چگونه میتوان در دنیای پیچیده امنیت سایبری مسیر شغلی درستی را انتخاب کرد؟ چارچوب NICE با ارائه دستهبندی دقیق مشاغل و مهارتها، راهی برای درک بهتر نیازهای این حوزه و برنامهریزی برای پیشرفت حرفهای ارائه میدهد. در این مطلب، به بررسی ساختار این چارچوب میپردازیم.
به گزارش افتانا، اغلب آگهیهای شغلی که برای یافتن متخصصان امنیت اطلاعات منتشر میشوند، معمولاً به دنبال کارشناس امنیت اطلاعات، کارشناس امنیت شبکه، کارشناس مرکز عملیات امنیت و عناوینی از این دست هستند. اما وقتی به متن آگهی نگاه میکنید، انبوهی از مهارتها و ویژگیهایی را میبینید که معلوم نیست آیا واقعاً یک کارشناس باید به تمامی آنها مسلط باشد یا نه. آیا این از زیادهخواهی کارفرماست یا از نامشخص بودن محدوده دانشی که یک کارشناس امنیت باید داشته باشد یا از مبهم بودن مرز میان دانشها و مهارتهای مختلف؟!
چندین سال است که در دنیا برای حل این مشکل، به استفاده از مدلها و چارچوبهایی روی آوردهاند. چارچوبهایی مانند NICE و SFIA از دل همین نیاز پدید آمدهاند.
افتانا طی چند مطلب، این چارچوبها را معرفی و مقایسه میکند تا بتواند به کارفرمایان و کارشناسان در انتخاب همکاران مناسب و یافتن مسیر شغلی دلخواه کمک کند. در بخش دوم این مطلب و پس از معرفی چارچوبNICE که مورد توجه زیادی هم هست، به معرفی چند چارچوب مهم دیگر میپردازیم و سعی میکنیم جدول مقایسهای مطلوبی نیز از شباهتها و تفاوتهای آنها نیز ارائه کنیم.
1. مدل SFIA (Skills Framework for the Information Age)
توسعهیافته توسط سازمان SFIA Foundation با تمرکز بر چارچوبی برای تعریف مهارتهای فناوری اطلاعات (IT)، ازجمله امنیت سایبری و ساختار شامل ۷ سطح مهارتی و بیش از ۱۰۲ مهارت مختلف در حوزه IT
ویژگیهای کلیدی:
شناسایی مهارتهای موردنیاز در سطوح مختلف شغلی مبتدی تا مدیر ارشد
تمرکز بر مدیریت حرفهای و توسعه شغلی در IT
پوشش تمام حوزههای فناوری اطلاعات، ازجمله امنیت سایبری
مناسب برای:
سازمانها برای ارزیابی مهارت کارکنان
افراد حرفهای برای تعیین مسیر پیشرفت شغلی
تفاوت با مدل NICE:
مدل SFIA جامعتر از NICE است و علاوه بر امنیت سایبری، سایر زمینههای IT را هم پوشش میدهد.
2. مدل ECSF (European Cybersecurity Skills Framework)
توسعهیافته توسط کمیسیون اروپا با تمرکز بر استانداردسازی مهارتهای امنیت سایبری در اتحادیه اروپا و با ساختار شامل ۱۲ نقش شغلی اصلی و ۴۰ مهارت کلیدی
ویژگیهای کلیدی:
تعیین مهارتهای خاص برای امنیت سایبری در اروپا
دستهبندی نقشهای شغلی مشابه مدل NICE
تمرکز بر انطباق با قوانین و مقررات اتحادیه اروپا (GDPR, NIS Directive)
مناسب برای:
متخصصان امنیت سایبری در اروپا
سازمانهایی که نیاز به استانداردسازی مهارتها دارند
تفاوت با مدل NICE:
ECSF بیشتر بر چارچوب قانونی و مقررات اروپایی تمرکز دارد، درحالیکه NICE یک مدل جهانیتر است.
