并且這些數(shù)字可能還在增加當(dāng)中。

 

根據(jù)普華永道的全球數(shù)字信任洞察報(bào)告， 51%的受訪高管表示，他們計(jì)劃在未來一年增加全職的安保人員，其中有22%的人計(jì)劃增加5%或更多的人員。

 

企業(yè)團(tuán)隊(duì)仍然需要安全分析師、安全工程師和滲透測(cè)試人員--所有這些角色在許多安全部門都是必不可少的。然而，現(xiàn)如今，組織也正在尋求用其他職位來擴(kuò)大他們的安全級(jí)別，開拓新的角色，并增加新的頭銜。

 

在這里，專家們提出了他們對(duì)2021年IT安全的八個(gè)關(guān)鍵角色的看法。

 

 

企業(yè)安全領(lǐng)導(dǎo)者越發(fā)地開始注重開發(fā)強(qiáng)大的身份和訪問管理(IAM)實(shí)踐了，這一重點(diǎn)是由持續(xù)的高水平遠(yuǎn)程訪問、隨時(shí)隨地的工作需求和不斷擴(kuò)展的多通道環(huán)境所推動(dòng)的。

 

事實(shí)上，來自云安全聯(lián)盟的《2020年云身份安全狀況報(bào)告》發(fā)現(xiàn)，94%的受訪企業(yè)領(lǐng)導(dǎo)人將人類身份的特權(quán)和權(quán)限管理列為了高優(yōu)先級(jí)或極高優(yōu)先級(jí)，77%將機(jī)器身份的特權(quán)和權(quán)限管理列為了高優(yōu)先級(jí)或極高優(yōu)先級(jí)。

 

正因?yàn)槿绱耍踩I(lǐng)導(dǎo)們正在尋找合適的角色，并賦予了他們諸如IAM工程師或IAM分析師之類的頭銜。

 

人力資源公司Robert Half Technology的執(zhí)行董事Jeff Weber預(yù)計(jì)，對(duì)這些專家的需求將繼續(xù)增長。

 

“在未來的幾個(gè)月里，其需求將被應(yīng)用生命周期中的安全需求所驅(qū)動(dòng)，”他說，并補(bǔ)充到，他的公司正在看到CISO們提高了員工的技能，這些員工表現(xiàn)出了堅(jiān)實(shí)的問題解決和分析技能，具備了擔(dān)任這些角色所需的技術(shù)經(jīng)驗(yàn)。

 

 

CISO們已經(jīng)注意到威脅會(huì)通過合作伙伴和供應(yīng)商進(jìn)入他們的業(yè)務(wù)，這也促使他們需要更加關(guān)注與第三方相關(guān)的風(fēng)險(xiǎn)。根據(jù)安全領(lǐng)導(dǎo)、招聘人員和執(zhí)行顧問的說法，這反過來又產(chǎn)生了純粹專注于這個(gè)問題的角色。

 

例如，Benoit-Kurtz的團(tuán)隊(duì)中有一名信息系統(tǒng)分析師，同時(shí)專注于內(nèi)部風(fēng)險(xiǎn)和管理第三方風(fēng)險(xiǎn)，因?yàn)閮烧咚璧募寄軒缀跸嗤Ｈ欢S著工作需求和復(fù)雜性的增加，她預(yù)計(jì)需要有人來全職管理第三方風(fēng)險(xiǎn)了。

 

這些角色的頭銜各不相同，無論是全職職位還是安全團(tuán)隊(duì)中現(xiàn)有職位的新職責(zé)。但最終，專家們表示，對(duì)這一角色的關(guān)注是一致的：審查第三方的安全政策和程序，并執(zhí)行根據(jù)合同所設(shè)定的標(biāo)準(zhǔn)。

 

“你必須確保自己正在管理這種風(fēng)險(xiǎn)，并且你作為一個(gè)安全團(tuán)隊(duì)能夠理解提供商的責(zé)任，”IT服務(wù)管理公司Involta的CISO Annalea Ilg說。

 

 

“應(yīng)用程序仍然是防止違規(guī)的最薄弱環(huán)節(jié)，”總部位于倫敦的技術(shù)和安全專業(yè)招聘公司Bestman Solutions的主管Owanate Bestman說。“DevSecOps是當(dāng)今用來解決這個(gè)問題的最受歡迎的方法。有DevSecOps經(jīng)驗(yàn)的申請(qǐng)人是有需求的。”

