu standartların tümü, birden fazla standardı karşılaması gereken kuruluşların, bu farklı standartların gerekliliklerini karşılama konusundaki durumlarını ve ilerlemelerini kolayca yönetmelerine, takip etmelerine ve raporlamalarına olanak tanıyan tek bir uygulamada desteklenir.
Kuruluşlar, CSD'yi kullanarak hedef standardın gereksinimlerinin netliğini sağlayarak siber güvenlik iş gücünün verimliliğini artırabilir. CSD, NIST değerlendirme kriterlerini kullanarak bu gereksinimlere göre bir değerlendirme yoluyla kuruluşa rehberlik edecek ve iç ve dış görevlerin uyumlaştırılmasına olanak sağlayacak bir Eylem Planı ve Kilometre Taşları (POA&M) oluşturacak ve sürdürecektir. Buna ek olarak, üçüncü taraf uyumluluk doğrulamasını kolaylaştıran belirli siber güvenlik kontrolleriyle etiketlenmiş uyumluluk eserlerinin merkezi bir deposunu muhafaza ederek, kontrol paneli iş birliğini, iletişimi ve bilgi paylaşımını geliştirirken aynı zamanda durum ve ilerlemeye ilişkin ayrıntılı otomatik raporları üretip her iki kuruma da sunacaktır. ve dış paydaşlar. CSD, tek bir organizasyonu, bir organizasyon içindeki birden fazla birimi veya tüm tedarik zincirini yönetmek için kullanılabilir.
Beceri Temelli Siber Güvenlik İşgücü Yönetimine Doğru
Tarihsel olarak, siber güvenlik işi gereklilikleri ve ardından siber güvenlik personelinin işe alınması ve seçimi, adayların eğitim/akademik yeterliliklerine odaklanmıştır; bilgisayar bilimleri (veya benzeri) alanında dört yıllık bir diploma neredeyse evrensel bir varsayılan gerekliliktir. Başvuran havuzunu, tarihsel olarak yetersiz temsil nedeniyle çeşitlilik eksikliği yaşayan ve yaşamaya devam eden bir nüfusla sınırlandıran bu gereklilikler, aynı zamanda siber güvenlik personelinin çeşitlilik eksikliğini de sürdürmüştür.
İşe alma konusundaki bu eğitim temelli yaklaşım, başvuru havuzunu artırmak için yıllar içinde büyük ölçüde çoğalan siber güvenlikle ilgili yeniden beceri kazandırma ve beceri geliştirme programlarından yararlanmıyor. Bu modelde, tarih alanında önlisans derecesi alan ve daha sonra Hava Kuvvetleri'nde beş yıl eğitim alarak siber güvenlik pozisyonunda görev alan aday, dört yıllık diploması olmadığı için mülakata katılmaya hak kazanamayabilir.
Siber güvenlik iş gücünün sürekli yönetimi, beceri setlerinin açıkça tanımlanıp görevlerle eşleştirilememesi ve iyileştirilmesi gereken beceri ve eğitim boşluklarının tespit edilememesi nedeniyle şu anda sekteye uğramaktadır.
Kuruluşlar, doğru araçlarla, siber risk yönetimi amaç ve hedeflerine ulaşmak için gereken belirli becerilere ilişkin net bir anlayışa sahip olduğu, beceriye dayalı bir siber güvenlik işe alım ve yönetim modelini benimseyebilir. Ayrıca, bu araçlar kuruluşlara bu becerilere sahip adayları belirleme ve işe alma ve ileriye dönük olarak işgücündeki beceri boşluklarını iyileştirme yeteneği sağlar. Böyle bir model, kuruluşun daha geniş bir başvuru havuzuna ulaşmasına, siber güvenlik personelinin çeşitliliğini artırmasına ve siber güvenlik iş gücünün mesleki gelişimini daha iyi yönetmesine olanak tanıyacak.
CIRI, CyberTalent Bridge (CTB) ile ontoloji tabanlı bilgi sistemlerinde benzersiz uzmanlığa sahip bir yazılım geliştirme şirketi olan 2wav, Inc. ile ortaklaşa böyle bir araç geliştirdi. CTB, NIST Ulusal Siber Güvenlik Eğitimi Girişimi (NICE) siber güvenlik iş gücü yönetimi standardını işlevsel hale getiren bir yazılım uygulamasıdır. Yazılım, kuruluşların çalışan deneyimini ve eğitimini NICE Çerçevesinin yararlı bir ifadesine dönüştürmesine ve bu yetenekleri NIST Siber Güvenlik Çerçevesi (NIST CSF) veya Savunma Bakanlığı Siber Güvenlik Olgunluk Modeli Sertifikasyonu gibi standartlarla birleştirmesine yardımcı olan sınıfında bir ilktir ( CMMC).