3. مدل CSEC (Cybersecurity Curricula 2017)
توسعهیافته توسط ACM، IEEE و سایر نهادهای آکادمیک با تمرکزبر چارچوبی برای برنامههای آموزشی امنیت سایبری و دارای ساختاری شامل ۸ حوزه دانش اصلی، ازجمله:
- اصول امنیت سایبری
مهندسی امنیت
مدیریت ریسک و سیاستهای امنیتی
تحلیل جرمیابی دیجیتال
ویژگیهای کلیدی:
مناسب برای طراحی برنامههای آموزشی دانشگاهی
تأکید بر توسعه دانش فنی و مدیریتی
ترکیب امنیت سایبری با علوم کامپیوتر، فناوری اطلاعات و مهندسی
مناسب برای:
دانشگاهها و مؤسسات آموزشی
دانشجویان و افراد علاقهمند به یادگیری امنیت سایبری
تفاوت با مدل NICE
CSEC بیشتر آموزشی و دانشگاهی است، درحالیکه NICE بیشتر برای بازار کار و حرفهایها طراحی شده است.
4. مدل UK Cyber Security Body of Knowledge (CyBOK)
توسعهیافته توسط دولت بریتانیا با تمرکز بر ایجاد مرجع دانش امنیت سایبری برای متخصصان و سازمانها و دارای ساختای شامل ۱۹ حوزه دانش اصلی، مانند:
- رمزنگاری
امنیت شبکه
مدیریت حوادث امنیتی
امنیت سیستمهای عملیاتی
ویژگیهای کلیدی:
یک راهنمای جامع برای دانش امنیت سایبری
مناسب برای تحقیقات آکادمیک و حرفهایها
انطباق با نیازهای بازار کار بریتانیا
مناسب برای:
محققان و دانشگاهیان
متخصصان امنیت سایبری در بریتانیا
تفاوت با مدل NICE
مدل CyBOK بیشتر به دانش تئوری و تحقیقاتی امنیت سایبری میپردازد، درحالیکه NICE بر مهارتهای عملی و بازار کار تمرکز دارد.
5. مدل MITRE ATT&CK
توسعهیافته توسط موسسه MITRE با تمرکز بر یک چارچوب تاکتیکی برای تحلیل حملات سایبری و پاسخ به تهدیدات و دارای ساختاری شامل ۱۴ دسته تاکتیکی و بیش از ۲۰۰ تکنیک حمله.
ویژگیهای کلیدی:
تحلیل روشهای مورد استفاده توسط مهاجمان سایبری
شناسایی نقاط ضعف سازمانها و ارائه راهکارهای دفاعی
یک ابزار مهم برای تحلیل تهدیدات و شبیهسازی حملات (Red Teaming)
مناسب برای:
تیمهای امنیت سایبری نظیر SOC، Red Team
تحلیلگران تهدیدات سایبری
تفاوت با مدل NICE
MITRE ATT&CK بیشتر روی حملات و تهدیدات سایبری تمرکز دارد، درحالیکه NICE بر مشاغل و مهارتهای امنیتی تمرکز دارد.
6. مدل NIST Cybersecurity Framework (CSF)
توسعهیافته توسط مؤسسه ملی استانداردها و فناوری (NIST) با تمرکز بر ایجاد راهنمایی برای مدیریت ریسکهای امنیت سایبری و با ساختاری شامل پنج حوزه اصلی امنیت سایبری:
- شناسایی (Identify)
- محافظت (Protect)
- شناسایی تهدیدات (Detect)
- واکنش (Respond)
- بازیابی (Recover)
ویژگیهای کلیدی:
چارچوبی استاندارد برای مدیریت امنیت سازمانی
قابل استفاده در تمام صنایع و سازمانها
ترکیب مدیریت ریسک با امنیت سایبری
مناسب برای:
مدیران امنیت و تصمیمگیرندگان
سازمانهایی که نیاز به چارچوب امنیتی دارند
تفاوت با مدل NICE
مدلNIST CSF روی مدیریت ریسک امنیت سایبری تمرکز دارد، درحالیکه NICE روی مشاغل و مهارتهای فردی تمرکز دارد.
- - اگر به دنبال مسیر شغلی هستید، NICE و SFIA بهترین گزینهها هستند.
- اگر در زمینه تحلیل تهدیدات فعالیت دارید،MITRE ATT&CK مفید خواهد بود.
- اگر قصد یادگیری دانشگاهی دارید،CSEC و CyBOK مناسبترند.
