企業想要成功,如何打造下一代IT安全團隊?
企業數字資產比以往任何時候都容易受到攻擊,企業需要經驗豐富的領導者來領導他們的數字防御工作。但現在缺乏經驗豐富的安全技術人員,這需要采用新的方法來填補職位空缺。企業想要繼續生存將需要采取長期的方法,創建自己的頂級技術專家團隊。
面對大量網絡攻擊,肩負保護企業重要責任的網絡安全專業人員一直處于水深火熱之中。然而,頂級首席信息安全官合格人選數量太少,企業無法從大量簡歷中做出選擇,應聘者往往不符合要求。
這個問題的部分原因在于,CISO通常被看作是“首席隨時準備犧牲官”,這意味著當公司遭遇數據泄露時,CISO將承擔責任。招聘網站Indeed公司表示,應聘人員很少,“當我們對比求職者對雇主發布網絡安全職位的點擊率時,我們看到嚴重的人才短缺,以及這對企業帶來的風險,在這里使用‘危機’這一詞非常合適。”
從歷史上來看,IT專業人員的短缺很常見。當新技術出現時,人員需要逐漸學習新技術來獲得相關經驗,在初期通常會出現短缺。同時,大家通常對網絡安全專業人員的職位不是那么熱衷,特別是CISO職位,因為網絡攻擊越來越多,阻止所有攻擊的機會很小。
根據Privacy Rights Clearinghouse表示,在2016年有807起確定的安全泄露事故,2015年這個數據位531。IT專業人員了解這種風險,他們可能不愿意承擔相關工作,這些工作隨時可能讓他們的職業生涯完結。因此,高層管理人員需要制定長期計劃來建立下一代IT安全專家。
發展安全文化
加密、端點安全和密碼維護都是完整IT安全計劃的一部分。然而,即使是最好和最嚴格的安全計劃也經常會失敗,因為個別員工不了解網絡攻擊如何發生。當所有技術預防措施都部署到位,所有操作系統和應用程序都得到及時更新,某個員工點擊惡意URL就會導致連鎖反應,造成數據泄露和攻擊。
CISO需要領導安全工作,同時,他們還需要將自己定位為引導,而不是單一責任點,這樣他們不會每天看到自己的職業生涯受到威脅。社會工程學攻擊比主動社會工程學要快得多,企業應該從教育和培訓開始,最大程度減少這一威脅。
例如,2016年McAfee實驗室威脅報告報道有超過1.57億網絡釣魚攻擊嘗試。盡管有各種關于虛假電子郵件的警告,5500萬用戶還是淪為受害者。知名計算機黑客網絡安全專家Kevin Mitnick表示,企業花費數百萬美元在防火墻、加密和安全訪問設備,這是浪費錢,因為這些措施都不能解決安全鏈中最薄弱的環節。
針對這種入侵的最佳防御是對于電腦交互的每個人進行教育。網絡釣魚攻擊表明為什么這種培訓和教育需要一直延續到高層人員,高層管理人員也會淪為有針對性欺詐性電子郵件的受害者。
然而,雖然教育很重要,但這并不是全部答案。正如社會將某些行為定義為道義上應受譴責的行為,員工也需要意識到自己的責任,避免可能危及其企業的活動。
網絡安全基礎知識
在一段時間內,CISO和IT安全團隊職位的合格候選人的供應不太可能滿足需求,同時,吸引合格的候選人仍將是一項艱巨的任務。企業需要更多經驗豐富的安全人員,這些人必須確信其工作的安全性。企業需要通過創建支持性和知識性的文化以及為安全專業人員開發個性化職業發展道路來解決這些問題。
對于萬豪國際、施耐德電氣等缺乏專業領域人才的公司而言,內部培養和發展機會效果良好。可以肯定的是,這并不是快速解決方案,而是保護企業免受網絡攻擊的一項長期責任。
贊助教育
很多公司都提供網絡安全職業培訓,并提供網絡安全和相關領域的認證。這些課程涵蓋廣泛的主題,并為想要培養現有技術數量人員的公司提供支持。
課堂和在線課程讓員工可根據自己的工作時間來提高知識面,企業還可提供學費補償計劃來鼓勵員工參與。網絡安全認證應該有明確的課程要求,符合企業短期和長期職業目標。這是企業長期發展的可行選擇解決方案。
教育機構
技術學院為在職人員和希望在所需領域找到職位的人提供本地職業教育,但每個機構提供的培訓深度各有不同。企業應該尋找在當地享有聲譽可提供相關領域最好教育的技術機構,并與該機構建立聯盟來開發符合企業要求的課程,并為對職業發展感興趣的員工提供贊助。你還可通過提供現實世界實習來改善招聘情況。
此外,企業還可讓內部專家作為特定課程的教授或者輔導教授。與合適機構建立長期合作伙伴關系可為企業提供一批合格人才,老師與學生的直接接觸還可提供就業途徑的資格預審。
在企業內
外部課程容易順利開始進行,因為課程都是現成的。課程主題可能是入門級和中級水平,可讓員工開始逐漸完成長期職業目標。對于需要應對當前和新出現威脅的高級分析師,最好通過建立教育中心來對其進行提高。
專業教育需要知識豐富的高等教育者。根據企業規模的不同,這一職位可以是一名資深IT安全員工擔任雙重職位--IT安全和培訓總監,或者專職負責教育工作而較少參與實際安全工作的人員。無論哪種情況,他們的主要工作都應該是安全主題研究和課程開發,以保持培訓與當前威脅的相關性。
向外看看
當企業計劃大規模擴展其IT安全人員時,他們可能需要招募外部網絡安全顧問。滲透測試等任務非常適合外包,因為這是短期或周期性的工作。長期面臨缺乏高層次專業人員的企業可與網絡安全服務公司建立持續合作關系。
在托管安全服務提供商(MSSP)方面有很多選擇,引入經驗豐富的人員(即使只是臨時)可創造一個緩沖期,讓現有員工可部署長期人員配置計劃。
與頂級企業層面建立關系
專業網絡可為企業和求職者帶來好處,他們還可為每個業務領域提供趨勢和機會的洞察力。當前的CISO應該與安全服務提供商公司內頂級管理層建立直接聯系。而尋求頂級安全人員的企業應該考慮聯系其安全公司的同僚,了解其業務,不僅要圍繞安全問題,還要涉及隱私和安全方面的趨勢。
展望未來
由于缺乏合格的IT安全專業人員,這已經導致各種規模的MSSP初創公司的增加。TechRepublic估計,到2020年,云計算安全市場價值將會達到120億美元。
這一增長為缺乏相關人員的IT安全部門帶來機會,他們可考慮收購其中一家MSSP初創公司來橫向多樣化發展其業務。這可給他們帶來完整員工的安全部門,并增加可行或有希望的業務。在最佳情況下,新收購的部門可憑借自身穩定的客戶自己獲利。
從長遠來看
對強大且有經驗的網絡安全專業人員的需求至關重要,并且不會消失。企業需要制定自己的機會,發展自己的安全專長,如果必要的話,可從頭開始。
如何填補CISO和網絡安全職位:領導者的經驗教訓
- 建立超越CISO責任的安全愿景
- 創造展望未來的教育機會
- 通過非傳統方法尋找現有候選人
