據普華永道的《2021年全球數字信任洞察報告》顯示， 51%的受訪高管表示，他們計劃在未來一年增加全職安全人員，22%的受訪者計劃將工作人員增加5%或更多。

企業團隊繼續需要安全分析師、安全工程師和滲透測試員——所有這些角色在許多安全部門必不可少。不過如今，許多組織期望為安全團隊增設其他崗位、設立新角色，并增加新職銜。

專家們在本文中介紹了他們認為對IT安全很重要的八種角色。

[[409281]]

身份及訪問管理工程師

企業安全領導人日益專注于開發可靠的身份及訪問管理(IAM)實踐;由于遠程訪問程度越來越高、需要隨時隨地工作以及多云環境不斷擴大，IAM因而備受關注。

事實上，云安全聯盟發布的《2020年云身份安全現狀》報告發現，94%的受訪企業領導人將人類身份的特權和權限管理列為高優先級或極高優先級，77%的受訪者將機器身份的特權和權限管理列為高優先級或極高優先級。

正因為如此，安全領導人在設立特定的角色，并設立IAM工程師或IAM分析師之類的職銜。

人事服務公司Robert Half Technology的執行董事Jeff Weber預計，市場對這些專業人員的需求會繼續增長。

他說：“在今后幾個月，安全方面的要求納入到應用軟件生命周期中將推動需求。”他補充說，他的公司看到，首席信息安全官(CISO)讓擁有出色的問題解決和分析技能的員工獲得勝任這些角色所需要的技術經驗，以提高技能。

管理第三方風險的經理人

首席信息安全官們已注意到威脅有可能通過合作伙伴和供應商進入自己的業務運營系統，這促使他們更加關注與第三方有關的風險。安全領導人、招聘人員和高管顧問們均認為，這進而帶來了完全專注于這個問題的角色。

比如說，Stephanie Benoit-Kurtz是Station Casinos的網絡安全主管(該崗位的直屬上司是首席信息安全官)，也是菲尼克斯大學網絡安全項目的系主任，Benoit-Kurtz的團隊中有一名信息系統分析師，專注于管理內部風險和管理第三方風險，因為這兩方面所需的技能幾乎一樣。然而，隨著工作的需求和復雜性日增，她預計需要有人來全職管理第三方風險。

這些角色的職銜各有不同，無論為安全團隊中的現有崗位增添全職崗位還是新職責。不管怎樣，專家們表示，這個角色的關注點一樣：審查第三方的安全政策和程序，并執行根據合同設定的標準。

IT服務管理公司Involta的首席信息安全官Annalea Ilg說：“你必須確保自己在管理這種風險，整個安全團隊必須明白提供商的職責。”

DevSecOps安全工程師

Owanate Bestman是總部位于倫敦的技術和安全專業人員招聘公司Bestman Solutions的主管，他說：“應用軟件仍然是防止泄密事件方面最薄弱的環節。開發安全運維(DevSecOps)是如今用來解決這個問題的最備受稱贊的方法。DevSecOps方面有經驗的求職者很搶手。”

他表示，信息安全領導人想要這樣的應用軟件安全工程師：深入了解DevOps方法，通曉DevOps管道工具，能夠與開發團隊合作(或者這方面有實際經驗)，非常清楚Web應用軟件風險，當然還要有安全資格證書。

Sushila Nair是NTT數據服務公司的副總裁兼安全產品主管，還是國際信息系統審計協會(ISACA)大華盛頓分會的理事。她說，考慮到這些要求，人才供不應求也就不足為奇了。

Nair說：“DevSecOps并不新鮮，但是很難找到可以添加到你敏捷開發團隊中的應用軟件安全工程師。”她補充道，面臨的挑戰在于，找到集安全知識和應用軟件開發經驗于一身的人才。

威脅搜尋員

如今組織面臨的眾多威脅很復雜也很狡猾，這促使首席信息安全官設立新角色，以識別和應對這些威脅。

Stephenie Southard是伊利諾斯州弗農希爾斯的信用合作社BCU的首席信息安全官，她說：“我們需要的人幾乎像安全分析師和威脅管理者的混合體，他們要查看所有的威脅分析工具、來自防火墻的日志以及其他監控工具，了解有什么樣的威脅，回過頭來告知相關人員。他們應該能夠查看日志和警報，檢測可疑活動，檢測異常行為的某種模式，知道這是誤報還是令人擔憂的事件，還知道這表明的是情況緊急的風險還是并不重要的風險。”

