企業想要成功,如何打造下一代IT安全團隊?
企業數字資產比以往任何時候都容易受到攻擊,企業需要經驗豐富的領導者來領導他們的數字防禦工作。但現在缺乏經驗豐富的安全技術人員,這需要採用新的方法來填補職位空缺。企業想要繼續生存將需要採取長期的方法,建立自己的頂級技術專家團隊。
面對大量網路攻擊,肩負保護企業重要責任的網路安全專業人員一直處於水深火熱之中。然而,頂級首席資訊保安官合格人選數量太少,企業無法從大量簡歷中做出選擇,應聘者往往不符合要求。
這個問題的部分原因在於,CISO通常被看作是“首席隨時準備犧牲官”,這意味著當公司遭遇資料洩露時,CISO將承擔責任。招聘網站Indeed公司表示,應聘人員很少,“當我們對比求職者對僱主釋出網路安全職位的點選率時,我們看到嚴重的人才短缺,以及這對企業帶來的風險,在這裡使用‘危機’這一詞非常合適。”
從歷史上來看,IT專業人員的短缺很常見。當新技術出現時,人員需要逐漸學習新技術來獲得相關經驗,在初期通常會出現短缺。同時,大家通常對網路安全專業人員的職位不是那麼熱衷,特別是CISO職位,因為網路攻擊越來越多,阻止所有攻擊的機會很小。
根據Privacy Rights
Clearinghouse表示,在2016年有807起確定的安全洩露事故,2015年這個資料位531。IT專業人員瞭解這種風險,他們可能不願意承擔相關工作,這些工作隨時可能讓他們的職業生涯完結。因此,高層管理人員需要制定長期計劃來建立下一代IT安全專家。
發展安全文化
加密、端點安全和密碼維護都是完整IT安全計劃的一部分。然而,即使是最好和最嚴格的安全計劃也經常會失敗,因為個別員工不瞭解網路攻擊如何發生。當所有技術預防措施都部署到位,所有作業系統和應用程式都得到及時更新,某個員工點選惡意URL就會導致連鎖反應,造成資料洩露和攻擊。
CISO需要領導安全工作,同時,他們還需要將自己定位為引導,而不是單一責任點,這樣他們不會每天看到自己的職業生涯受到威脅。社會工程學攻擊比主動社會工程學要快得多,企業應該從教育和培訓開始,最大程度減少這一威脅。
例如,2016年McAfee實驗室威脅報告報導有超過1.57億網路釣魚攻擊嘗試。儘管有各種關於虛假電子郵件的警告,5500萬使用者還是淪為受害者。知名計算機黑客網路安全專家Kevin
Mitnick表示,企業花費數百萬美元在防火牆、加密和安全訪問裝置,這是浪費錢,因為這些措施都不能解決安全鏈中最薄弱的環節。
針對這種入侵的最佳防禦是對於電腦互動的每個人進行教育。網路釣魚攻擊表明為什麼這種培訓和教育需要一直延續到高層人員,高層管理人員也會淪為有針對性欺詐性電子郵件的受害者。
然而,雖然教育很重要,但這並不是全部答案。正如社會將某些行為定義為道義上應受譴責的行為,員工也需要意識到自己的責任,避免可能危及其企業的活動。
網路安全基礎知識
在一段時間內,CISO和IT安全團隊職位的合格候選人的供應不太可能滿足需求,同時,吸引合格的候選人仍將是一項艱鉅的任務。企業需要更多經驗豐富的安全人員,這些人必須確信其工作的安全性。企業需要通過建立支援性和知識性的文化以及為安全專業人員開發個性化職業發展道路來解決這些問題。
對於萬豪國際、施耐德電氣等缺乏專業領域人才的公司而言,內部培養和發展機會效果良好。可以肯定的是,這並不是快速解決方案,而是保護企業免受網路攻擊的一項長期責任。
贊助教育
很多公司都提供網路安全職業培訓,並提供網路安全和相關領域的認證。這些課程涵蓋廣泛的主題,併為想要培養現有技術數量人員的公司提供支援。
課堂和線上課程讓員工可根據自己的工作時間來提高知識面,企業還可提供學費補償計劃來鼓勵員工參與。網路安全認證應該有明確的課程要求,符合企業短期和長期職業目標。這是企業長期發展的可行選擇解決方案。
教育機構
技術學院為在職人員和希望在所需領域找到職位的人提供本地職業教育,但每個機構提供的培訓深度各有不同。企業應該尋找在當地享有聲譽可提供相關領域最好教育的技術機構,並與該機構建立聯盟來開發符合企業要求的課程,併為對職業發展感興趣的員工提供贊助。你還可通過提供現實世界實習來改善招聘情況。
此外,企業還可讓內部專家作為特定課程的教授或者輔導教授。與合適機構建立長期合作伙伴關係可為企業提供一批合格人才,老師與學生的直接接觸還可提供就業途徑的資格預審。
