面对技能有限的安全员工时,你一定要对他搞破坏的本事有所约制。这种方法被一些人称为“对他加以限制”,不过有一种更恰当的办法来对待这样的安全员工。一家知名安全公司的安全工程师Anthony Scalzitti表示,那就针对不大重要的系统为他们分配任务,比如调查可疑的日志活动或者入侵检测系统(IDS)报告,从而限制可能会犯的错误。
另一种合适的安全角色不会让技能有限的员工陷入麻烦,那就是让他们出席其他业务小组参加的会议,确保安全部门知道哪些项目即将动工。派安全代表参与小组会议还有助于提醒同事们在设计阶段就要考虑到安全特性,而不是设计及开发完成后才把安全特性硬塞进去。
Scalzitti说:“派新来不久或者比较年轻的安全员工担任这个代表。就算他们没有太大的贡献,如果他们参加会议,别人会说‘哦,我们这里有安全人员。’他们觉得有义务考虑安全性。这个人可能没有太大的贡献,但安全小组中经验比较丰富的成员会告诉他下一步该怎么说。”
实际上,许多公司在为把安全作为一个质量要素集成到应用程序开发当中而努力,安全与项目进度、抗故障性、可扩展性以及满足业务要求的需要等方面一样重要。因而,公司有一名资历较深的安全员工不但有助于对安全新手进行教育、让他远离麻烦,还有助于让其他部门听到安全部门的心声。
Scalzitti说:“这些是重要的角色,那样即使出现了错误,一般也不至于影响公司业务。”
自命不凡的安全员工恰好与傻乎乎的安全员工形成了鲜明对照,不过与他们打交道同样不轻松。这些员工觉得花时间去处理某些小儿科任务是大材小用,比如审查日志或者活动警报、进行简单的配置审查,或者与其他业务小组开会。
对待这类自命不凡的员工时,Scalzitti派他们去研究媒体上曝光的安全事件,并且收得了成效。他表示,目的在于让这些安全精英明白这个道理:实际上80%的事件归咎于针对容易下手的目标的简单攻击。
他说:“在信息安全领域,企图攻击的黑客有好多机会来选择一家公司作为下手。除非他们对某一家公司怀恨在心,否则会把目光瞄准容易下手的目标,不是特别针对哪一家公司。说服自命不凡的员工去研究容易下手的目标,这可能得花一点时间,不过他们会逐步对攻击是如何发生的有一个基本认识。”
通过种种办法来对待安全部门里面的“烂苹果”是好事,不过预防远胜于治疗。许多公司对新来员工制订有90天试用期政策。一旦过了试用期,大多数州规定:如果没有正当理由,雇主就不得随便解雇员工。从中得到的教训是:在头90天内要牢牢盯着新来的安全雇员,以免被不够格的安全员工所牵累。