Nair同樣將威脅搜尋列為一種重要角色，她說：“我們需要實用的分析技能。SolarWinds及其他高級攻擊已進一步加深了我們需要搜尋攻擊者的下落這種認識。面對悄無聲息的持續攻擊，工具常常無法提醒我們，因此我們需要知道如何搜尋網絡上的入侵者。”

漏洞風險分析師

同樣，Southard認為需要能夠跟蹤和管理企業內部漏洞的人員。“這樣才能腳踏實地地修復任何漏洞。”

她表示，她在2020年年中發現需要這一角色，當時多個因素結合在一起：從各種設備對公司系統進行遠程訪問，需要解決的漏洞層出不窮，以及組織面臨的威脅越來越多。

Southard承認，大多數安全團隊(包括她自己的團隊)已有負責處理漏洞的工作人員。不過她表示，這項工作有時被擠到其他優先事項的后面。

于是她在2021年初設立了一個新崗位，進一步保證漏洞管理受到關注，因此這個人就有時間和權力將這項工作列為優先事項，甚至可以與供應商合作，根據組織設定的標準來解決問題。

她補充道：“這將確保解決漏洞享有優先權，并向監管部門等其他有關方表明，我們對于修復這些漏洞很重視。”

云安全架構師

據安全領導人、招聘人員和顧問聲稱，云安全架構師是需求量最大的角色之一。

Bestman說：“亟需的技能大多出于遵守監管法規的目的，旨在確保企業享有云平臺好處的同時，降低監管和合規方面的風險。”

他表示，招聘經理需要云平臺方面有經驗的人，最好是受過特定平臺培訓或認證的人。他們還需要對安全規程有深入了解的人。

Nair說：“他有能力為云架構開發安全藍圖，知道需要什么樣的安全工具來確保云資產安全，”并補充到，這些崗位的最佳人選在評估工具時，除了考慮所選擇的工具對安全的影響外，還會考慮對財務的影響。

這個要求很高，不過Bestman表示，他看到擁有云經驗的安全架構師在不斷增多，其中更多的人在獲取云認證，以提高在市場上的價值。

事件響應經理

2020年，Southard為其部門新增了一名事件響應經理。她表示，安全團隊(包括她自己的團隊)至少需要一名工作人員，負責密切關注如何最有效地處理各種事件;如果發生什么不測，可以做好充分準備。

她那位新設的事件響應經理(有時叫事件響應分析師)在過去的17年從事類似的崗位。這番經歷對Southard來說很重要。她說：“我們需要經歷過事件的人。”

Southard說，她設立這個崗位是為了確保安全部門能盡快做出響應，并協調可能起到作用的各項任務。

她解釋：“這樣就有一個人專門排查分類，召集人員，并搞清楚事件類型。”她補充到，這類經理應該知道如何處理從電話系統中斷到個人身份信息泄露的各種事件，并知道如何針對這類事件給予相應的關注。

首席信息安全官

首席信息安全官崗位并不新鮮，但也不是很普遍的角色。

IDG公司的《2020年安全優先事項》研究報告發現，只有42%的中小企業設有首席信息安全官、首席安全官或其他高級安全主管，80%的大企業設有這些崗位。然而，就連一些超大規模企業仍沒有高管級的網絡安全崗位。比如說，安全供應商Bitglass的一項調查發現，2019年《財富》500強企業中38%沒有首席信息安全官，其中只有16%由另一位高管(比如安全副總裁)負責網絡安全戰略。

專家們表示，這是個錯誤。

Southard表示，即便一家組織非常注重安全，但首席信息安全官的角色對于“向上和向下管理，并在高層設定基調來說仍然至關重要。組織能夠因此真正獲得深度防御戰略也至關重要。”

作為一名高管，首席信息安全官有條件與其他高管共同制定戰略，因此更有可能成功地定義和實施與組織風險相一致的安全做法。擁有高管頭銜的首席信息安全官也更有能力讓其他人遵守安全要求。

Benoit-Kurtz補充道：“如果貴組織沒有首席信息安全官，那么就算有所謂兼職的虛擬首席信息安全官，也無異于定錯了基調。”