 

他說，安全主管希望應(yīng)用安全工程師對(duì)DevOps方法有很好的理解，了解DevOps管道工具，有能力與開發(fā)團(tuán)隊(duì)合作(或有這樣做的實(shí)際經(jīng)驗(yàn))，對(duì)網(wǎng)絡(luò)應(yīng)用風(fēng)險(xiǎn)有很好的了解，當(dāng)然還有安全資格。

 

NTT數(shù)據(jù)服務(wù)公司的副總裁兼安全產(chǎn)品負(fù)責(zé)人、美國國際審計(jì)與鑒證準(zhǔn)則理事會(huì)大華盛頓分會(huì)理事Sushila Nair說，考慮到這些要求，需求超過供應(yīng)也就不足為奇了。

 

“DevSecOps并不新鮮，但是很難找到能夠嵌入到Scrum團(tuán)隊(duì)中的應(yīng)用程序安全工程師，”Nair表示，并補(bǔ)充說，目前的挑戰(zhàn)是能否找到具有安全知識(shí)和應(yīng)用程序開發(fā)經(jīng)驗(yàn)的人才。

 

 

當(dāng)今組織所面臨的威脅的復(fù)雜性使得信息安全專家們不得不尋找新的角色來識(shí)別和應(yīng)對(duì)這些威脅。

 

“我們需要人們能夠像一個(gè)安全分析威脅管理者一樣，查看所有的威脅分析工具、來自防火墻的日志以及其他監(jiān)控工具;了解威脅是什么并能將其反饋給相關(guān)的人員，”Southard說。“他們應(yīng)該能夠查看日志和警報(bào)，檢測(cè)可疑的東西，檢測(cè)不正常的行為模式，知道這是假陽性還是令人擔(dān)憂的事件，以及這是否表明了存在緊急情況或是輕微風(fēng)險(xiǎn)。”

 

Nair同樣將威脅搜尋列為了關(guān)鍵角色，他說：“我們需要實(shí)用的分析師技能。SolarWinds和其他高級(jí)攻擊已經(jīng)進(jìn)一步加深了我們需要追捕攻擊者的認(rèn)識(shí)。對(duì)于無聲的、持續(xù)的攻擊，工具通常無法提醒我們，因此我們需要知道如何在網(wǎng)絡(luò)上尋找入侵者。”

 

 

同樣，Southard也認(rèn)為需要能夠跟蹤和管理企業(yè)內(nèi)部漏洞的人員。“這樣才能腳踏實(shí)地地修復(fù)任何漏洞。”

 

她說，她認(rèn)為在2020年中期就需要這個(gè)角色了，因?yàn)閺母鞣N設(shè)備對(duì)公司系統(tǒng)的持續(xù)遠(yuǎn)程訪問、需要解決的不斷變化的漏洞以及組織所面臨的越來越多的威脅都已經(jīng)匯集在了一起。

 

Southard承認(rèn)，大多數(shù)安全團(tuán)隊(duì)，包括她自己的團(tuán)隊(duì)，都已經(jīng)有工作人員在處理漏洞。但是，她也表示，這項(xiàng)工作有時(shí)會(huì)被排在其他優(yōu)先事項(xiàng)之后。

 

因此，她在2021年初創(chuàng)建了一個(gè)新職位，以更好地保證對(duì)漏洞管理的關(guān)注，并將這一增加視為一個(gè)最佳步驟，讓某人有時(shí)間和權(quán)力來將這項(xiàng)工作作為其優(yōu)先事項(xiàng)，甚至是與供應(yīng)商進(jìn)行合作，以根據(jù)她的組織所設(shè)置的標(biāo)準(zhǔn)來修復(fù)問題。

 

“這確保了我們可以優(yōu)先解決漏洞，并向監(jiān)管機(jī)構(gòu)等其他人表明，我們對(duì)修復(fù)這些漏洞是認(rèn)真的，”她補(bǔ)充道。

 

 

根據(jù)安全主管、招聘人員和顧問的說法，這是最受歡迎的角色之一。

 

“所尋求的許多技能都是出于監(jiān)管的目的：確保企業(yè)在利用云平臺(tái)好處的同時(shí)降低監(jiān)管和合規(guī)性的風(fēng)險(xiǎn)，”Bestman說。

 

