ITセキュリティコンサルティング(Dimension Data)
ITセキュリティコンサルティングの内容について理解しておく必要性を感じる今日この頃。
コンサルとして、と言うよりは、事業としてのコンサルティングサービスでは何を提供しているのか、と言った観点。
下記のDimension Data社さんのサービスの紹介ページを読ませて頂いて、少しでも学びを得る(られると良いな)。
部分的に引用し、適当に意訳させて頂く。
Security Advisory Services
Giving you the security expertise to risk less, yet achieve more
タイトルはConsultingじゃなく、Advisoryなのか。
#ConsultingとAdisoryはどう違うんだ、という疑問もあるが、それは別の機会に。
Put the right security policies, processes, architecture, and expertise in place.
IT security skills are in short supply globally, but our enterprise risk management offerings give you cost-effective access to the expertise you need. Through our security consulting services, you gain the innovation and economic productivity benefits of cloud, mobility, social media, and the Internet of Things, while eliminating the threats these technologies can pose to your brand, reputation, and business performance.
- ITセキュリティスキルは 世界的に不足しています。
- 我々の企業向けリスク管理手法は、費用対効果の高い方法で必要な専門性を提供します。
- 我々のセキュリティコンサルティングサービスにより、クラウド、モバイル、ソーシャルメディア、IoTにおける革新性と生産性(economic productivity benefits)を得ることができます。
- また、これらの技術が企業のブランドや評判やビジネスに対してもたらす可能性のある(can pose to)脅威を排除します。
ITセキュリティの技術者が不足している、というのは日本だけの話じゃないみたい。
The pillars of Security Advisory Services
セキュリティアドバイザリサービスの柱は次の3つ。
Our security consulting is based on three interrelated pillars.
- Governance, risk, and compliance
- Security Penetration Testing
- Incident Response
ということで1つ目。統治、リスク、コンプライアンス的な。
Governance, risk, and compliance
These services help you establish governance policies and processes for directing and controlling the organisation based on your risk appetite and applicable legal, regulatory, and industry compliance requirements.
We ensure that you keep documentary evidence of compliance with your internal policies and processes as well as with external regulation. Our services include:
- 企業のリスク選好(risk appetite)や、関連の法律、遵守が求められる業界ルールなどに沿って、組織に対するポリシーや手順の適用や制限などを確立します。
- 企業の内部ポリシーや手順、また外部のルールに準拠するよう、証跡が保全されることを保証します。
- 具体的なサービス例:ISMSの導入、組織にあったポリシーの作成、ITポリシーの作成、作成したポリシーと実際のギャップ分析、ISO/IEC 27000に則ったISMS、PCI DSSの取得の支援
Developmentってどういうニュアンスなのかなあ。。。作成して組織内に展開する、というイメージかな。。。
2つ目は、ペネトレイトレーションテスト。
Security penetration testing
We determine weaknesses that could be exploited to compromise your most critical infrastructure, including web applications, networks, and endpoints.