在企業內
外部課程容易順利開始進行,因為課程都是現成的。課程主題可能是入門級和中級水平,可讓員工開始逐漸完成長期職業目標。對於需要應對當前和新出現威脅的高階分析師,最好通過建立教育中心來對其進行提高。
專業教育需要知識豐富的高等教育者。根據企業規模的不同,這一職位可以是一名資深IT安全員工擔任雙重職位–IT安全和培訓總監,或者專職負責教育工作而較少參與實際安全工作的人員。無論哪種情況,他們的主要工作都應該是安全主題研究和課程開發,以保持培訓與當前威脅的相關性。
向外看看
當企業計劃大規模擴充套件其IT安全人員時,他們可能需要招募外部網路安全顧問。滲透測試等任務非常適合外包,因為這是短期或週期性的工作。長期面臨缺乏高層次專業人員的企業可與網路安全服務公司建立持續合作關係。
在託管安全服務提供商(MSSP)方面有很多選擇,引入經驗豐富的人員(即使只是臨時)可創造一個緩衝期,讓現有員工可部署長期人員配置計劃。
與頂級企業層面建立關係
專業網路可為企業和求職者帶來好處,他們還可為每個業務領域提供趨勢和機會的洞察力。當前的CISO應該與安全服務提供商公司內頂級管理層建立直接聯絡。而尋求頂級安全人員的企業應該考慮聯絡其安全公司的同僚,瞭解其業務,不僅要圍繞安全問題,還要涉及隱私和安全方面的趨勢。
展望未來
由於缺乏合格的IT安全專業人員,這已經導致各種規模的MSSP初創公司的增加。TechRepublic估計,到2020年,雲端計算安全市場價值將會達到120億美元。
這一增長為缺乏相關人員的IT安全部門帶來機會,他們可考慮收購其中一家MSSP初創公司來橫向多樣化發展其業務。這可給他們帶來完整員工的安全部門,並增加可行或有希望的業務。在最佳情況下,新收購的部門可憑藉自身穩定的客戶自己獲利。
從長遠來看
對強大且有經驗的網路安全專業人員的需求至關重要,並且不會消失。企業需要制定自己的機會,發展自己的安全專長,如果必要的話,可從頭開始。
如何填補CISO和網路安全職位:領導者的經驗教訓
· 建立超越CISO責任的安全願景
· 創造展望未來的教育機會
· 通過非傳統方法尋找現有候選人
本文轉自d1net(轉載)
相關文章
- 企業如何高效管理團隊???
- 如何打造合作型團隊
- 想要團隊辦公效率更快?企業雲盤助你一臂之力
- 企業雲盤的團隊協作功能如何
- 如何做好企業/團隊的技術選型?
- 餘世維-打造職業化團隊(2)
- 餘世維-打造職業化團隊(1)
- 如何提高工作激情,打造狼性團隊
- 企業如何正確投資工業物聯網,打造下一代增長引擎?
- 成功專案團隊角色模型——Belbin團隊角色模型(轉)模型
- 企業網盤提供團隊協作、檔案共享、安全管理平臺
- 如何快速為團隊打造自己的元件庫(下)—— 基於 element-ui 為團隊打造自己的元件庫元件UI
- AdHoc使用團隊拓撲方法打造其工程團隊
- 如何讓IT團隊和安全團隊之間更好地進行協作
- 用CRM軟體打造高效團隊,讓企業工作進度一目瞭然
- [企業管理]深圳歸來談軟體企業團隊建設
- 異地創業團隊如何做團隊溝通協作創業團隊
- 打造高效小團隊 - 團隊程式碼提交流程 && 規範
- 聽說創業團隊這樣做才有可能會成功?創業團隊
- 企業組建資料科學團隊指南資料科學
- 【企業管理】怎樣培養出色的團隊
- 團隊協同工具如何幫中小企業快速數字化轉型
- 企業資訊與網路通訊安全 團隊成員簡歷-葉俊 (轉)
- 企業資訊與網路通訊安全 團隊成員簡歷-黎萍 (轉)
- 企業資訊與網路通訊安全 團隊成員簡歷-陳建 (轉)
- 企業資訊與網路通訊安全 團隊成員簡歷-呂 劍 (轉)
- 打造敏捷的自組織團隊敏捷
- 打造前端團隊的 React CLI 工具前端React
- 打造讓客戶尊敬的IT團隊
- 團隊作業
- Chris Fry:如何打造一個穩定的技術團隊
- 自由職業者:如何有效管理團隊?
- 團隊作業1——團隊選題&展示
- 團隊作業1——團隊展示&選題
- 獨立遊戲開發者,如何在創業路上取得成功?團隊、產品、運營遊戲開發創業
- [企業管理]關於最佳團隊、團隊融合程度和開發效率的引入對話
- AI構建下一代企業安全大腦AI
- 如何低成本,快速構建企業 Wiki 和團隊知識分享平臺