想打造足夠專(zhuān)業(yè)的IT安全隊伍？這8個(gè)新角色必不

據普華永道的《2021年全球數字信任洞察報告》顯示， 51%的受訪(fǎng)高管表示，他們計劃在未來(lái)一年增加全職安全人員，22%的受訪(fǎng)者計劃將工作人員增加5%或更多。

企業(yè)團隊繼續需要安全分析師、安全工程師和滲透測試員——所有這些角色在許多安全部門(mén)必不可少。不過(guò)如今，許多組織期望為安全團隊增設其他崗位、設立新角色，并增加新職銜。

專(zhuān)家們在本文中介紹了他們認為對IT安全很重要的八種角色。

身份及訪(fǎng)問(wèn)管理工程師

企業(yè)安全領(lǐng)導人日益專(zhuān)注于開(kāi)發(fā)可靠的身份及訪(fǎng)問(wèn)管理(IAM)實(shí)踐;由于遠程訪(fǎng)問(wèn)程度越來(lái)越高、需要隨時(shí)隨地工作以及多云環(huán)境不斷擴大，IAM因而備受關(guān)注。

事實(shí)上，云安全聯(lián)盟發(fā)布的《2020年云身份安全現狀》報告發(fā)現，94%的受訪(fǎng)企業(yè)領(lǐng)導人將人類(lèi)身份的特權和權限管理列為高優(yōu)先級或極高優(yōu)先級，77%的受訪(fǎng)者將機器身份的特權和權限管理列為高優(yōu)先級或極高優(yōu)先級。

正因為如此，安全領(lǐng)導人在設立特定的角色，并設立IAM工程師或IAM分析師之類(lèi)的職銜。

人事服務(wù)公司Robert Half Technology的執行董事Jeff Weber預計，市場(chǎng)對這些專(zhuān)業(yè)人員的需求會(huì )繼續增長(cháng)。

他說(shuō)：“在今后幾個(gè)月，安全方面的要求納入到應用軟件生命周期中將推動(dòng)需求。”他補充說(shuō)，他的公司看到，首席信息安全官(CISO)讓擁有出色的問(wèn)題解決和分析技能的員工獲得勝任這些角色所需要的技術(shù)經(jīng)驗，以提高技能。

管理第三方風(fēng)險的經(jīng)理人

首席信息安全官們已注意到威脅有可能通過(guò)合作伙伴和供應商進(jìn)入自己的業(yè)務(wù)運營(yíng)系統，這促使他們更加關(guān)注與第三方有關(guān)的風(fēng)險。安全領(lǐng)導人、招聘人員和高管顧問(wèn)們均認為，這進(jìn)而帶來(lái)了完全專(zhuān)注于這個(gè)問(wèn)題的角色。

比如說(shuō)，Stephanie Benoit-Kurtz是Station Casinos的網(wǎng)絡(luò )安全主管(該崗位的直屬上司是首席信息安全官)，也是菲尼克斯大學(xué)網(wǎng)絡(luò )安全項目的系主任，Benoit-Kurtz的團隊中有一名信息系統分析師，專(zhuān)注于管理內部風(fēng)險和管理第三方風(fēng)險，因為這兩方面所需的技能幾乎一樣。然而，隨著(zhù)工作的需求和復雜性日增，她預計需要有人來(lái)全職管理第三方風(fēng)險。

這些角色的職銜各有不同，無(wú)論為安全團隊中的現有崗位增添全職崗位還是新職責。不管怎樣，專(zhuān)家們表示，這個(gè)角色的關(guān)注點(diǎn)一樣：審查第三方的安全政策和程序，并執行根據合同設定的標準。

IT服務(wù)管理公司Involta的首席信息安全官Annalea Ilg說(shuō)：“你必須確保自己在管理這種風(fēng)險，整個(gè)安全團隊必須明白提供商的職責。”

DevSecOps安全工程師

Owanate Bestman是總部位于倫敦的技術(shù)和安全專(zhuān)業(yè)人員招聘公司Bestman Solutions的主管，他說(shuō)：“應用軟件仍然是防止泄密事件方面最薄弱的環(huán)節。開(kāi)發(fā)安全運維(DevSecOps)是如今用來(lái)解決這個(gè)問(wèn)題的最備受稱(chēng)贊的方法。DevSecOps方面有經(jīng)驗的求職者很搶手。”

他表示，信息安全領(lǐng)導人想要這樣的應用軟件安全工程師：深入了解DevOps方法，通曉DevOps管道工具，能夠與開(kāi)發(fā)團隊合作(或者這方面有實(shí)際經(jīng)驗)，非常清楚Web應用軟件風(fēng)險，當然還要有安全資格ssl/' target='_blank'>證書(shū)。

Sushila Nair是NTT數據服務(wù)公司的副總裁兼安全產(chǎn)品主管，還是國際信息系統審計協(xié)會(huì )(ISACA)大華盛頓分會(huì )的理事。她說(shuō)，考慮到這些要求，人才供不應求也就不足為奇了。

Nair說(shuō)：“DevSecOps并不新鮮，但是很難找到可以添加到你敏捷開(kāi)發(fā)團隊中的應用軟件安全工程師。”她補充道，面臨的挑戰在于，找到集安全知識和應用軟件開(kāi)發(fā)經(jīng)驗于一身的人才。

威脅搜尋員

如今組織面臨的眾多威脅很復雜也很狡猾，這促使首席信息安全官設立新角色，以識別和應對這些威脅。

Stephenie Southard是伊利諾斯州弗農希爾斯的信用合作社BCU的首席信息安全官，她說(shuō)：“我們需要的人幾乎像安全分析師和威脅管理者的混合體，他們要查看所有的威脅分析工具、來(lái)自防火墻的日志以及其他監控工具，了解有什么樣的威脅，回過(guò)頭來(lái)告知相關(guān)人員。他們應該能夠查看日志和警報，檢測可疑活動(dòng)，檢測異常行為的某種模式，知道這是誤報還是令人擔憂(yōu)的事件，還知道這表明的是情況緊急的風(fēng)險還是并不重要的風(fēng)險。”

