【IT168 评论】企业数字资产比以往任何时候都容易受到攻击,企业需要经验丰富的领导者来领导他们的数字防御工作。但现在缺乏经验丰富的安全技术人员,这需要采用新的方法来填补职位空缺。企业想要继续生存将需要采取长期的方法,创建自己的优异技术专家团队。
面对大量网络攻击,肩负保护企业重要责任的网络安全专业人员一直处于水深火热之中。然而,优异首席信息安全官合格人选数量太少,企业无法从大量简历中做出选择,应聘者往往不符合要求。
这个问题的部分原因在于,CISO通常被看作是“首席随时准备牺牲官”,这意味着当公司遭遇数据泄露时,CISO将承担责任。招聘网站Indeed公司表示,应聘人员很少,“当我们对比求职者对雇主发布网络安全职位的点击率时,我们看到严重的人才短缺,以及这对企业带来的风险,在这里使用‘危机’这一词非常合适。”
从历史上来看,IT专业人员的短缺很常见。当新技术出现时,人员需要逐渐学习新技术来获得相关经验,在初期通常会出现短缺。同时,大家通常对网络安全专业人员的职位不是那么热衷,特别是CISO职位,因为网络攻击越来越多,阻止所有攻击的机会很小。
根据Privacy Rights Clearinghouse表示,在2016年有807起确定的安全泄露事故,2015年这个数据位531。IT专业人员了解这种风险,他们可能不愿意承担相关工作,这些工作随时可能让他们的职业生涯完结。因此,高层管理人员需要制定长期计划来建立下一代IT安全专家。
发展安全文化
加密、端点安全和密码维护都是完整IT安全计划的一部分。然而,即使是最好和最严格的安全计划也经常会失败,因为个别员工不了解网络攻击如何发生。当所有技术预防措施都部署到位,所有操作系统和应用程序都得到及时更新,某个员工点击恶意URL就会导致连锁反应,造成数据泄露和攻击。
CISO需要领导安全工作,同时,他们还需要将自己定位为引导,而不是单一责任点,这样他们不会每天看到自己的职业生涯受到威胁。社会工程学攻击比主动社会工程学要快得多,企业应该从教育和培训开始,最大程度减少这一威胁。
例如,2016年McAfee实验室威胁报告报道有超过1.57亿网络钓鱼攻击尝试。尽管有各种关于虚假电子邮件的警告,5500万用户还是沦为受害者。知名计算机黑客网络安全专家Kevin Mitnick表示,企业花费数百万美元在防火墙、加密和安全访问设备,这是浪费钱,因为这些措施都不能解决安全链中最薄弱的环节。
针对这种入侵的非常好的防御是对于电脑交互的每个人进行教育。网络钓鱼攻击表明为什么这种培训和教育需要一直延续到高层人员,高层管理人员也会沦为有针对性欺诈性电子邮件的受害者。
然而,虽然教育很重要,但这并不是全部答案。正如社会将某些行为定义为道义上应受谴责的行为,员工也需要意识到自己的责任,避免可能危及其企业的活动。
网络安全基础知识
在一段时间内,CISO和IT安全团队职位的合格候选人的供应不太可能满足需求,同时,吸引合格的候选人仍将是一项艰巨的任务。企业需要更多经验丰富的安全人员,这些人必须确信其工作的安全性。企业需要通过创建支持性和知识性的文化以及为安全专业人员开发个性化职业发展道路来解决这些问题。
对于万豪国际、施耐德电气等缺乏专业领域人才的公司而言,内部培养和发展机会效果良好。可以肯定的是,这并不是快速解决方案,而是保护企业免受网络攻击的一项长期责任。
赞助教育
很多公司都提供网络安全职业培训,并提供网络安全和相关领域的认证。这些课程涵盖广泛的主题,并为想要培养现有技术数量人员的公司提供支持。
课堂和在线课程让员工可根据自己的工作时间来提高知识面,企业还可提供学费补偿计划来鼓励员工参与。网络安全认证应该有明确的课程要求,符合企业短期和长期职业目标。这是企业长期发展的可行选择解决方案。
教育机构
技术学院为在职人员和希望在所需领域找到职位的人提供本地职业教育,但每个机构提供的培训深度各有不同。企业应该寻找在当地享有声誉可提供相关领域最好教育的技术机构,并与该机构建立联盟来开发符合企业要求的课程,并为对职业发展感兴趣的员工提供赞助。你还可通过提供现实世界实习来改善招聘情况。
此外,企业还可让内部专家作为特定课程的教授或者辅导教授。与合适机构建立长期合作伙伴关系可为企业提供一批合格人才,老师与学生的直接接触还可提供就业途径的资格预审。
在企业内
外部课程容易顺利开始进行,因为课程都是现成的。课程主题可能是入门级和中级水平,可让员工开始逐渐完成长期职业目标。对于需要应对当前和新出现威胁的高级分析师,最好通过建立教育中心来对其进行提高。
专业教育需要知识丰富的高等教育者。根据企业规模的不同,这一职位可以是一名资深IT安全员工担任双重职位--IT安全和培训总监,或者专职负责教育工作而较少参与实际安全工作的人员。无论哪种情况,他们的主要工作都应该是安全主题研究和课程开发,以保持培训与当前威胁的相关性。
向外看看
当企业计划大规模扩展其IT安全人员时,他们可能需要招募外部网络安全顾问。渗透测试等任务非常适合外包,因为这是短期或周期性的工作。长期面临缺乏高层次专业人员的企业可与网络安全服务公司建立持续合作关系。
在托管安全服务提供商(MSSP)方面有很多选择,引入经验丰富的人员(即使只是临时)可创造一个缓冲期,让现有员工可部署长期人员配置计划。
与优异企业层面建立关系
专业网络可为企业和求职者带来好处,他们还可为每个业务领域提供趋势和机会的洞察力。当前的CISO应该与安全服务提供商公司内优异管理层建立直接联系。而寻求优异安全人员的企业应该考虑联系其安全公司的同僚,了解其业务,不仅要围绕安全问题,还要涉及隐私和安全方面的趋势。
展望未来
由于缺乏合格的IT安全专业人员,这已经导致各种规模的MSSP初创公司的增加。TechRepublic估计,到2020年,云计算安全市场价值将会达到120亿美元。
这一增长为缺乏相关人员的IT安全部门带来机会,他们可考虑收购其中一家MSSP初创公司来横向多样化发展其业务。这可给他们带来完整员工的安全部门,并增加可行或有希望的业务。在非常好的情况下,新收购的部门可凭借自身稳定的客户自己获利。
从长远来看
对强大且有经验的网络安全专业人员的需求至关重要,并且不会消失。企业需要制定自己的机会,发展自己的安全专长,如果必要的话,可从头开始。
如何填补CISO和网络安全职位:领导者的经验教训
· 建立超越CISO责任的安全愿景
· 创造展望未来的教育机会
· 通过非传统方法寻找现有候选人