企業(yè)數(shù)字資產(chǎn)比以往任何時(shí)候都容易受到攻擊，企業(yè)需要經(jīng)驗(yàn)豐富的領(lǐng)導(dǎo)者來(lái)領(lǐng)導(dǎo)他們的數(shù)字防御工作。但現(xiàn)在缺乏經(jīng)驗(yàn)豐富的安全技術(shù)人員，這需要采用新的方法來(lái)填補(bǔ)職位空缺。企業(yè)想要繼續(xù)生存將需要采取長(zhǎng)期的方法，創(chuàng)建自己的頂級(jí)技術(shù)專家團(tuán)隊(duì)。

面對(duì)大量網(wǎng)絡(luò)攻擊，肩負(fù)保護(hù)企業(yè)重要責(zé)任的網(wǎng)絡(luò)安全專業(yè)人員一直處于水深火熱之中。然而，頂級(jí)首席信息安全官合格人選數(shù)量太少，企業(yè)無(wú)法從大量簡(jiǎn)歷中做出選擇，應(yīng)聘者往往不符合要求。

這個(gè)問題的部分原因在于，CISO通常被看作是“首席隨時(shí)準(zhǔn)備犧牲官”，這意味著當(dāng)公司遭遇數(shù)據(jù)泄露時(shí)，CISO將承擔(dān)責(zé)任。招聘網(wǎng)站Indeed公司表示，應(yīng)聘人員很少，“當(dāng)我們對(duì)比求職者對(duì)雇主發(fā)布網(wǎng)絡(luò)安全職位的點(diǎn)擊率時(shí)，我們看到嚴(yán)重的人才短缺，以及這對(duì)企業(yè)帶來(lái)的風(fēng)險(xiǎn)，在這里使用‘危機(jī)’這一詞非常合適。”

從歷史上來(lái)看，IT專業(yè)人員的短缺很常見。當(dāng)新技術(shù)出現(xiàn)時(shí)，人員需要逐漸學(xué)習(xí)新技術(shù)來(lái)獲得相關(guān)經(jīng)驗(yàn)，在初期通常會(huì)出現(xiàn)短缺。同時(shí)，大家通常對(duì)網(wǎng)絡(luò)安全專業(yè)人員的職位不是那么熱衷，特別是CISO職位，因?yàn)榫W(wǎng)絡(luò)攻擊越來(lái)越多，阻止所有攻擊的機(jī)會(huì)很小。

根據(jù)Privacy Rights Clearinghouse表示，在2016年有807起確定的安全泄露事故，2015年這個(gè)數(shù)據(jù)位531。IT專業(yè)人員了解這種風(fēng)險(xiǎn)，他們可能不愿意承擔(dān)相關(guān)工作，這些工作隨時(shí)可能讓他們的職業(yè)生涯完結(jié)。因此，高層管理人員需要制定長(zhǎng)期計(jì)劃來(lái)建立下一代IT安全專家。

發(fā)展安全文化

加密、端點(diǎn)安全和密碼維護(hù)都是完整IT安全計(jì)劃的一部分。然而，即使是最好和最嚴(yán)格的安全計(jì)劃也經(jīng)常會(huì)失敗，因?yàn)閭€(gè)別員工不了解網(wǎng)絡(luò)攻擊如何發(fā)生。當(dāng)所有技術(shù)預(yù)防措施都部署到位，所有操作系統(tǒng)和應(yīng)用程序都得到及時(shí)更新，某個(gè)員工點(diǎn)擊惡意URL就會(huì)導(dǎo)致連鎖反應(yīng)，造成數(shù)據(jù)泄露和攻擊。

CISO需要領(lǐng)導(dǎo)安全工作，同時(shí)，他們還需要將自己定位為引導(dǎo)，而不是單一責(zé)任點(diǎn)，這樣他們不會(huì)每天看到自己的職業(yè)生涯受到威脅。社會(huì)工程學(xué)攻擊比主動(dòng)社會(huì)工程學(xué)要快得多，企業(yè)應(yīng)該從教育和培訓(xùn)開始，最大程度減少這一威脅。

