安全人才短缺仍然是行業面臨的非常現實的問題。雖然試圖進入安全領域的人需要學習很多技能,但有些人認為企業需要調整他們對相關人才的期望值。如果確實存在“饑不擇食”原則,那么,企業在聘請安全人員時應該尋找什么樣的人才?企業是否應不那么專注于網絡安全技能?
Mike O. Villegas:企業是否應不那么專注于網絡安全技能?答案是“No”。無論企業時聘請安全人才、外包還是內部培養,網絡安全技能都是至關重要的因素,這樣才能與網絡威脅和攻擊相抗衡。當然,企業也可選擇不采取任何措施并祈禱不會受到攻擊,但這會讓企業未來面臨風險。
根據2016年ISACA的網絡安全狀況報告顯示,842名接受調查的人員認為了解業務(75%)、良好的溝通能力(61%)以及技術技能(61%)是網絡安全專業人員缺乏的能力。該報告還指出,平均60%的受訪者認為半數網絡安全應聘者有資格勝任工作。
從1983年的青少年黑客到現在國家資助的黑客團伙,網絡威脅已經變得更加復雜、蓄意、成功和破壞性。這意味著對網絡安全專業人員的需求將持續增加。
聘請網絡安全人才是應對技能短缺的一種方法。企業可通過了解網絡安全、IT風險、信息系統審計和GRC的獵頭公司來聘請專業人員,他們還可尋求獨立公司(例如Big 4或者網絡安全專業服務公司)的幫助來選擇合適的人選。
外包是另一種方法。企業將網絡安全外包給服務提供商并不會完全專業企業的風險和責任,但企業可將安全監控和檢測最技術的方面外包出去,并讓現有工作人員進行跟進和報告,而且,當企業決定自己聘請這些人才時,這還提高他們的熟練程度。
企業還可內部培養網絡安全人才。如果聘請和外包都過于昂貴或困難,企業需要在內部培養安全人才。提高內部人員學習的熱情,讓他們去參加SANS、ISACA和信息系統安全協會培訓課程以及研討會以提高其技能。同時,讓他們考取信息系統安全認證專家、認證信息系統審計員、信息安全認證經理和其他SANS技能相關的證書。在他們打下這些基礎后,再讓他們獲得基于性能的認證,例如攻擊安全認證專家、倫理黑客認證以及GIAC認證滲透測試員。
還有第四種方法,對網絡安全技能短缺,什么都不做。雖然這是不可取的方法,但企業如果認為部署技能的成本要更高,則可考慮承擔這種風險以及損失。對于小型私人公司,這也許是可行的選擇。企業可不太專注于網絡安全技能,而且,IT人員了解IT,他們不應該也理解網絡安全嗎?
企業可根據自身情況謹慎選擇上述四種方法。
京公網安備 11010502049343號