別在意差距 我們缺少的不是技能 而是網路安全常識

“XX，我的電腦又不行了，好像中毒了，你來處理一下” 這可能是在某些公司經常聽到的事情。用外行的話來說，我們可能缺乏一些基礎常識，從而面臨著網路安全技能的差距。

我們越來越意識到我們需要的技能和我們擁有的資源之間的差距。企業之間在技能上相互競爭，但在某些情況下與網路駭客的競爭。然而，這是我們自己的問題嗎?對於擁有數十個，甚至幾百個各類工具的公司來講，可能每個都需要專業技術人員來維護，當然大部分公司是沒有足夠的人元可以做到專業維護，更多是選擇性維護工作。當我們在缺乏足夠重視的情況下，某些工具可能會成為“犧牲品”，在不知不覺被勒索軟體盯上。

事實是，您購買的每一種新產品都在進一步分割您的資源。我們需要改變我們的思維方式，遠離資源密集型、多產品維護團隊，並專注於為團隊提供工具和時間。在許多情況下，部署的系統和工具並未利用其全部功能。當您需要它們時，它們早已被遺忘，並且購買了新的系統。

各種防護工具或者硬體確實提供了安全感，但備份仍然是抵禦勒索軟體的最重要防禦手段。不良行為者將繼續攻擊，因此增加安全人員隊伍是一項特有的行為。然而，我們究竟如何吸引年輕人和中層專業人士踏上網路安全的船呢?

但如果你有興趣，這不全是技術性的問題

短缺的根本問題是，每當我們培訓員工學習特定產品，而不是更廣泛的安全框架時，他們得不到應對日益增長的網路威脅所需的可轉移技能。這最終意味著，即使是最有經驗的安全專業人員也將大部分時間花在應對攻擊上，而不是規劃未來。

如今，每個從事網路安全工作的人都是從某個地方起步的，而目前可獲得的學習材料數量超過了我們許多人剛起步時的水平。把合適的人吸引到這些渠道中的一個，比其他任何東西都要快。當你點燃激情的時候，你就點燃了更深層次的東西，幫助這些人展現他們的才華只會讓你的組織受益。

需要有一種新的說法，即網路安全不僅僅是關於擁有技術能力，因為許多角色並不需要高水平的技術專業知識。對於那些缺乏核心技術知識的人來說，這些職位是進入這個行業的一個很好的墊腳石，當你想到一個“網路安全專家”時，這些職位可能會給你提供有價值的見解和對安全團隊的投入。

有些公司喜歡囤積，但當更大的戰略與囤積、技術和成果重疊時會發生什麼?拋開傳統的結構，轉而採用以結果為基礎的方法，不僅可以授權合適的人員，而且還能減少你的開支。透過建立一個支援員工的聲譽，可以改變現狀，提供發展所需的工具，反過來，這又會吸引新員工，這是雙贏的。

技能短缺?不，技能就在我們眼皮子底下;我們只需要更有效地利用它們來取得成功。

會拯救我們的是人，不是產品

雖然我絕不會建議您刪除所有安全工具，但我也建議您不要僅僅依賴它們。這些解決方案最終可以在發生某些事情時保護您的系統。網路彈性的答案不是預防性的解決方案。它是最壞情況發生時的一道防線。畢竟，攻擊的最壞結果是什麼?資料損壞?向攻擊者支付贖金?或對您的運營造成干擾怎麼辦?我會認為是後者。您的網路彈性的核心是您的員工。如果您可以專注於少數幾個保護資料的工具，那麼您可以將精力集中在為您的團隊提供成功所需的時間、培訓和資源上。

有了這些因素，技能差距就不再那麼令人畏懼了。但當我們忙於將精力集中在預防上，以致於把最需要幫助的團隊置於不利地位。累贅的專家根本就不是專家。當你最終決定對他們進行指導和使他們成熟是很重要的，他們就會充分利用自己的能力。

有了正確的心態，有了正確的解決方案、領導層和人員的支援，就可以實現彈性，資料可以得到保護，支付或不支付贖金的問題可能成為過去。