安全團(tuán)隊(duì)的功能失調(diào)帶來的危險(xiǎn)很容易想象,從難以吸引和留住人才到讓企業(yè)運(yùn)營面臨風(fēng)險(xiǎn)。構(gòu)建優(yōu)秀安全團(tuán)隊(duì)可以幫助企業(yè)擺脫這樣的困境。
Oracle公司客戶服務(wù)副總裁兼首席信息安全官Brennan P.Baybeck將建立一個(gè)成功的團(tuán)隊(duì)列為他作為首席信息安全官的首要職責(zé)之一。
他說,“如果你身邊有優(yōu)秀的人,確保他們獲得成功并擁有他們所需要的東西(培訓(xùn)、預(yù)算、合適的員工),那么就會(huì)有很大的安全感。但如果不把關(guān)注重點(diǎn)放在團(tuán)隊(duì)上,就不會(huì)獲得成功。”
他表示,這種關(guān)注需要大量的資源以及職業(yè)規(guī)劃和指導(dǎo),這樣才能最好地提升團(tuán)隊(duì)成員的技能。成功的團(tuán)隊(duì)還需要優(yōu)秀的管理者、充足的資源和正確的組合責(zé)任。
沒有這一切,企業(yè)的業(yè)務(wù)安全就會(huì)受到影響。
調(diào)研機(jī)構(gòu)Forrester公司在一份調(diào)查報(bào)告中指出,“在不良的安全文化扼殺創(chuàng)新之前,企業(yè)需要進(jìn)行修復(fù)。安全團(tuán)隊(duì)如果不團(tuán)結(jié)將導(dǎo)致內(nèi)訌和不愉快。這不僅會(huì)營造一種令人不快的工作環(huán)境,而且還有可能破壞安全團(tuán)隊(duì)的聲譽(yù),破壞團(tuán)隊(duì)的誠信,并使企業(yè)面臨風(fēng)險(xiǎn)。”
那么首席信息安全官可以做些什么來處理這種情況?Baybeck和其他專家提出了七種構(gòu)建優(yōu)秀安全團(tuán)隊(duì)的策略:
1.加速職業(yè)發(fā)展
NCC集團(tuán)北美地區(qū)負(fù)責(zé)安全咨詢業(yè)務(wù)的首席運(yùn)營官Nick Rowe表示,年度績(jī)效評(píng)估是企業(yè)對(duì)團(tuán)隊(duì)成員的一項(xiàng)評(píng)估標(biāo)準(zhǔn),但想要留住人才并最大限度地提高他們的專業(yè)知識(shí),首席信息安全官應(yīng)該更頻繁地安排評(píng)估。
他說,“在像信息安全領(lǐng)域這樣快節(jié)奏的世界中,采用傳統(tǒng)的審查周期沒有意義,尤其是對(duì)于安全團(tuán)隊(duì)的初級(jí)成員,”
網(wǎng)絡(luò)安全工作者需要不斷增加新技能,以跟上專業(yè)和企業(yè)需求的步伐,而初級(jí)專業(yè)人員的技能在通常會(huì)以特別快的速度提升。
因此,與其他企業(yè)部門的員工相比,安全工作人員將快速提升他們的專業(yè)技能,從而提高他們的競(jìng)爭(zhēng)力,而其他業(yè)務(wù)部門的員工在技能、技術(shù)和需求方面沒有安全行業(yè)那樣緊迫。
Rowe解釋說,首席信息安全官應(yīng)該通過晉升、重新分配和加薪來認(rèn)可團(tuán)隊(duì)成員的快速發(fā)展。
2.創(chuàng)建支持角色
Baybeck表示,強(qiáng)大的安全團(tuán)隊(duì)需要的不僅僅是網(wǎng)絡(luò)安全職位,他們還需要支持角色,例如業(yè)務(wù)運(yùn)營專家、招聘人員和項(xiàng)目經(jīng)理。
他認(rèn)為,區(qū)別這些角色并聘請(qǐng)?jiān)谶@些領(lǐng)域擁有技能的專業(yè)人員,而不是讓安全專業(yè)人員將注意力從核心工作上轉(zhuǎn)移到處理這些任務(wù)上,這是具有戰(zhàn)略意義的。
他自己已經(jīng)看到了這種方法的價(jià)值。他表示,企業(yè)需要幫助那些有額外負(fù)擔(dān)的人身上卸下責(zé)任,并雇傭支持角色來承擔(dān)項(xiàng)目管理和運(yùn)營管理。這一舉措讓他的團(tuán)隊(duì)有時(shí)間專注于主要的安全工作。
Baybeck說,“安全風(fēng)險(xiǎn)管理是一個(gè)永無止境的過程,因此企業(yè)讓安全團(tuán)隊(duì)獲得他們需要的幫助,無論是通過現(xiàn)有的資源還是通過投資新資源,都可以幫助他們盡可能提高生產(chǎn)力。”他補(bǔ)充說,投資于自動(dòng)化和流程改進(jìn)也有助于提高團(tuán)隊(duì)效率和生產(chǎn)力。
3.創(chuàng)建多樣化的安全團(tuán)隊(duì)
