Engineering needs cyber security specialists to beat the threat / L'ingegneria ha bisogno degli specialisti della sicurezza informatica per sconfiggere la minaccia.

Segnalato dal Dott. Giuseppe Cotellessa / Reported by Dr. Giuseppe Cotellessa

The engineering and manufacturing sectors are facing a growing demand for cyber security specialists to combat attacks on industry

Awareness and concern over security against cyber threats is growing. It’s about much more than the risk of personal data being hacked into.

A hostile cyber attack is classed by the UK’s National Security Risk Assessment as a Tier 1 risk, putting it in the most serious category alongside international terrorism, an international military crisis and a major accident or natural hazard. The National Cyber Security Centre was set up in 2016 (as a branch of GCHQ), and later the same year the government confirmed a cyberstrategy budget of £1.9bn over five years.

And although there have been high-profile examples of cyber security breaches, including the ‘Wannacry’ ransomware attack on the NHS last year, the centre’s head Ciaran Martin recently said that the UK had been fortunate so far to avoid a so-called ‘category 1’ attack – an assault that could cripple critical infrastructure such as water or electricity supplies or financial services. He warned that it was a matter of “when, not if” such an attack occurred.

There is little wonder, then, that demand for cyber security specialists has grown dramatically in the past few years, as has demand for the services of companies seeking to hire their expertise.

A number of factors are underpinning this growth. Hugo Rosemont, director of security and resilience at ADS, the trade body of the aerospace, defence and security sector, said the that government’s characterisation of the seriousness of the cyber-threat is reflected in the priorities of ADS member companies’ clients.

In addition, the regulatory framework is about to change with the introduction of the EU General Data Protection Regulations and the Network Information Security Directive, which come into force in May, requiring companies to reassess their cyber strategies to make sure they comply.

“Whether they’re critical infrastructure operators or companies in the wider economy such as retailers on the high street, the regulatory landscape is shifting so that cyber becomes more prominent, and companies are investing in technology, but crucially also in their people, in order to protect themselves,” said Rosemont.

Jonathan Martin, department manager for cloud and security at recruitment agency Networkers, added: “Cyber threats are becoming more complex, organised, and larger scale, and as the world becomes more data driven and products and services more data led, the importance of protecting that data is becoming more significant, creating a bigger market for those able to offer protection and security.”

In industry, moves towards remote monitoring, the smart factory and the internet of things is adding to the complexity of networks, adding more potential weak spots or points of entry for an attack.

All this presents opportunities in particular for defence giants such as the UK’s BAE Systems, Italy’s Leonardo and the US’s L3 Technologies, said Martin. “They are used to dealing with the complex challenges of national security. They already have the experience and legacy.” They are taking a reputation for expertise, integrity and attention to detail gained on defence contracts into a more commercial world, to advise companies in finance, insurance, and healthcare, as well as in government – all typically characterised, said Martin, by large and disparate organisations with high data complexity and multiple points of entry.

Work for government organisations, Rosemont pointed out, includes support for law enforcement agencies in roles such as digital forensics and online investigation. Fraud, particularly cyber-fraud, is now the most common crime in England and Wales.

Alan Good, head of human resources for the security and information systems division of Leonardo’s UK subsidiary Leonardo MW, said the company works in three areas. First, with commercial customers in banking and in industry (including its own parent company); with government departments and agencies; and its largest customer of all: NATO. “We provide protective monitoring for all of NATO across Europe, one of the biggest secure systems in the world,” he said.

A range of skills is in demand, with broadly three groups of people being recruited. On the technology side there is a need for people with skills in providing protective monitoring of clients’ servers and systems. In Leonardo parlance, they are known as security event analysts.

A second group is network and systems engineers, specialists in the architecture, design, build and implementation of systems and secure operations centres for clients. Companies such as Leonardo both create operations centres and then provide monitoring on behalf of the client, or build centres for the client themselves to run their own protective monitoring.

Third are cyber security consultants, who go into organisations to provide advice and support with regard to information assurance or risk management. Martin describes this as more policy and governance based.

“They are going into organisations and looking at things from an information governance perspective,” he said, in order to identify vulnerabilities on the process and policy side – including making sure that organisations have effective staff training and consistent ways of monitoring what people are doing with the data that they have access to. This role requires governance and risk management skills rather than detailed IT knowledge.

“If you think about some of the more recent well-known hacks and data losses, a lot of those came about through human error or organisations not having the processes to ensure resilience against breaches,” said Martin.

