想打造足够专业的IT安全队伍?这8个新角色必不可少?
普华永道《2021年全球数字信任洞察报告》显示,51%的受访干部表示,他们计划今后一年增加全职安全人员,22%的受访者计划增加5%以上的人员。
企业团队继续需要安全分析师、安全工程师和渗透测试员的一切角色在许多安全部门都是必不可少的。但是,现在很多组织都希望为安全队增设其他职场,设立新的角色,增加新的职务。
专家们在本文中介绍了对IT安全至关重要的8个角色。
身份及访问管理工程师
企业安全领导人日益专注于开发可靠的身份及访问管理(IAM)实践;由于远程访问程度越来越高、需要随时随地工作以及多云环境不断扩大,IAM因而备受关注。
事实上,云安联发布的《2020年云身份安全现状》报告显示,94%的受访企业领导人将人类身份的特权和权限管理列为高优先级或极高优先级,77%的受访者将机械身份的特权和权限管理列为高优先级或极高优先级。
正因为如此,安全领导人设立了特定的角色,设立了IAM工程师和IAM分析师等职务。
人事服务公司RobertHalfTechnology执行董事JeffWeber预计市场对这些专家的需求将继续增加。
今后几个月,将安全要求纳入应用程序的生命周期,推进需求。他补充说,他的公司表示,首席信息安全官(CISO)为了提高技能,拥有优秀的问题解决和分析技能的员工获得了适合这些角色的技术经验。
管理第三方风险的管理者
首席信息安全官员们注意到,通过合作伙伴和供应商可能进入自己的业务运营系统,更加关注与第三方有关的风险。安全领导、招聘人员和干部顾问们认为,这带来了完全集中在这个问题上的作用。
例如,StephanieBenoit-Kurtz是StationCasinos的网络安全负责人(该单位的直属上司是最高信息安全负责人),也是菲尼克斯大学的网络安全项目负责人,Benoit-Kurtz的团队有信息系统分析师,专注于管理内部风险和第三方风险,因为这两方面所需的技能几乎相同。但是,随着工作需求和复杂性的增加,她有望全职管理第三者的风险。
这些角色的职务各不相同,无论是为安全队的现有职场增加全职职场还是新职务。无论如何,专家们都表示,这个角色的关注点是审查第三者的安全政策和程序,执行合同设定的标准。
IT服务管理公司Involta的最高信息安全负责人Annaleailg说:必须确保自己管理这个风险。安全队必须理解提供商的责任。
DevSecOps安全工程师
Owanate Bestman是总部位于伦敦的技术和安全专业人员招聘公司Bestman Solutions的主管,他说:应用软件仍然是防止泄密事件方面最薄弱的环节。开发安全运维(DevSecOps)是如今用来解决这个问题的最备受称赞的方法。DevSecOps方面有经验的求职者很受欢迎。
他表示,信息安全领导人希望与开发团队合作(或者在这方面有实际经验),深刻理解DevOps方法,通知DevOps管道工具,非常清楚网络应用的风险,当然需要安全资格证书。
SushilaNair是NTT数据服务公司的副社长兼安全产品负责人,还是国际信息系统审计协会(ISACA)大华盛顿分会的负责人。她说,考虑到这些要求,人才供不应求也不足为奇。
Nair说:DevSecOps开发者_StackOverflow虽然不新鲜,但很难找到能够加入敏捷开发团队的应用安全技术人员。她补充说,面临的挑战是找到集安全知识和应用程序开发经验于一体的人才。
威胁搜索者
现在组织面临的许多威胁复杂狡猾,首席信息安全官设立了新的角色,识别和应对这些威胁。
StephenieSouthard是伊利诺斯州弗农希尔斯信用合作社BCU的首席信息安全官,她说:我们需要的人几乎像安全分析师和威胁管理者的混合体,他们必须看到所有的威胁分析工具、防火墙的日志和其他监视工具他们应该能够看到日志和报警,检测出可疑的活动,检测出异常行为的某种模式,知道这是误报还是担心的事件,知道这是情况紧急的风险还是不重要的风险。
Nair也把威胁搜索作为重要的作用,她说:我们需要实用的分析技能。SolarWinds和其他高级攻击进一步加深了需要搜索攻击者的下落的认识。面对无声的持续攻击,工具往往无法提醒我们,所以我们需要知道如何在网上搜索入侵者。
漏洞风险分析师
同样,Southard认为需要能够跟踪和管理企业内部漏洞的人。这样可以脚踏实地修复任何漏洞。
她发现2020年需要这个角色,当时多个因素结合起来:从各种设备远程访问公司系统,需要解决的漏洞不断出现,组织面临的威胁越来越多。
Southard承认,大多数安全团队(包括她自己的团队)都有负责处理漏洞的工作人员。但是,她说这项工作有时会被其他优先事项推到后面。
于是她在2021年初设立了一个新的岗位,进一步保证了漏洞管理受到关注,所以这个人有时间和权力把这项工作列为首选,甚至可以和供应商合作,根据组织设定的标准来解决问题。
她补充道:这确保了解决漏洞的优先顺序,向监督部门等其他相关人员表示,我们重视修复这些漏洞。
云安全架构师
据安全领导、招聘人员和顾问介绍,云安全架构师是需求量最大的作用之一。
Bestman表示,必要的技能大多是为了遵守监督法规,在确保企业享受云平台的好处的同时,降低监督和遵守法规的风险。
他表示,招聘经理需要云平台方面有经验的人,最好是经过特定平台培训或认证的人。他们还需要对安全规程有深入了解的人。
Nair说:他有能力为云架构开发安全蓝图,知道需要什么样的安全工具来确保云资产安全,并补充到,这些岗位的最佳人选在评估工具时,除了考虑所选择的工具对安全的影响外,还会考虑对财务的影响。
这个要求很高,但是Bestman看到有云经验的安全结构师在增加,其中有很多人获得云认证,提高市场价值。
事件应对经理
2020年,Southard为该部门增加了事件应对经理。她说,安全团队(包括她自己的团队)至少需要一个工作人员,如何最有效地处理各种事件,如果发生什么事情,可以做好充分的准备。
她新设的事件应对经理(有时被称为事件应对分析师)在过去17年从事类似的职场。这个经验对Southard很重要。她说:我们需要经历过事件的人。
Southard表示,她设立这个职场是为了确保安全部门能够尽快应对,协调起作用的任务。
她说:这样,有人调查分类,召集人员,明确事件类型。她补充说,这种经理应该知道如何处理从电话系统中断到个人身份信息泄露的各种事件,并知道如何关注这种事件。
首席信息安全官
首席信息安全官的职场虽然不新鲜,但也不是普遍的作用。
IDG公司的《2020年安全优先事项》研究报告显示,只有42%的中小企业有首席信息安全官、首席安全官或其他高级安全主管,80%的大企业有这些岗位。但是,即使是大型企业也没有高管级的网络安全职场。例如,安全供应商Bitglass的调查显示,2019年财富500强企业中38%没有首席信息安全官,其中只有16%负责网络安全战略。
专家们示,这是一个错误。
Southard表示,即使某个组织非常重视安全,首席信息安全官的作用对于上下的管理,在上层设定基调也很重要。组织能够真正获得深度防御战略也很重要。
作为高管,首席信息安全官有条件与其他高管共同制定战略,因此更有可能成功定义和实施与组织风险一致的安全做法。拥有高管头衔的首席信息安全官也有能力让别人遵守安全要求。
Benoit-Kurtz补充道:如果贵组织没有首席信息安全官,即使有所谓的兼职虚拟首席信息安全官,基调也是错误的。
精彩评论