美國關(guān)鍵基礎(chǔ)設(shè)施研究所發(fā)布的一份名為《2020年多樣化信息安全團(tuán)隊(duì)的商業(yè)價(jià)值報(bào)告》表明,多元化的網(wǎng)絡(luò)安全團(tuán)隊(duì)可以最大限度地提高企業(yè)將創(chuàng)新融入其工作的能力,并成為企業(yè)應(yīng)對(duì)數(shù)字威脅的倍增器。明智的首席信息安全官將多樣性視為競(jìng)爭(zhēng)優(yōu)勢(shì)和解決日益嚴(yán)重的人才短缺問題的方法。
Baybeck對(duì)此表示認(rèn)同。他說,“如果企業(yè)多年來招募都是同一類型的人才,那么在當(dāng)前或未來都難以取得成功。企業(yè)需要招募具有不同的觀點(diǎn)和不同經(jīng)驗(yàn)的人才。”
Baybeck表示,他采取具體措施,努力在其帶來的團(tuán)隊(duì)中創(chuàng)造更多的多樣性,例如要求招聘人員為應(yīng)聘者建立廣泛的網(wǎng)絡(luò),撰寫旨在吸引更多潛在應(yīng)聘者的職位描述,以及與多家企業(yè)合作以提高影響力。
Forrester公司首席分析師者Jinan Budge表示,其他正在使團(tuán)隊(duì)多樣化的首席信息安全官正在采取類似的方法。
她說,“他們針對(duì)招聘多樣化的應(yīng)聘者制定了目標(biāo),而且他們的招聘小組成員的背景也各不相同。這項(xiàng)工作創(chuàng)建了更具創(chuàng)新性和創(chuàng)造力的團(tuán)隊(duì),因?yàn)槟軌蚋玫乜创W(wǎng)絡(luò)安全中的眾多問題,深入研究以前沒有深入研究過的事情,并改變對(duì)某些安全問題的看法。”
4.雇用和培養(yǎng)非技術(shù)技能
德勤會(huì)計(jì)師事務(wù)所負(fù)責(zé)人、德勤風(fēng)險(xiǎn)與財(cái)務(wù)咨詢公司美國網(wǎng)絡(luò)與戰(zhàn)略風(fēng)險(xiǎn)負(fù)責(zé)人Deborah Golden表示,強(qiáng)大的安全團(tuán)隊(duì)由具備多種技能的團(tuán)隊(duì)成員組成。
她說:“讓同樣的人用同樣的思維來解決問題,并不能得到想要的結(jié)果。企業(yè)需要有許多不同學(xué)科的人才更好地應(yīng)對(duì)網(wǎng)絡(luò)攻擊的復(fù)雜性和業(yè)務(wù)的復(fù)雜性。”
Golden證實(shí)了這一點(diǎn)。她的一些團(tuán)隊(duì)成員具有文科背景,其中包括一些考古學(xué)家和政治科學(xué)家。例如一位具有政治科學(xué)經(jīng)驗(yàn)的員工提出了與國際法相關(guān)的數(shù)據(jù)保護(hù)問題,而團(tuán)隊(duì)中的其他人在一項(xiàng)特定的安全倡議中沒有解決這些問題。
安全培訓(xùn)和專業(yè)協(xié)會(huì)(ISC)2的首席執(zhí)行官Clar Rosso同樣給出建議,企業(yè)的首席信息安全官需要雇用具有分析、批判性和創(chuàng)造性思維能力以及解決問題的能力的員工,或者在現(xiàn)有員工中培養(yǎng)這些技能。
根據(jù)(ISC)2 2021網(wǎng)絡(luò)安全職業(yè)追求者的研究,網(wǎng)絡(luò)安全團(tuán)隊(duì)需要建立彈性網(wǎng)絡(luò)安全團(tuán)隊(duì)的路線圖,并將分析思維、解決問題、批判性思維、獨(dú)立和團(tuán)隊(duì)工作能力以及創(chuàng)造力列為網(wǎng)絡(luò)安全人員最重要的軟技能。
Rosso說,“研究表明,多元化的團(tuán)隊(duì)工作得更好。不同的團(tuán)隊(duì)提出不同的想法來解決問題,并且在網(wǎng)絡(luò)安全威脅如此多變的情況下,這一點(diǎn)至關(guān)重要。”
5.培養(yǎng)堅(jiān)強(qiáng)并具有韌性的團(tuán)隊(duì)成員
培訓(xùn)對(duì)于網(wǎng)絡(luò)安全專業(yè)人員跟上快速變化的工作需求至關(guān)重要。事實(shí)上,美國信息系統(tǒng)安全協(xié)會(huì)(ISSA)和企業(yè)戰(zhàn)略集團(tuán)(ESG)發(fā)布了一份名為《2021年網(wǎng)絡(luò)安全專業(yè)人員的生活和時(shí)代》報(bào)告,此次研究對(duì)489名網(wǎng)絡(luò)安全專業(yè)人員進(jìn)行了調(diào)查,其中91%的受訪者表示,保持他們的技能對(duì)于保護(hù)企業(yè)的安全至關(guān)重要。然而有59%的受訪者表示,工作要求往往會(huì)成為阻礙。