ADS’s Rosemont cautioned against seeing cybersecurity as mainly a technology issue. “What you quickly learn is that any company’s cybersecurity approach has to be underpinned by strong governance.”

He also stressed the importance of training: “Educators have a role to play in cyber security. This is as much a people business as it is technology in many respects,” said Rosemont.

He added that another important role is that of people who can act as an interface between a company’s IT staff and its directors. “The board has an absolutely crucial role to play in cybersecurity, whether it’s taking decisions to invest or being at the heart of a response to an incident. Often board members won’t be technically minded on the finer points of cybersecurity technology and an important skill is to be able to interface between the information security or IT department and senior executives.”

A range of levels of experience are required. Consultants who go into firms to advise on their cyber security and information assurance needs will have been steeped in cyber security for many years.

For a typical security event analyst job advertised by Leonardo, an “in-depth knowledge gained from both experience and qualifications in the cyber defence arena” is called for.

Conversely, a systems engineer job description focuses more on IT infrastructure skills, with “an awareness of cybersecurity capabilities”, while “experience of working within secure environments” is considered “advantageous”.

For systems analysts and the like, Martin pointed out that their IT skills should be coupled with an inquiring mind. “They should have the mentality of thinking about where threats might come from,” he said, “and be active in identifying where systems might be vulnerable. A lot of the work is about problem-solving and asking questions, not just doing the day job.”

For those working on the information security or risk management side, up to mid-management roles, staff might be recruited who don’t necessarily have extensive information security experience but have transferable skills, for example, of compliance in other forms, such as introducing a new standard in their organisation.

A skills shortage is a cause for concern. One estimate is that there will be a shortfall of 1.8 million cyber security professionals worldwide by 2022; companies are experiencing difficulties in retaining staff, with some reporting the need to offer salaries above what would be considered the market rate.

Against this background there are good prospects for graduates and apprentices, provided candidates can demonstrate logical thinking and problem-solving skills. Leonardo was one of the first companies to offer a cyber apprenticeship (in partnership with South Gloucestershire and Stroud college) and took on its first intake in September last year, with another to follow this year. It looks for students “who excel at GCSE or A-level in IT-related subjects”.

ADS is promoting the sector as an attractive career for young people, while the National Cyber Security Centre’s Cyber First initiative, and the Cybersecurity Challenge UK, offers a series of competitions, courses, and other initiatives designed to inspire more people to become cyber security professionals.

According to the latest ADS Security Outlook report, cyber security accounted for more than a third of UK exports in the sector in 2016, with a total value of £1.5bn. There appears to be little prospect of any imminent let-up in demand for people with skills in this area.

ITALIANO

I settori dell'ingegneria e della produzione stanno affrontando una crescente domanda di specialisti della sicurezza informatica per combattere gli attacchi all'industria

Cresce la consapevolezza e la preoccupazione per la sicurezza contro le minacce informatiche. Si tratta di molto più del rischio che i dati personali vengano hackerati.

Un attacco informatico ostile è classificato dalla National Security Risk Assessment del Regno Unito come rischio Tier 1, collocandolo nella categoria più seria al fianco del terrorismo internazionale, una crisi militare internazionale e un grave incidente o rischio naturale. Il National Cyber ​​Security Center è stato istituito nel 2016 (come una succursale di GCHQ), e più tardi nello stesso anno il governo ha confermato un budget per la ciberstrategia di 1,9 miliardi di sterline in cinque anni.

E sebbene ci siano stati esempi di alto profilo di violazioni della sicurezza informatica, compreso l'attacco del ransomware "Wannacry" al NHS l'anno scorso, il capo del centro Ciaran Martin ha recentemente affermato che il Regno Unito è stato finora fortunato ad evitare una cosiddetta categoria 1 d'attacco: un assalto che potrebbe paralizzare infrastrutture critiche come forniture di acqua o elettricità o servizi finanziari. Ha avvertito che si trattava di "quando, non se" si fosse verificato un simile attacco.

Non c'è da meravigliarsi, quindi, che la domanda di specialisti della sicurezza informatica sia cresciuta notevolmente negli ultimi anni, così come la domanda per i servizi delle aziende che cercano di assumere la propria esperienza.

Numerosi fattori stanno sostenendo questa crescita. Hugo Rosemont, direttore della sicurezza e della resilienza di ADS, l'ente commerciale del settore aerospaziale, della difesa e della sicurezza, ha affermato che la caratterizzazione del governo della gravità della minaccia informatica si riflette nelle priorità dei clienti delle aziende associate ad ADS.

