由于政府數據保護的重要性和復雜性增強,導致信息安全的影響和范圍不斷擴大。大多數聯邦信息安全的領導者關注的重點由安全操作轉到降低風險。
最大的進步是現在不再試圖消除信息的風險。相反采取風險管理方法,其特點是:識別并傳達業務領域的風險,向風險業主提供有用的風險權衡方法并支持業主的對風險的處理決定。
然而,大多數的信息安全團隊不具備管理這些風險的技能。 CEB研究發現,78%首席信息安全官認為,信息安全的客戶并不認為在制定關鍵業務決策時信息安全團隊是值得信賴的合作伙伴。近三分之二的安全官認為,信息安全客戶不容易找到可開展工作的伙伴。此外,近三分之二的首席信息安全官表示,在過去三年其增加了對人才管理的時間,20%的首席信息安全官每周花一天時間進行人才管理活動,如訓練與開發,績效管理和人才規劃。
盡管進行了顯著的投資,首席信息安全官擔憂三個方面的挑戰:
采購挑戰。很難達到IT技術人員與雇傭的平衡。一旦領導找到優秀的員工,很難留住他們。研究表明,37%高水平的信息安全專業人員打算在一年之內的尋找新工作。
結構性挑戰。信息安全團隊規模和復雜性不斷壯大,即興的人才管理方式不能持續進行。新技術迅速發展,需要新的技能,如業務接口技術,風險評估和高級威脅防御。
性能的挑戰。根據我們的基準測試,三分之一現有員工不符合業績預期。安全專業人士不具備所需要的“軟”技能,技術人員并沒有掌握最新技術。
由于信息安全團隊需要承擔真正的風險管理,因此其尋求可與業務伙伴進行合作的員工。考慮到找到相關人員存在困難,領導者必須采取多管齊下的方式來發展自己的團隊:
采用基于能力的人才管理方法。競爭力比經驗和認證資格能更好的預測員工。領導者應為團隊定義能力,并利用其來驅動聘用,發展和規劃。
建立和促進有效的雇傭價值主張吸引頂尖人才。招聘工作可以讓領導者深入滲透到勞動力市場,吸引高端人才。
客戶參與整個人才生命周期。每周客戶至少一次與85%的安全員工互動,招聘經理必須從客戶的角度出發做決策。
在戰略性人才管理活動投入更多的時間。注重人才戰略對結果的影響是管理每天任務對結果影響的2.25倍。將部分活動優先處理,如在創建可持續團隊過程中,建立勞動力戰略計劃。
如果聯邦領導人對信息安全挑戰和威脅進行評估并做出有效的反應,他們需要建立,發展和保留不同種類的信息安全團隊。
京公網安備 11010502049343號