這份報(bào)告的作者就此向首席信息安全官發(fā)出警告:“這種培訓(xùn)差距正在悄悄增加企業(yè)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。為了解決這個(gè)問題,首席信息安全官必須推動(dòng)企業(yè)確保在網(wǎng)絡(luò)安全人員的每個(gè)成員的日程安排中持續(xù)投入充足的培訓(xùn)時(shí)間和資源。”
除了傳統(tǒng)的培訓(xùn)計(jì)劃之外,Rosso還建議首席信息安全官實(shí)施輪換計(jì)劃,讓他們的員工在六到八周的時(shí)間內(nèi)輪換不同的職位。這為員工提供學(xué)習(xí)或磨練不同技能的機(jī)會(huì),從而增強(qiáng)團(tuán)隊(duì)的整體實(shí)力,與此同時(shí)通過提供多樣化的任務(wù)和改變工作強(qiáng)度來防止工作倦怠。
Rosso承認(rèn),領(lǐng)導(dǎo)規(guī)模較小團(tuán)隊(duì)的首席信息安全官可能難以實(shí)施這樣的計(jì)劃;對(duì)于這些團(tuán)隊(duì),她建議首席信息安全官在安全領(lǐng)域創(chuàng)建“部分”角色,并由其他部門(例如法律或風(fēng)險(xiǎn)部門)的工作人員擔(dān)任,他們可以在相關(guān)安全計(jì)劃方面分享他們的專業(yè)知識(shí)。
6.向團(tuán)隊(duì)展示使命和總體目標(biāo)
大型科技公司和初創(chuàng)公司由于其創(chuàng)造發(fā)展愿景來激勵(lì)員工,并使他們團(tuán)結(jié)起來朝著共同目標(biāo)前進(jìn)而享有盛譽(yù)。首席信息安全官應(yīng)該通過讓他們的團(tuán)隊(duì)專注于企業(yè)的使命和總體目標(biāo)來培養(yǎng)類似的企業(yè)文化。
Rowe說:“企業(yè)需要建立一種文化和目標(biāo),安全團(tuán)隊(duì)需要前進(jìn)的理由。這很重要。作為安全專業(yè)人士,致力于網(wǎng)絡(luò)安全是因?yàn)橄矚g這樣的工作,但這樣做也是因?yàn)橄胍兴鳛椤?rdquo;
安全團(tuán)隊(duì)的員工也似乎認(rèn)同這一觀點(diǎn):根據(jù)ISSA-ESG的調(diào)查,79%的從事網(wǎng)絡(luò)安全的員工表示他們很高興從事自己的職業(yè)。但與此同時(shí),許多人表示希望更多地參與其中。58%的受訪者表示,從一開始就讓安全人員參與所有IT項(xiàng)目對(duì)改善IT與安全團(tuán)隊(duì)之間的工作關(guān)系最具意義,41%的受訪者表示,鼓勵(lì)網(wǎng)絡(luò)安全人員參與所有業(yè)務(wù)規(guī)劃和戰(zhàn)略將改善與企業(yè)管理層的工作關(guān)系。
7.讓團(tuán)隊(duì)成員知道對(duì)他們有什么好處
為與企業(yè)戰(zhàn)略相關(guān)的安全部門制定愿景確實(shí)有助于讓團(tuán)隊(duì)朝著同一個(gè)方向努力,同時(shí)Rowe表示,首席信息安全官向員工展示他們的個(gè)人價(jià)值同樣重要。
Rowe說,“安全專業(yè)人員知道它們的價(jià)值和需求,并且需要利用這些價(jià)值。因此,除了建立目標(biāo)、愿景和文化之外,首席信息安全官還需要能夠向員工概述他們的未來是什么樣的,他們?cè)谄髽I(yè)的未來發(fā)展是什么樣的,他們?nèi)绾卫闷髽I(yè)所提供的服務(wù),以及如何讓他們的職業(yè)生涯更上一層樓。”
他補(bǔ)充說,首席信息安全官必須通過企業(yè)提供的培訓(xùn)、項(xiàng)目分配和晉升機(jī)會(huì),使他們的員工能夠掌握他們?cè)诼殬I(yè)生涯中成長(zhǎng)所需的技能。
Rowe補(bǔ)充道:“這一切都與建立職業(yè)生涯、保持透明并擁有校友網(wǎng)絡(luò)有關(guān)。”
(ISC)2研究在調(diào)查網(wǎng)絡(luò)安全專業(yè)人士是什么促使他們加入該領(lǐng)域時(shí)強(qiáng)化了這一觀點(diǎn)。他們認(rèn)為解決問題的能力(54%)、對(duì)技能的高需求(50%)、適合的技能/興趣(46%)和職業(yè)發(fā)展機(jī)會(huì)(45%)是最主要的原因,幫助他人/社會(huì)的能力(44%)排在第五位,最后是薪酬(42%)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。