Inoltre, il quadro normativo sta per cambiare con l'introduzione delle norme generali sulla protezione dei dati dell'UE e della direttiva sulla sicurezza delle informazioni sulla rete, che entrerà in vigore a maggio, che impone alle imprese di riesaminare le loro strategie informatiche per assicurarsi che siano conformi.

"Sia che si tratti di operatori di infrastrutture critiche o di aziende nell'economia in generale come i dettaglianti nelle strade principali, il panorama normativo si sta spostando in modo che il cyber diventi più importante e le aziende investano in tecnologia, ma soprattutto nelle loro persone, al fine di per proteggersi ", ha detto Rosemont.

Jonathan Martin, responsabile di reparto per il cloud e la sicurezza presso l'agenzia di reclutamento Networkers, ha aggiunto: "Le minacce informatiche stanno diventando più complesse, organizzate e su larga scala, e man mano che il mondo diventa più guidato dai dati e prodotti e servizi hanno portato più dati, l'importanza della protezione che i dati stanno diventando più significativi, creando un mercato più grande per coloro che sono in grado di offrire protezione e sicurezza ".

Nell'industria, i passi verso il monitoraggio remoto, la fabbrica intelligente e l'internet delle cose si aggiungono alla complessità delle reti, aggiungendo ulteriori potenziali punti deboli o punti di ingresso per un attacco.

Tutto questo presenta opportunità in particolare per i colossi della difesa come la BAE Systems del Regno Unito, la Leonardo italiana e la L3 Technologies degli Stati Uniti, ha dichiarato Martin. "Sono abituati ad affrontare le complesse sfide della sicurezza nazionale. Hanno già esperienza ed eredità. "Si stanno facendo una reputazione per competenza, integrità e attenzione ai dettagli acquisiti in contratti di difesa in un mondo più commerciale, per consigliare le aziende nei settori finanziario, assicurativo, sanitario e governativo - tutto Tipicamente caratterizzato, ha detto Martin, da organizzazioni grandi e disparate con elevata complessità dei dati e molteplici punti di ingresso.

Il lavoro per le organizzazioni governative, ha sottolineato Rosemont, include il supporto per le forze dell'ordine in ruoli come il forensics digitale e le indagini online. La frode, in particolare la frode informatica, è ora il crimine più comune in Inghilterra e nel Galles.

Alan Good, responsabile risorse umane per la divisione sicurezza e sistemi informatici della consociata di Leonardo, Leonardo MW, ha dichiarato che la società opera in tre aree. In primo luogo, con i clienti commerciali nel settore bancario e nell'industria (compresa la propria società madre); con dipartimenti governativi e agenzie; e il suo più grande cliente di tutti: la NATO. "Forniamo un monitoraggio protettivo per tutta la NATO in tutta Europa, uno dei più grandi sistemi sicuri al mondo", ha affermato.

È richiesta una gamma di competenze, con la partecipazione di tre gruppi di persone. Dal lato della tecnologia, c'è bisogno di persone con competenze nel fornire un monitoraggio protettivo dei server e dei sistemi dei clienti. Nel linguaggio di Leonardo, sono conosciuti come analisti degli eventi di sicurezza.

Un secondo gruppo è costituito da ingegneri di rete e di sistemi, specialisti in architettura, progettazione, realizzazione e implementazione di sistemi e centri operativi sicuri per i clienti. Aziende come Leonardo creano entrambi centri operativi e quindi forniscono il monitoraggio per conto del cliente o costruiscono centri per il cliente stesso per eseguire il proprio monitoraggio protettivo.

Terzo sono i consulenti di sicurezza informatica, che si rivolgono alle organizzazioni per fornire consulenza e supporto in materia di garanzia delle informazioni o gestione dei rischi. Martin descrive questo come basata più su politica e governance.

"Entrano nelle organizzazioni e guardano le cose da una prospettiva di governance delle informazioni", ha detto, al fine di identificare le vulnerabilità sul processo e sul lato delle politiche, assicurandosi che le organizzazioni abbiano una formazione del personale efficace e metodi coerenti per monitorare ciò che le persone stanno facendo con i dati a cui hanno accesso. Questo ruolo richiede capacità di governance e gestione del rischio piuttosto che conoscenze IT dettagliate.

"Se si pensa ad alcuni dei più recenti hacks e perdite di dati più recenti, molti di questi si sono verificati attraverso l'errore umano o le organizzazioni che non hanno applicato i processi per garantire la resilienza contro le violazioni", ha detto Martin.

