例如在現實世界中,繁忙的機場候機大廳中有一個無人看管的旅行包放在可疑的地方,而在場的旅客都會感到有責任向安全部門報告。然而,他們沒有接受過檢查旅行包以證實威脅的訓練,也沒有被授權自行采取任何行動。而在企業讓每個員工都意識到網絡安全是一回事,教育他們在自己的角色范圍內使企業更加安全,或者使用他們已經擁有的防御工具來應對威脅和消除漏洞是另一回事。
為此,企業需要投資于提高員工的網絡安全技能。與嘗試從外部招聘新人相比,投資培訓企業內部具有才能并且忠誠的員工要好得多,而且通常也更容易。但即便如此,將這些學習資源放在最好的地方,以獲得所需的結果是關鍵。
開發人員已經了解IT技術,因為他們為企業使用的程序編寫了大量代碼。他們通常已經準備好并且愿意提高網絡安全技能,以幫助他們在工作中更加出色。優秀的首席信息安全官正在利用這種熱情,為開發人員提供他們想要和需要的培訓方式,其回報是減少常見漏洞,同時減少應用程序安全人員過度工作的壓力。
確保開發人員獲得正確技能的提升和支持
優秀的首席信息安全官知道提升員工技能是成功的關鍵,但是并不是所有的培訓都可以成功,特別是對于已經對IT有很好的基本理解的開發社區來說。有些培訓并不會提供太多的投資回報,而且可能會讓開發人員感到沮喪,導致性能不佳,并且不愿意與安全團隊合作。
同樣,任何阻礙他們工作流程的解決方案、無法保持企業安全目標的敏捷性、或者不能在正確的時間以易于理解的格式交付正確的培訓方案,都不太可能提高安全意識或技能。
優秀首席信息安全官的其他秘密
優秀的首席信息安全官還能夠消除傳統上困擾網絡安全項目的其他關鍵痛點,例如開發人員和應用程序安全團隊之間的關系,或者其他高級管理人員和董事會如何看待網絡安全。
對于與應用程序安全團隊的關系,優秀的首席信息安全官意識到開發人員支持有助于將安全性進一步左移,并更接近軟件的起源。在應用程序投放到生產環境之前修復缺陷是很重要的,這比先構建代碼并在最后一分鐘通過應用程序安全團隊運行代碼的傳統方法要好得多,這樣可以避免那些令人煩惱的修補程序和交付延遲,但它無法單獨解決應用程序安全的所有問題。有些漏洞可能要等到應用程序投入生產后才會出現,因此依靠孤立地向左移動來捕獲所有漏洞是不切實際的,而且代價高昂。
企業還需要在生產環境中進行持續的測試和監控,有時應用程序甚至在部署之后還需要發送給開發人員。涉足開發和安全的優秀首席信息安全官可以理順這些關系,讓團隊中的每個人都發揮自己的作用。
讓其他高級管理人員具備更好的網絡安全意識可能是一項更加艱巨的挑戰,因為首席信息安全官和首席信息官以外的領導層通常首先考慮的是業務目標和利潤。為了解決這個問題,作為超級明星的優秀首席信息安全官知道如何展示更好、更成熟的網絡安全與增加收入之間的直接聯系,以及如何在競爭中提供競爭優勢。
如今的首席信息安全官的工作肯定比歷史上任何時候都更具挑戰性。但是,那些在逆境中獲得成功的首席信息安全官正在成為他們公司和社區中真正的超級明星。他們熟練地利用敏捷開發人員的技能,倡導安全文化,簡化開發和應用程序安全團隊之間的傳統競爭對手之間的關系,并鼓勵企業領導層從上到下采用安全優先的方法。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號