他表示，招聘的經(jīng)理是需要有云平臺(tái)工作經(jīng)驗(yàn)的人，最好是受過特定平臺(tái)培訓(xùn)或認(rèn)證的人。他們還需要對(duì)安全協(xié)議有深刻理解的人。

 

“他有能力為云架構(gòu)開發(fā)安全藍(lán)圖，知道你需要什么樣的安全工具來保護(hù)你的云資產(chǎn)，”Nair說，并補(bǔ)充到，這些職位上的最佳人員可以考慮為其選擇的財(cái)務(wù)影響和安全影響來評(píng)估工具。

 

這要求很高，但Bestman表示，他已經(jīng)看到了擁有云經(jīng)驗(yàn)的安全架構(gòu)師的增加，而越來越多的人也正在通過云認(rèn)證來增加他們的市場(chǎng)價(jià)值。

 

 

2020年，Southard在她的部門增加了一名事故響應(yīng)經(jīng)理。她說，安全小組，包括她自己的小組，至少需要一名工作人員，來負(fù)責(zé)跟上該如何更好地處理各種事件，并做好準(zhǔn)備，如果有什么事情發(fā)生的話。

 

她的新事故響應(yīng)經(jīng)理--有時(shí)被稱為事故響應(yīng)分析師--在過去的17年里一直在類似的職位上工作。這種經(jīng)歷對(duì)Southard來說很重要。“我們需要一個(gè)經(jīng)歷過事故的人，”她說。

 

Southard說，她創(chuàng)建這個(gè)職位是為了確保安全部門能夠盡快地做出反應(yīng)，并協(xié)調(diào)好所有可能發(fā)揮作用的各種任務(wù)。

 

“這給了我們一個(gè)聯(lián)系點(diǎn)來進(jìn)行分類，把人們聚在一起，并找出事件的類型，”她解釋說，并補(bǔ)充到，這些管理人員應(yīng)該知道該如何處理從電話系統(tǒng)中斷到泄露個(gè)人身份信息的漏洞等各種事件，以及此類事件所需要的不同程度的關(guān)注級(jí)別。

 

 

CISO的職位并不新鮮，但也不是一個(gè)普遍的角色。

 

IDG的2020年安全優(yōu)先級(jí)研究發(fā)現(xiàn)，只有42%的中小型企業(yè)擁有CISO、CSO或是其他的高級(jí)安全主管，而在所有企業(yè)組織中的這一比例為80%。甚至是一些最大的組織仍然沒有高管級(jí)的網(wǎng)絡(luò)安全職位。例如，安全供應(yīng)商Bitglass的一項(xiàng)研究發(fā)現(xiàn)，2019年財(cái)富500強(qiáng)企業(yè)中，38%的企業(yè)沒有CISO，其中只有16%的企業(yè)有另一位高管(如安全副總裁)來負(fù)責(zé)網(wǎng)絡(luò)安全戰(zhàn)略。

 

這是個(gè)錯(cuò)誤，專家們表示。

 

即使是一個(gè)組織想要致力于安全，擁有一個(gè)CISO的角色對(duì)于“跨部門管理并在高層定下基調(diào)”也是至關(guān)重要的。對(duì)于一個(gè)組織來說，能夠真正獲得防御戰(zhàn)略的深度是至關(guān)重要的，”Stephenie Southard說，他是位于伊利諾斯州弗農(nóng)希爾斯的一家信用合作社BCU的首席信息官。

 

作為一名高管，CISO能夠在戰(zhàn)略上與高管們合作，因此更有可能成功地定義和實(shí)施一個(gè)能夠與組織風(fēng)險(xiǎn)相一致的安全態(tài)勢(shì)。而且，擁有高管頭銜的CISO也更有能力讓其他人遵守安全要求。

 

“如果在你的組織中沒有一個(gè)CISO，即使它只是一個(gè)虛擬的兼職CISO，也是定下了錯(cuò)誤的基調(diào)，”Stephanie Benoit-Kurtz補(bǔ)充道，她是Station Casinos的網(wǎng)絡(luò)安全主管(一個(gè)向CISO報(bào)告的職位)，也是菲尼克斯大學(xué)網(wǎng)絡(luò)安全項(xiàng)目的首席教師。

 

版權(quán)聲明：本文為企業(yè)網(wǎng)D1Net編譯，轉(zhuǎn)載需注明出處為：企業(yè)網(wǎng)D1Net，如果不注明出處，企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。