Rosemont di ADS ha messo in guardia dal considerare la sicurezza informatica come una questione principalmente di tecnologia. "Quello che apprendi velocemente è che l'approccio di cybersecurity di qualsiasi azienda deve essere sostenuto da una forte governance".

Ha anche sottolineato l'importanza della formazione: "Gli educatori hanno un ruolo da svolgere nella sicurezza informatica. Questo è tanto un business di persone quanto lo è la tecnologia sotto molti aspetti ", ha affermato Rosemont.

Ha aggiunto che un altro ruolo importante è quello delle persone che possono fungere da interfaccia tra il personale IT di un'azienda ed i suoi direttori. "Il consiglio di amministrazione ha un ruolo assolutamente cruciale da giocare nella cibersicurezza, sia che si tratti di prendere decisioni per investire o di essere al centro di una risposta a un incidente. Spesso i membri del consiglio direttivo non sono tecnicamente orientati ai punti più fini della tecnologia di cibersicurezza e una competenza importante è quella di essere in grado di interfacciarsi tra la sicurezza delle informazioni o il dipartimento IT e gli alti dirigenti ".

Sono richiesti diversi livelli di esperienza. I consulenti che si rivolgono alle aziende per fornire consulenza sulle loro esigenze di sicurezza informatica e di sicurezza delle informazioni saranno immersi nella sicurezza informatica per molti anni.

Per un tipico lavoro di analista di eventi di sicurezza pubblicizzato da Leonardo, è richiesta una "conoscenza approfondita acquisita sia dall'esperienza che dalle qualifiche nel campo della cyber defense".

Viceversa, una descrizione del lavoro di ingegnere di sistema si concentra maggiormente sulle competenze dell'infrastruttura IT, con "una consapevolezza delle capacità di cybersicurezza", mentre "l'esperienza di lavorare in ambienti sicuri" è considerata "vantaggiosa".

Per gli analisti di sistemi e simili, Martin ha sottolineato che le loro competenze IT devono essere accoppiate a una mente indagatrice. "Dovrebbero avere la mentalità di pensare da dove potrebbero venire le minacce", ha detto, "ed essere attivi nell'individuare dove i sistemi potrebbero essere vulnerabili. Gran parte del lavoro riguarda la risoluzione dei problemi e le domande, non solo il lavoro diurno ".

Per coloro che lavorano nel settore della sicurezza delle informazioni o della gestione dei rischi, fino a ruoli di gestione centrale, è possibile reclutare personale che non dispone necessariamente di una vasta esperienza in materia di sicurezza delle informazioni, ma avere capacità trasferibili, ad esempio, di conformità in altre forme, come l'introduzione di un nuovo standard nella loro organizzazione.

Una carenza di competenze è motivo di preoccupazione. Una stima è che ci sarà un deficit di 1,8 milioni di professionisti della sicurezza informatica in tutto il mondo entro il 2022; le aziende stanno incontrando difficoltà nel mantenere il personale, con alcune che segnalano la necessità di offrire salari superiori a quello che verrebbe considerato il tasso di mercato.

In questo contesto ci sono buone prospettive per laureati e apprendisti, a condizione che i candidati possano dimostrare il pensiero logico e le capacità di risoluzione dei problemi. Leonardo è stata una delle prime società a offrire un apprendistato informatico (in collaborazione con il South Gloucestershire e il college di Stroud) e ha iniziato la sua prima assunzione a settembre dello scorso anno, con un'altra a seguire quest'anno. Cerca gli studenti "che eccellono in GCSE o a livello in materie correlate all'IT".

ADS promuove il settore come una carriera attraente per i giovani, mentre l'iniziativa Cyber ​​First del National Cyber ​​Security Center e la Cybersecurity Challenge UK offrono una serie di competizioni, corsi e altre iniziative progettate per ispirare più persone a diventare professionisti della sicurezza informatica .

Secondo l'ultimo rapporto ADS Security Outlook, la sicurezza informatica ha rappresentato oltre un terzo delle esportazioni britanniche nel settore nel 2016, per un valore totale di £ 1,5 miliardi. Sembra che ci siano poche prospettive di un imminente abbandono della domanda di persone con competenze in questo settore.

Da:

https://www.theengineer.co.uk/355025-2/?cmpid=tenews_4777628&utm_medium=email&utm_source=newsletter&utm_campaign=tenews&adg=B69ABBDE-DA23-4BA2-B8C3-86E1E1A9FA79