Our proven penetration testing methodologies, which align to industry best practice and security standards and guidelines, include:
- Internet-facing infrastructure
- internal network segments such as a demilitarised zone or an office local area network
- desktop and laptop computers, including ‘stolen laptop’ attack scenarios
- Internet-facing and internal web applications
- wireless network infrastructure
- remote access and VPN infrastructure
- Webアプリケーション、ネットワーク、内部端末、といった企業の重要なシステムが侵入されて危険に晒されるような弱点を特定します。
- 我々の信頼性の高い侵入テスト手法は、業界のベストプラクティスやセキュリティ標準やガイドラインに則っています。
- 次のような環境に対してテストを行います。:インターネットに公開された環境、DMZやLANのような内部ネットワーク、デスクトップやノートPC(盗難されたというシナリオ)、インターネットに公開された、また内部のWebアプリケーション、Wi-Fiネットワーク、VPN等を利用したリモートネットワーク
うーむ、幅広い。。。テスト(攻撃)のシナリオも手法も多岐に渡りそう。
最後はIncident Response。
Incident response
These services swiftly detect, respond to, and remediate a given threat with well-established methodologies, processes, and experienced incident responders. Scalable, repeatable, comprehensive, and mature, they include:
- first response service
- incident response readiness assessment
- compromise assessment
- incident response programme development
- incident response retainer
- 確立された手法やプロセスと熟練したIR担当者によって、発生したインシデントを迅速に(swiftly)に特定し、対応し、取り除きます(remediate)。
- 大規模にも対応する幅広く熟練した次のようなサービスを提供します。:インシデント発生時の初動、インシデント対応の準備状況の診断、侵害された場合の調査、インシデント対応プログラムの導入、インシデント対応担当者の派遣
世間的にも、ITセキュリティの三本柱(三大キーワード)は、ISMS、ペンテスト、IRなのかな。
ペンテストは脆弱性を含み、IRにはマルウェア解析を含む、と言う理解。そして、ISMSはサイバーだけではなく、物理と人/組織を含む、と。
セキュリティコンサルタントの仕事(Security Consultant)
セキュリティコンサルの仕事を説明することができない。
下記の記事を読んで、説明できるようになる為の努力をしてみる。
部分的に引用して適当に意訳させて頂く。
Security Consultants work as advisors to companies and professional individuals as to the best ways in which they can protect their digital assets and personal safety.
- セキュリティコンサルは、企業へのアドバイザとして、またプロフェッショナル人材として、企業のデジタル資産や個人の安全を保護する為の最善の策を示すことが仕事。
Resumes of Security Consultants contain such responsibilities as establishing and monitoring security and safety programs, and providing direction on all matters relating to security, enforcement, investigations, executive protection and legal issues. Sample resumes of Security Consultants cite bachelor's degrees and three years of experience for an educational background, or a minimum of eight years of experience for a certification.
- セキュリティコンサルタントのレジュメには、次のような項目に対する責任が含まれる:セキュリティのための監視や実行、セキュリティ関わる全てのことに指針を示す、法的な問題など。
- セキュリティコンサルタントとして、BA、3年間の教育を受けていること、8年間の経験があることなどが求められる。
次にレジュメの例。
社会人18年、コンサル歴1年、BAは経営管理。
Security Consultant
Planned, directed, and completed over 230 installations of comprehensive solutions for residential and small business customers.
- Increased market share by following a customized business plan and average closing ratio over 50%
- Most recognized for excellent customer service.
- Developed strategic marketing campaigns utilizing social media, direct mail, direct marketing, trade shows and other media.
- 230件以上の小規模な顧客に対する様々なソリューションの導入を計画し、推進、完了させた。
- 下記を実施することでマーケットシェアを拡大した。
- 広く認知された素晴らしいカスタマーサービスの提供。
- メディア、ダイレクトメール、ダイレクトマーケティング、展示会、その他のメディを利用した戦略的なキャンペーンの計画と実行。
- 受注率は50%を超えた。
これってセキュリティコンサルの仕事の内容なの??
営業かマーケの仕事な気がするけど、よく分からないから次行こ。
社会人歴34年、現職7ヶ月、BA経営管理、MA美術とITプロジェクト管理。
#ITプロジェクト管理ってBAなの??
1. IT Infrastructure/security Consultant
Manage IT & security audits and remediation, Help Desk metrics and process improvement, Disaster Recovery plans, Data backup and storage activities, Security application vulnerabilities, Application infrastructure.
- Developed and implemented a security assessment and analysis program for 140 affiliate examiner offices.
- Evaluated and selected new Penetration Testing vendor, saving the company $50K annually.
- Quickly established quality positive relationship with management team and business partners to ensure expectations were consistently exceeded.