例如，2016年McAfee實(shí)驗(yàn)室威脅報(bào)告報(bào)道有超過1.57億網(wǎng)絡(luò)釣魚攻擊嘗試。盡管有各種關(guān)于虛假電子郵件的警告，5500萬(wàn)用戶還是淪為受害者。知名計(jì)算機(jī)黑客網(wǎng)絡(luò)安全專家Kevin Mitnick表示，企業(yè)花費(fèi)數(shù)百萬(wàn)美元在防火墻、加密和安全訪問設(shè)備，這是浪費(fèi)錢，因?yàn)檫@些措施都不能解決安全鏈中最薄弱的環(huán)節(jié)。

針對(duì)這種入侵的最佳防御是對(duì)于電腦交互的每個(gè)人進(jìn)行教育。網(wǎng)絡(luò)釣魚攻擊表明為什么這種培訓(xùn)和教育需要一直延續(xù)到高層人員，高層管理人員也會(huì)淪為有針對(duì)性欺詐性電子郵件的受害者。

然而，雖然教育很重要，但這并不是全部答案。正如社會(huì)將某些行為定義為道義上應(yīng)受譴責(zé)的行為，員工也需要意識(shí)到自己的責(zé)任，避免可能危及其企業(yè)的活動(dòng)。

網(wǎng)絡(luò)安全基礎(chǔ)知識(shí)

在一段時(shí)間內(nèi)，CISO和IT安全團(tuán)隊(duì)職位的合格候選人的供應(yīng)不太可能滿足需求，同時(shí)，吸引合格的候選人仍將是一項(xiàng)艱巨的任務(wù)。企業(yè)需要更多經(jīng)驗(yàn)豐富的安全人員，這些人必須確信其工作的安全性。企業(yè)需要通過創(chuàng)建支持性和知識(shí)性的文化以及為安全專業(yè)人員開發(fā)個(gè)性化職業(yè)發(fā)展道路來(lái)解決這些問題。

對(duì)于萬(wàn)豪國(guó)際、施耐德電氣等缺乏專業(yè)領(lǐng)域人才的公司而言，內(nèi)部培養(yǎng)和發(fā)展機(jī)會(huì)效果良好?？梢钥隙ǖ氖?，這并不是快速解決方案，而是保護(hù)企業(yè)免受網(wǎng)絡(luò)攻擊的一項(xiàng)長(zhǎng)期責(zé)任。

贊助教育

很多公司都提供網(wǎng)絡(luò)安全職業(yè)培訓(xùn)，并提供網(wǎng)絡(luò)安全和相關(guān)領(lǐng)域的認(rèn)證。這些課程涵蓋廣泛的主題，并為想要培養(yǎng)現(xiàn)有技術(shù)數(shù)量人員的公司提供支持。

課堂和在線課程讓員工可根據(jù)自己的工作時(shí)間來(lái)提高知識(shí)面，企業(yè)還可提供學(xué)費(fèi)補(bǔ)償計(jì)劃來(lái)鼓勵(lì)員工參與。網(wǎng)絡(luò)安全認(rèn)證應(yīng)該有明確的課程要求，符合企業(yè)短期和長(zhǎng)期職業(yè)目標(biāo)。這是企業(yè)長(zhǎng)期發(fā)展的可行選擇解決方案。

教育機(jī)構(gòu)

技術(shù)學(xué)院為在職人員和希望在所需領(lǐng)域找到職位的人提供本地職業(yè)教育，但每個(gè)機(jī)構(gòu)提供的培訓(xùn)深度各有不同。企業(yè)應(yīng)該尋找在當(dāng)?shù)叵碛新曌u(yù)可提供相關(guān)領(lǐng)域最好教育的技術(shù)機(jī)構(gòu)，并與該機(jī)構(gòu)建立聯(lián)盟來(lái)開發(fā)符合企業(yè)要求的課程，并為對(duì)職業(yè)發(fā)展感興趣的員工提供贊助。你還可通過提供現(xiàn)實(shí)世界實(shí)習(xí)來(lái)改善招聘情況。

此外，企業(yè)還可讓內(nèi)部專家作為特定課程的教授或者輔導(dǎo)教授。與合適機(jī)構(gòu)建立長(zhǎng)期合作伙伴關(guān)系可為企業(yè)提供一批合格人才，老師與學(xué)生的直接接觸還可提供就業(yè)途徑的資格預(yù)審。

