企業想要成功,如何打造下一代IT安全團隊?

行者武松發表於2017-10-09

企業數字資產比以往任何時候都容易受到攻擊,企業需要經驗豐富的領導者來領導他們的數字防禦工作。但現在缺乏經驗豐富的安全技術人員,這需要採用新的方法來填補職位空缺。企業想要繼續生存將需要採取長期的方法,建立自己的頂級技術專家團隊。

如何打造下一代IT安全團隊?

面對大量網路攻擊,肩負保護企業重要責任的網路安全專業人員一直處於水深火熱之中。然而,頂級首席資訊保安官合格人選數量太少,企業無法從大量簡歷中做出選擇,應聘者往往不符合要求。

這個問題的部分原因在於,CISO通常被看作是“首席隨時準備犧牲官”,這意味著當公司遭遇資料洩露時,CISO將承擔責任。招聘網站Indeed公司表示,應聘人員很少,“當我們對比求職者對僱主釋出網路安全職位的點選率時,我們看到嚴重的人才短缺,以及這對企業帶來的風險,在這裡使用‘危機’這一詞非常合適。”

從歷史上來看,IT專業人員的短缺很常見。當新技術出現時,人員需要逐漸學習新技術來獲得相關經驗,在初期通常會出現短缺。同時,大家通常對網路安全專業人員的職位不是那麼熱衷,特別是CISO職位,因為網路攻擊越來越多,阻止所有攻擊的機會很小。

根據Privacy Rights
Clearinghouse表示,在2016年有807起確定的安全洩露事故,2015年這個資料位531。IT專業人員瞭解這種風險,他們可能不願意承擔相關工作,這些工作隨時可能讓他們的職業生涯完結。因此,高層管理人員需要制定長期計劃來建立下一代IT安全專家。

發展安全文化

加密、端點安全和密碼維護都是完整IT安全計劃的一部分。然而,即使是最好和最嚴格的安全計劃也經常會失敗,因為個別員工不瞭解網路攻擊如何發生。當所有技術預防措施都部署到位,所有作業系統和應用程式都得到及時更新,某個員工點選惡意URL就會導致連鎖反應,造成資料洩露和攻擊。

CISO需要領導安全工作,同時,他們還需要將自己定位為引導,而不是單一責任點,這樣他們不會每天看到自己的職業生涯受到威脅。社會工程學攻擊比主動社會工程學要快得多,企業應該從教育和培訓開始,最大程度減少這一威脅。

例如,2016年McAfee實驗室威脅報告報導有超過1.57億網路釣魚攻擊嘗試。儘管有各種關於虛假電子郵件的警告,5500萬使用者還是淪為受害者。知名計算機黑客網路安全專家Kevin
Mitnick表示,企業花費數百萬美元在防火牆、加密和安全訪問裝置,這是浪費錢,因為這些措施都不能解決安全鏈中最薄弱的環節。

針對這種入侵的最佳防禦是對於電腦互動的每個人進行教育。網路釣魚攻擊表明為什麼這種培訓和教育需要一直延續到高層人員,高層管理人員也會淪為有針對性欺詐性電子郵件的受害者。

然而,雖然教育很重要,但這並不是全部答案。正如社會將某些行為定義為道義上應受譴責的行為,員工也需要意識到自己的責任,避免可能危及其企業的活動。

網路安全基礎知識

在一段時間內,CISO和IT安全團隊職位的合格候選人的供應不太可能滿足需求,同時,吸引合格的候選人仍將是一項艱鉅的任務。企業需要更多經驗豐富的安全人員,這些人必須確信其工作的安全性。企業需要通過建立支援性和知識性的文化以及為安全專業人員開發個性化職業發展道路來解決這些問題。

對於萬豪國際、施耐德電氣等缺乏專業領域人才的公司而言,內部培養和發展機會效果良好。可以肯定的是,這並不是快速解決方案,而是保護企業免受網路攻擊的一項長期責任。

贊助教育

很多公司都提供網路安全職業培訓,並提供網路安全和相關領域的認證。這些課程涵蓋廣泛的主題,併為想要培養現有技術數量人員的公司提供支援。

課堂和線上課程讓員工可根據自己的工作時間來提高知識面,企業還可提供學費補償計劃來鼓勵員工參與。網路安全認證應該有明確的課程要求,符合企業短期和長期職業目標。這是企業長期發展的可行選擇解決方案。

教育機構

技術學院為在職人員和希望在所需領域找到職位的人提供本地職業教育,但每個機構提供的培訓深度各有不同。企業應該尋找在當地享有聲譽可提供相關領域最好教育的技術機構,並與該機構建立聯盟來開發符合企業要求的課程,併為對職業發展感興趣的員工提供贊助。你還可通過提供現實世界實習來改善招聘情況。

此外,企業還可讓內部專家作為特定課程的教授或者輔導教授。與合適機構建立長期合作伙伴關係可為企業提供一批合格人才,老師與學生的直接接觸還可提供就業途徑的資格預審。

在企業內

外部課程容易順利開始進行,因為課程都是現成的。課程主題可能是入門級和中級水平,可讓員工開始逐漸完成長期職業目標。對於需要應對當前和新出現威脅的高階分析師,最好通過建立教育中心來對其進行提高。

專業教育需要知識豐富的高等教育者。根據企業規模的不同,這一職位可以是一名資深IT安全員工擔任雙重職位–IT安全和培訓總監,或者專職負責教育工作而較少參與實際安全工作的人員。無論哪種情況,他們的主要工作都應該是安全主題研究和課程開發,以保持培訓與當前威脅的相關性。

向外看看

當企業計劃大規模擴充套件其IT安全人員時,他們可能需要招募外部網路安全顧問。滲透測試等任務非常適合外包,因為這是短期或週期性的工作。長期面臨缺乏高層次專業人員的企業可與網路安全服務公司建立持續合作關係。

在託管安全服務提供商(MSSP)方面有很多選擇,引入經驗豐富的人員(即使只是臨時)可創造一個緩衝期,讓現有員工可部署長期人員配置計劃。

頂級企業層面建立關係

專業網路可為企業和求職者帶來好處,他們還可為每個業務領域提供趨勢和機會的洞察力。當前的CISO應該與安全服務提供商公司內頂級管理層建立直接聯絡。而尋求頂級安全人員的企業應該考慮聯絡其安全公司的同僚,瞭解其業務,不僅要圍繞安全問題,還要涉及隱私和安全方面的趨勢。

展望未來

由於缺乏合格的IT安全專業人員,這已經導致各種規模的MSSP初創公司的增加。TechRepublic估計,到2020年,雲端計算安全市場價值將會達到120億美元。

這一增長為缺乏相關人員的IT安全部門帶來機會,他們可考慮收購其中一家MSSP初創公司來橫向多樣化發展其業務。這可給他們帶來完整員工的安全部門,並增加可行或有希望的業務。在最佳情況下,新收購的部門可憑藉自身穩定的客戶自己獲利。

從長遠來看

對強大且有經驗的網路安全專業人員的需求至關重要,並且不會消失。企業需要制定自己的機會,發展自己的安全專長,如果必要的話,可從頭開始。

如何填補CISO和網路安全職位:領導者的經驗教訓

· 建立超越CISO責任的安全願景

· 創造展望未來的教育機會

· 通過非傳統方法尋找現有候選人

本文轉自d1net(轉載)


相關文章