- ITとセキュリティの監査と改善(redmediation)、ヘルプデスクのシステムや作業工程の改善、災害復旧計画、データバックアップ、ストレージ、セキュリティアプリケーションの脆弱性、アプリケーションのインフラなどの管理。
- 140の提携組織に対するセキュリティ診断分析サービスの開発と実施。
- ペンテストのベンダの評価と選定により、年間5万ドルのコスト削減。
- 素早く管理チームや関係者と良好な関係を構築し、期待を超える結果を出し続けた。
Professional Summaryであろう箇所の内容が超幅広いのに対して、Key Achievementであろう箇所の内容はセキュリテイぽい内容だな。最後はやっぱりコミュニケーション能力か。
もう少し見てみる。社会人歴36年、現職5年、BAビジネス?
4. Security Consultant
Provided expert analysis and coordinated installations of new systems and re-programming of existing systems.
- Conducted credit validations for contracts
- Trained and supervised
- Obtained referrals from new and existing customers to broaden client's base as well as follow ups to ensure customers expectations were exceeded.
- 専門的な分析の提供、また、新しいシステムや既存システムの強化を調整。
- 契約時の信用調査??(credit validation)の実施
- 顧客の期待を超える為のフォローを行い、新規また既存の顧客からの照会が継続的にある。
なんかよく分かんないけど、Security Consultantって幅広い気がしてきた。頭に、ITとかInformation Securityとか付いてるともう少し近づくかも。
ということで、もう一つだけ。
社会人32年、現職3ヶ月、BSコンピュータサイエンス、MA情報セキュリティ
#なんかそれっぽい
10. Information Security Consultant
Healthcare company providing fitness programs through Health Plans.
- Served as the Business Unit's Sr. Security Engineer and HIPAA Security Officer.
- Answered client (Health Plans) security questionnaires and addressed compliance issues.
- Wrote the BU's Disaster Recovery Plan which involved developing a strategy using the Cloud for cost efficiency and rapid recovery.
- Implemented a formal process for requesting, approving, and provisioning user access to BU's applications that processed Protected Health Information which was a remediation activity from an finding during an audit.
- Performed security assessments of new technology in QA and tracked remediation of findings prior to deployment to production.
- Developed a vulnerability/patch management strategy with metrics to measure improvement.
- 業務部門のシニアセキュリティエンジニアとHIPPAセキュリティエンジニアとして働いた。
- セキュリティの質問への回答、コンプライアンス問題を解決した。
- コスト最適化と早期復旧のためにクラウドを利用した戦略を含む、災害復旧計画を作成した。
- 監査時に指摘された点の改善活動として、ヘルスシステムの保護の推進のため業務アプリケーションへのユーザアクセスの承認や可視化の仕組みを導入した。
- 製品導入のために新技術のセキュリティ診断を行った。
- 改善を測定できる様に、脆弱性パッチ管理の戦略を開発した。
セキュリティコンサルの仕事はしてきてないけど、組織内でITに関わるセキュリティエンジニアの仕事をやってきたことはよく分かる、気がする。
他にも色々あるから継続して読んでみよ。
初心者の自分が、こういうのがさらさら読めたり書けたりなるようになるためには、多読が大事、よく分かんないけど、多分そんな気がする。
レジュメのキーワード(IT Skills)
このご時世、Resumeをさらっと書けないとしんどい。
かく言う自分は全く書けない。
このままだと危ないので、書けるようになるために少しでも努力しないと。
と言うことで、下記のページを部分的に引用しつつ意訳させて頂きながら学習を試みる。
List of Information Technology (IT) Skills
タイトルが初心者の自分に良い感じ。内容もなんとかついていけそう。
The broad swath of jobs available means that employers look for different skills when hiring. Some may look for expertise in a specific language or program, while others might look for more general skills.
- IT業界は仕事の種類が多いが、それは雇用者によって注目するスキルは異なる、と言うこと。
- 特定の分野の専門性に注目するかもしれないし、全体的なスキルに注目するかもしれない。
For example, the ability to communicate clearly, the ability to manage complicated projects with varying milestones and deadlines, and the ability to manage budgets and the needs of peers in other departments.