Kuruluşlar, sözleşmeli personelin yanı sıra dahili siber güvenlik personelinin bilgi, beceri ve yeteneklerini (KSA'lar), eğitim ve kimlik bilgilerini kolayca toplamak ve envanterini çıkarmak için CTB'yi kullanabilir. Bireysel personel, KSA'larını, eğitimlerini ve daha sonra merkezi bir envantere eklenen diğer kimlik bilgilerini doğrulamak için CTB Pasaportuna erişebilir. Bir bireyin CyberTalent Pasaportu, web tarayıcısı olan herkes tarafından erişilebilen ve CTB'nin açıkça paylaşılan veri formatları aracılığıyla harici sistemlerle birlikte çalışabilen, bağımsız bir görsel ve makine tarafından okunabilen bir belge olarak dışa aktarılabilir ve paylaşılabilir. CyberTalent Pasaportları böylece çalışanların ve öğrencilerin siber güvenlik kuruluşu genelinde yetenekleri paylaşmalarına ve iletmelerine yardımcı olur.
CTB, bireyin çeşitli KSA'larını, eğitimlerini ve kimlik bilgileri iddialarını bağımsız olarak doğrulama ve doğrulanmış önceki iş deneyimine veya eğitim/öğrenim bilgilerinin gözden geçirilmesine dayalı olarak iddiayı hassaslaştıran bir “güven” puanı atama yeteneği sağlar. Bu merkezi beceri envanterine erişerek kuruluşlar, belirli siber güvenlik görevlerine atanacak en nitelikli personeli etkili bir şekilde belirleyebilir ve eğitim, öğretim veya diğer mesleki gelişim faaliyetleri yoluyla iyileştirme için bilgi, beceri ve eğitim boşluklarını belirleyebilir.
Bunu yaparak CTB, kuruluşların “eğitim/kimlik bilgilerine dayalı” işe alım modelinden “becerilere dayalı” bir modele geçiş yapmasına yardımcı olabilir. Böyle bir geçiş, başvuru havuzunu genişleterek ve siber güvenlik iş gücünün çeşitliliğini artırarak kuruluşların işe alımlarını iyileştirmelerine yardımcı olabilir.
İnsanların Gücüne Giden Süreç
Bu iki ürünün birleşik bir çerçeveye entegrasyonu, kuruluşların standartlaştırılmış, tekrarlanabilir siber risk yönetimi süreçlerini ve en iyi uygulamaları daha etkili ve verimli bir şekilde yürütmesine ve bu uygulamayla görevlendirilen iş gücünü işe almasına ve yönetmesine olanak tanıyacak şekilde CIRI'de devam ediyor.
Bir kuruluş, CSD'de sağlanan araçları kullanarak, kuruluşunun ve ağlarının bir hedef standarda göre siber güvenlik değerlendirmesini tamamlar ve bu değerlendirmeye dayanarak hedef siber güvenlik standardına ulaşmak için bir Eylem Planı ve Kilometre Taşları (POA&M) geliştirir (örneğin, NIST 800-171, NIST CSF veya DoD CMMC olarak). CTB, siber güvenlik görevlerini (yani uygulanacak siber güvenlik kontrolleri) yürütmek için gereken KSA'ları analiz etmek için bu POA&M'ye erişir. CTB, KSA'ları belirlemek için görev gereksinimlerinin otomatik bir analizini yürütür ve daha sonra, görev gereksinimlerinin personel becerilerine eşleştirilmesine dayalı olarak, görevi yürütmeye yetkili personelin – en nitelikliden en azına – sıralı bir listesini sunar. envanter. Yöneticiler bu listeyi göreve en nitelikli personeli atamak ve aynı zamanda iyileştirilmesi gereken eğitim ve beceri boşluklarını belirlemek için kullanabilir.
Anlamlı Etki
Hem özel hem de kamu sektöründeki küçük, orta ve büyük kuruluşlara uygun bu entegre çözümün sunulmasının, ulusal siber güvenlik standartlarının ve en iyi uygulamaların geniş ölçekte benimsenmesini ve kullanılmasını kolaylaştırabileceğine ve ülkemizin siber güvenliğinin çeşitliliğini ve verimliliğini artırabileceğine inanıyoruz. işgücü. Bu da, Kritik Altyapı Direnç Enstitüsü'nün hedefi ve misyonu olan ülkemizin kritik altyapısının güvenliğini ve dayanıklılığını artırabilir.
yazar hakkında
Randall Sandone, Illinois Urbana-Champaign Üniversitesi Grainger Mühendislik Koleji'ndeki Kritik Altyapı Dayanıklılığı Enstitüsü'nün (CIRI) İcra Direktörüdür. Bu görevinde Randall, hem kamu hem de özel sektöre etkili siber güvenlik çözümleri sunan bir araştırma, teknoloji geçişi, eğitim ve iş gücü geliştirme portföyüne rehberlik etmede yardımcı oldu. Siber güvenlik liderliği alanında otuz yılı aşkın deneyime sahiptir ve Federal kurumlardan dünya çapındaki büyük ve küçük özel sektör şirketlerine kadar müşteriler tarafından kullanılan çeşitli siber güvenlik ürünlerinin geliştirilmesini, test edilmesini ve sertifikalandırılmasını yönetmiştir. Randall aynı zamanda Cyber Secure Dashboard'un lisanslama temsilcisi olan Rangerfish, LLC'nin müdürüdür. Randall ve CIRI'nin çalışmalarına ilişkin ek bilgiye https://ciri.illinois.edu/ web sitesinden ulaşılabilir.
[1] https://www.nationaldefensemagazine.org/articles/2023/6/26/us-desperately-needs-cyber-talent-congress-says