Nair同樣將威脅搜尋列為一種重要角色，她說(shuō)：“我們需要實(shí)用的分析技能。SolarWinds及其他高級攻擊已進(jìn)一步加深了我們需要搜尋攻擊者的下落這種認識。面對悄無(wú)聲息的持續攻擊，工具常常無(wú)法提醒我們，因此我們需要知道如何搜尋網(wǎng)絡(luò )上的入侵者。”

漏洞風(fēng)險分析師

同樣，Southard認為需要能夠跟蹤和管理企業(yè)內部漏洞的人員。“這樣才能腳踏實(shí)地地修復任何漏洞。”

她表示，她在2020年年中發(fā)現需要這一角色，當時(shí)多個(gè)因素結合在一起：從各種設備對公司系統進(jìn)行遠程訪(fǎng)問(wèn)，需要解決的漏洞層出不窮，以及組織面臨的威脅越來(lái)越多。

Southard承認，大多數安全團隊(包括她自己的團隊)已有負責處理漏洞的工作人員。不過(guò)她表示，這項工作有時(shí)被擠到其他優(yōu)先事項的后面。

于是她在2021年初設立了一個(gè)新崗位，進(jìn)一步保證漏洞管理受到關(guān)注，因此這個(gè)人就有時(shí)間和權力將這項工作列為優(yōu)先事項，甚至可以與供應商合作，根據組織設定的標準來(lái)解決問(wèn)題。

她補充道：“這將確保解決漏洞享有優(yōu)先權，并向監管部門(mén)等其他有關(guān)方表明，我們對于修復這些漏洞很重視。”

云安全架構師

據安全領(lǐng)導人、招聘人員和顧問(wèn)聲稱(chēng)，云安全架構師是需求量最大的角色之一。

Bestman說(shuō)：“亟需的技能大多出于遵守監管法規的目的，旨在確保企業(yè)享有云平臺好處的同時(shí)，降低監管和合規方面的風(fēng)險。”

他表示，招聘經(jīng)理需要云平臺方面有經(jīng)驗的人，最好是受過(guò)特定平臺培訓或認證的人。他們還需要對安全規程有深入了解的人。

Nair說(shuō)：“他有能力為云架構開(kāi)發(fā)安全藍圖，知道需要什么樣的安全工具來(lái)確保云資產(chǎn)安全，”并補充到，這些崗位的最佳人選在評估工具時(shí)，除了考慮所選擇的工具對安全的影響外，還會(huì )考慮對財務(wù)的影響。

這個(gè)要求很高，不過(guò)Bestman表示，他看到擁有云經(jīng)驗的安全架構師在不斷增多，其中更多的人在獲取云認證，以提高在市場(chǎng)上的價(jià)值。

事件響應經(jīng)理

2020年，Southard為其部門(mén)新增了一名事件響應經(jīng)理。她表示，安全團隊(包括她自己的團隊)至少需要一名工作人員，負責密切關(guān)注如何最有效地處理各種事件;如果發(fā)生什么不測，可以做好充分準備。

她那位新設的事件響應經(jīng)理(有時(shí)叫事件響應分析師)在過(guò)去的17年從事類(lèi)似的崗位。這番經(jīng)歷對Southard來(lái)說(shuō)很重要。她說(shuō)：“我們需要經(jīng)歷過(guò)事件的人。”

Southard說(shuō)，她設立這個(gè)崗位是為了確保安全部門(mén)能盡快做出響應，并協(xié)調可能起到作用的各項任務(wù)。

她解釋?zhuān)?ldquo;這樣就有一個(gè)人專(zhuān)門(mén)排查分類(lèi)，召集人員，并搞清楚事件類(lèi)型。”她補充到，這類(lèi)經(jīng)理應該知道如何處理從電話(huà)系統中斷到個(gè)人身份信息泄露的各種事件，并知道如何針對這類(lèi)事件給予相應的關(guān)注。

首席信息安全官

首席信息安全官崗位并不新鮮，但也不是很普遍的角色。

IDG公司的《2020年安全優(yōu)先事項》研究報告發(fā)現，只有42%的中小企業(yè)設有首席信息安全官、首席安全官或其他高級安全主管，80%的大企業(yè)設有這些崗位。然而，就連一些超大規模企業(yè)仍沒(méi)有高管級的網(wǎng)絡(luò )安全崗位。比如說(shuō)，安全供應商Bitglass的一項調查發(fā)現，2019年《財富》500強企業(yè)中38%沒(méi)有首席信息安全官，其中只有16%由另一位高管(比如安全副總裁)負責網(wǎng)絡(luò )安全戰略。

專(zhuān)家們表示，這是個(gè)錯誤。

Southard表示，即便一家組織非常注重安全，但首席信息安全官的角色對于“向上和向下管理，并在高層設定基調來(lái)說(shuō)仍然至關(guān)重要。組織能夠因此真正獲得深度防御戰略也至關(guān)重要。”

作為一名高管，首席信息安全官有條件與其他高管共同制定戰略，因此更有可能成功地定義和實(shí)施與組織風(fēng)險相一致的安全做法。擁有高管頭銜的首席信息安全官也更有能力讓其他人遵守安全要求。

Benoit-Kurtz補充道：“如果貴組織沒(méi)有首席信息安全官，那么就算有所謂兼職的虛擬首席信息安全官，也無(wú)異于定錯了基調。”

【編輯推薦】