- 例えば、高いコミュニケーション能力、マイルストーンやスケジュールが変わると難しいプロジェクトを管理できる能力、予算や他部署の担当者の要望を管理する能力など
間違いなくITスキルの一つだけれども、最初の例えが、技術的な話じゃなくてマネジメントの話ですか。。。
Most Important Skills Employers Look for in IT Specialists
気を取り直して、ここからITスペシャリストの技術スキルについて。
- Coding
- Communication
- Networks
- Time Management
だそうで。なるほど、、そうですか。。。
まず、「Coding」について。
Writing code takes more than just proficiency with the coding language, it requires logical thinking, problem-solving, integrating different technologies, and having a broad understanding of information systems.
- コーディングすることは、コーディングが熟練すること(proficiency)に留まらず、ロジカルシンキングや問題解決、他技術のインテグレーション、そして情報システムの幅広い理解を必要とする。
コーディングできることは、ITの色々な分野に通じる、、と。確かに。
次に「Communication」。
It’s a commonly held belief in the industry that IT professionals can exist comfortably as introverts, but this is a misconception.
- IT技術者は内向的でも問題ない(can exist comfortably as introverts)、とよく言われるが、それは間違っている。
がーん。。間違いですか。。。
Part of an IT professional’s job will be to build teams and foster teamwork and collaboration among their peers.
- 色々な立場からの参加者をチームビルディングして、チームワークとコラボレーションを維持することは、IT技術者の仕事の一部である。
日本でも若手のうちならともかく、年次を重ねればそう言うこと期待されますよね。
次に3つ目「Networks」。
Knowledge networking is an extension of good communication skills, as it requires gathering groups of people in a working environment to share what they know, in order to build a system of knowledge within an organization that is more than the sum of its parts. Knowledge networks require individual IT professionals to be open with their knowledge and to be open and curious about learning new things from their colleagues.
えっ?スイッチとか10Gbpsじゃなく、まさかの人のネットワーキングの話??
- ナレッジの共有は職場の良いコミュニケーションに繋がる。
- 組織としてのナレッジ共有の仕組みを作るには、職場の皆さんからの情報共有の必要。
- ナレッジ共有の浸透のためには、それぞれのIT技術者がオープンマインドで、どんどん共有して、同僚から新しいことを学ぼうと言う姿勢が必要。
日本でも良い職場の例としてビジネス本とか記事でよく言われる内容。。。
次に、ようやく技術的な?ネットワークのお話。
On the other side of “networks,” some IT jobs may include network architects, engineers, and systems administrators. Network administrators (or systems administrators) are responsible for the day-to-day operations of a larger system.
- 他方のネットワークにおいては、ネットワークアーキテクトやエンジニア、システム管理者などの仕事がある。
- ネットワーク/システム管理者は、情報システムの日々の運用に責任がある。
短かっ。人のネットワーキングに比べると文量少ない、しかも「他方の」って。
最後に「Time Management」。
Many IT professionals will need to be self-directed and self-motivated, and a big part of self-directed work means an ability to manage time well. Technology work can often take longer than anticipated, as proven by how often timelines and milestones change over the course of a long project.
Information Technology (IT) Skills List
The following technology skills list is perfect for use in resumes, cover letters, job applications, and interviews. Including these skills as keywords on your resume and cover letter, will enable employers to make a match when reviewing resumes and cover letters. Required skills will vary based on the job for which you're applying, so also review our lists of skills listed by job and type of skill.
うーん、とても同意。
就きたい仕事があって、それに必要なスキルがあって、自分に必要なスキルを認識して、そのスキルを身につけるために行動する、ほんとその通りですね。
タイトルで「IT Skills」と言って起きながら技術的な内容はどこ行った?と思ったけど、最終的には大変納得。
向こうの記事の内容も勉強になるなー、って当たり前か。