在企業(yè)內(nèi)

外部課程容易順利開始進(jìn)行，因?yàn)檎n程都是現(xiàn)成的。課程主題可能是入門級(jí)和中級(jí)水平，可讓員工開始逐漸完成長(zhǎng)期職業(yè)目標(biāo)。對(duì)于需要應(yīng)對(duì)當(dāng)前和新出現(xiàn)威脅的高級(jí)分析師，最好通過建立教育中心來(lái)對(duì)其進(jìn)行提高。

專業(yè)教育需要知識(shí)豐富的高等教育者。根據(jù)企業(yè)規(guī)模的不同，這一職位可以是一名資深I(lǐng)T安全員工擔(dān)任雙重職位--IT安全和培訓(xùn)總監(jiān)，或者專職負(fù)責(zé)教育工作而較少參與實(shí)際安全工作的人員。無(wú)論哪種情況，他們的主要工作都應(yīng)該是安全主題研究和課程開發(fā)，以保持培訓(xùn)與當(dāng)前威脅的相關(guān)性。

向外看看

當(dāng)企業(yè)計(jì)劃大規(guī)模擴(kuò)展其IT安全人員時(shí)，他們可能需要招募外部網(wǎng)絡(luò)安全顧問。滲透測(cè)試等任務(wù)非常適合外包，因?yàn)檫@是短期或周期性的工作。長(zhǎng)期面臨缺乏高層次專業(yè)人員的企業(yè)可與網(wǎng)絡(luò)安全服務(wù)公司建立持續(xù)合作關(guān)系。

在托管安全服務(wù)提供商(MSSP)方面有很多選擇，引入經(jīng)驗(yàn)豐富的人員(即使只是臨時(shí))可創(chuàng)造一個(gè)緩沖期，讓現(xiàn)有員工可部署長(zhǎng)期人員配置計(jì)劃。

與頂級(jí)企業(yè)層面建立關(guān)系

專業(yè)網(wǎng)絡(luò)可為企業(yè)和求職者帶來(lái)好處，他們還可為每個(gè)業(yè)務(wù)領(lǐng)域提供趨勢(shì)和機(jī)會(huì)的洞察力。當(dāng)前的CISO應(yīng)該與安全服務(wù)提供商公司內(nèi)頂級(jí)管理層建立直接聯(lián)系。而尋求頂級(jí)安全人員的企業(yè)應(yīng)該考慮聯(lián)系其安全公司的同僚，了解其業(yè)務(wù)，不僅要圍繞安全問題，還要涉及隱私和安全方面的趨勢(shì)。

展望未來(lái)

由于缺乏合格的IT安全專業(yè)人員，這已經(jīng)導(dǎo)致各種規(guī)模的MSSP初創(chuàng)公司的增加。TechRepublic估計(jì)，到2020年，云計(jì)算安全市場(chǎng)價(jià)值將會(huì)達(dá)到120億美元。

這一增長(zhǎng)為缺乏相關(guān)人員的IT安全部門帶來(lái)機(jī)會(huì)，他們可考慮收購(gòu)其中一家MSSP初創(chuàng)公司來(lái)橫向多樣化發(fā)展其業(yè)務(wù)。這可給他們帶來(lái)完整員工的安全部門，并增加可行或有希望的業(yè)務(wù)。在最佳情況下，新收購(gòu)的部門可憑借自身穩(wěn)定的客戶自己獲利。

從長(zhǎng)遠(yuǎn)來(lái)看

對(duì)強(qiáng)大且有經(jīng)驗(yàn)的網(wǎng)絡(luò)安全專業(yè)人員的需求至關(guān)重要，并且不會(huì)消失。企業(yè)需要制定自己的機(jī)會(huì)，發(fā)展自己的安全專長(zhǎng)，如果必要的話，可從頭開始。

如何填補(bǔ)CISO和網(wǎng)絡(luò)安全職位：領(lǐng)導(dǎo)者的經(jīng)驗(yàn)教訓(xùn)

· 建立超越CISO責(zé)任的安全愿景

· 創(chuàng)造展望未來(lái)的教育機(jī)會(huì)

· 通過非傳統(tǒng)方法尋找現(xiàn)有候選人