為云服務(wù)供應(yīng)商工作的網(wǎng)絡(luò)安全執(zhí)行官，將安全性構(gòu)建在商業(yè)服務(wù)中，并與客戶端的安全人員合作，保護(hù)系統(tǒng)安全，防止入侵者、危險(xiǎn)的勒索軟件和其他威脅，這個(gè)職位應(yīng)該叫什么?

Scott Weller的答案是首席云安全官——一種新類型的CISO。這位移動(dòng)營(yíng)銷初創(chuàng)公司SessionM的聯(lián)合創(chuàng)始人兼CTO，正忙于撰寫(xiě)這個(gè)正空缺的云安全職位的描述。

Weller表示：“長(zhǎng)期以來(lái)，很多CISO一直都是關(guān)注物理環(huán)境，”他們的公司運(yùn)行一個(gè)基于云的平臺(tái)，讓企業(yè)可以為客戶個(gè)性化營(yíng)銷信息。“我們正在尋找的這個(gè)職位，是與云相關(guān)的安全性，因?yàn)槲覀兊钠髽I(yè)是圍繞云的。”

云供應(yīng)商——從云基礎(chǔ)設(shè)施巨頭亞馬遜和微軟，到更小的軟件即服務(wù)供應(yīng)商——正在努力提高其服務(wù)的安全性。隨著云實(shí)施的加速，監(jiān)管機(jī)構(gòu)也嚴(yán)格要求。前CISO和獨(dú)立顧問(wèn)Candy Alexander表示，客戶也是如此。

她說(shuō)：“越來(lái)越多的客戶和顧客都在要求云供應(yīng)商：‘你必須為我們提供安全性服務(wù)。’”

一些供應(yīng)商，如SessionM，正在尋找首席云安全官這個(gè)職位——或者和其類似的職位，也許名稱并不一樣——進(jìn)一步提升了已經(jīng)需求很高的云安全技能。

云安全工作的職能

對(duì)于Weller來(lái)說(shuō)，這種“獨(dú)角獸”職位所需的技能是廣泛的。他尋找的人選，“經(jīng)歷過(guò)傳統(tǒng)的金屬和電纜時(shí)代，”經(jīng)歷過(guò)遷移到云的過(guò)程，并已經(jīng)運(yùn)營(yíng)云一段時(shí)間了。

他想要一位IT安全專業(yè)人士，既了解諸如云爆發(fā)這樣的概念——當(dāng)在內(nèi)部私有云中運(yùn)行的應(yīng)用需求達(dá)到頂峰時(shí)轉(zhuǎn)移到公有云——并擁有不同云工具的實(shí)踐經(jīng)驗(yàn)。

Weller給出了一個(gè)涉及Amazon Simple Storage Service(S3)的例子。

“每個(gè)S3 bucket是如何加密的?可以在不同亞馬遜區(qū)域之間進(jìn)行復(fù)制嗎?”他指的是亞馬遜數(shù)據(jù)中心服務(wù)的地理區(qū)域。將信息存儲(chǔ)在多個(gè)區(qū)域的公司，可以在一個(gè)區(qū)域的服務(wù)器停機(jī)時(shí)，避免其網(wǎng)站的速度下降，就像2月份亞馬遜的運(yùn)行中斷，使大部分互聯(lián)網(wǎng)速度下降。

“這些類型的情況如果發(fā)生在云中，涉及的不僅僅是安全性的概念，還包括冗余和故障轉(zhuǎn)移，”Weller說(shuō)，“我知道要找到一個(gè)擁有所有技能的人很難，但是他們的確存在。”

CISO，重新設(shè)想

Alexander表示，該職位與CISO的職位相似，因?yàn)橹饕氊?zé)是制定一項(xiàng)計(jì)劃，隨著業(yè)務(wù)向前發(fā)展，確保IT資產(chǎn)得到保護(hù)。但是，傳統(tǒng)的CISO關(guān)注自己的IT運(yùn)營(yíng)——應(yīng)用安全保障措施、管理與技術(shù)供應(yīng)商的關(guān)系，并與企業(yè)的其他業(yè)務(wù)部門合作，確保對(duì)安全性的制衡。

相比之下，新的云安全工作的主要職能，是首先確保云供應(yīng)商的服務(wù)中包含安全性。Alexander說(shuō)，然后討論合同細(xì)節(jié)——理想的情況下，明確各自的職責(zé)，并維護(hù)客戶關(guān)系。

她說(shuō)：“在過(guò)去，這個(gè)也許由產(chǎn)品經(jīng)理負(fù)責(zé)，或者由產(chǎn)品交付團(tuán)隊(duì)的一位安全性人員負(fù)責(zé)。”

但是，如今的網(wǎng)絡(luò)安全是企業(yè)的關(guān)鍵組成部分——云已經(jīng)成為企業(yè)IT運(yùn)營(yíng)的重要組成部分——這個(gè)職位是CISO級(jí)別的升級(jí)“使客戶感到他們獲得了一流的服務(wù)，”Alexander說(shuō)。

技術(shù)還是業(yè)務(wù)?

尋找一個(gè)人來(lái)填補(bǔ)新的職位可能是一個(gè)挑戰(zhàn)。CISO的技能很難獲得，并且范圍還很廣泛。Alexander說(shuō)，今天的許多企業(yè)都意識(shí)到，他們需要的IT安全官，不僅具備技術(shù)技能，還需要具備業(yè)務(wù)技能， 這樣他或她才可以和其他高級(jí)執(zhí)行官和董事會(huì)成員溝通關(guān)于網(wǎng)絡(luò)安全投資的重要性。

“傳統(tǒng)的CISO職位，我們已經(jīng)看到約18個(gè)月的流失率，”她說(shuō)，那是因?yàn)樵S多公司招聘的CISO“并不理解技術(shù)業(yè)務(wù)，他們認(rèn)為他們需要一個(gè)技術(shù)性的CISO ——結(jié)果效果并不理想，所以雙方都不滿意。”

她表示，云特定供應(yīng)商的CISO確實(shí)需要更加技術(shù)性，因?yàn)楫a(chǎn)品本身就是技術(shù)，他們將在云服務(wù)架構(gòu)上工作。而現(xiàn)在，市場(chǎng)上有更多精通行話的IT安全人員，而不是單純的技術(shù)人員。對(duì)于像SessionM這樣的云供應(yīng)商來(lái)說(shuō)，這是個(gè)好消息。

Alexander說(shuō)：“我不認(rèn)為你會(huì)看到很大的流動(dòng)率，因?yàn)檫@是大多數(shù)技術(shù)CISO需要擔(dān)任的職位。”