安全团队功能障碍带来的风险很容易想象,从难以吸引和留住人才到企业经营的风险。建立一个优秀的安全团队可以帮助企业摆脱这样的困难。
Oracle公司客户服务副总裁兼首席信息安全官Brennan P.Baybeck他作为首席信息安全官的首要职责之一,将建立一个成功的团队。
他说,“如果你身边有优秀的人,确保他们成功,拥有他们需要的东西(培训、预算、合适的员工),他们会有很大的安全感。但是如果你不关注团队,你就不会成功。”
他说,这种关注需要大量的资源、职业规划和指导,以最好地提高团队成员的技能。一个成功的团队还需要优秀的经理、足够的资源和正确的组合责任。
没有这一切,企业的业务安全就会受到影响。
调研机构Forrester该公司在一份调查报告中指出,“企业需要在不良安全文化扼杀创新之前进行修复。如果安全团队不团结,就会导致内斗和不愉快。这不仅会创造一个不愉快的工作环境,还会破坏安全团队的声誉、诚信和风险。”
那么首席信息安全官能做些什么来处理这种情况呢?Baybeck与其他专家提出了建立优秀安全团队的七种策略:
1.加快职业发展
NCC北美集团负责安全咨询业务的首席运营官Nick Rowe年度绩效评估是企业对团队成员的评估标准,但首席信息安全官应更频繁地安排评估,以留住人才,最大限度地提高专业知识。
他说,“在信息安全等快节奏的世界里,采用传统的审查周期是没有意义的,特别是对于安全团队的初级成员,”
网络安全工作者需要不断提高新技能,以跟上专业和企业的需求,初级专业人员的技能通常会以特别快的速度提高。
因此,与其他企业部门的员工相比,安全人员将迅速提高专业技能,从而提高竞争力,而其他业务部门的员工在技能、技术和需求方面没有安全行业那么紧迫。
Rowe首席信息安全官应通过晋升、重新分配和加薪来认可团队成员的快速发展。
2.创建支持角色
Baybeck强大的安全团队不仅需要网络安全职位,还需要业务运营专家、招聘人员和项目经理等角色。
他认为,区分这些角色并聘请在这些领域具有技能的专业人员,而不是让安全专业人员将注意力从核心工作转移到处理这些任务,具有战略意义。
他自己也看到了这种方法的价值。他说,企业需要帮助那些有额外负担的人卸下责任,并雇佣支持角色来承担项目管理和运营管理。这一举措给了他的团队时间专注于主要的安全工作。
Baybeck说,“安全风险管理是一个永无止境的过程,所以企业可以通过现有资源和新资源的投资,帮助安全团队获得他们需要的帮助,尽可能提高生产力。”他补充说,投资自动化和流程改进也有助于提高团队效率和生产力。
3.创建多元化的安全团队
美国关键基础设施研究所发布的一份名为《2020年多样化信息安全团队的商业价值报告》表明,多元化的网络安全团队可以最大限度地提高企业将创新融入其工作的能力,并成为企业应对数字威胁的倍增器。明智的首席信息安全官将多样性视为竞争优势和解决日益严重的人才短缺问题的方法。
Baybeck同意这一点。“如果企业多年来招聘相同类型的人才,就很难在当前或未来取得成功。企业需要招聘不同观点和经验的人才。”
Baybeck他说,他采取了具体措施,努力在他带来的团队中创造更多的多样性,比如要求招聘人员为申请人建立广泛的网络,写职位描述来吸引更多的潜在申请人,并与许多企业合作,以提高他们的影响力。
Forrester公司首席分析师Jinan Budge其他正在使团队多样化的首席信息安全官也在采取类似的方法。
她说,“他们为招聘多样化的候选人设定了目标,他们的招聘团队成员有不同的背景。这项工作创建了一个更具创新性和创造力的团队,因为它可以更好地看待网络安全中的许多问题,深入研究以前没有深入研究过的事情,并改变对某些安全问题的看法。”
4.非技术技能的就业和培训
德勤会计师事务所负责人、德勤风险与金融咨询公司网络与战略风险负责人Deborah Golden强大的安全团队由具有多种技能的团队成员组成。
她说:“让同一个人用同样的思维来解决问题,而不是得到预期的结果。企业需要许多不同学科的人才来更好地应对网络攻击和业务的复杂性。”
Golden证实了这一点。她的一些团队成员有文科背景,包括一些考古学家和政治科学家。例如,一名有政治科学经验的员工提出了与国际法有关的数据保护问题,而团队中的其他人没有在特定的安全倡议中解决这些问题。
安全培训和专业协会(ISC)2首席执行官Clar Rosso同样,企业首席信息安全官需要雇佣具有分析、批判、创造性思维和解决问题能力的员工,或在现有员工中培养这些技能。
根据(ISC)2 于2021年网络安全专业追求者的研究,网络安全团队需要建立一个灵活的网络安全团队路线图,并将分析思维、解决问题、批判性思维、独立性、团队工作能力和创造力列为网络安全人员最重要的软技能。
Rosso说,“研究表明,多元化的团队工作得更好。当网络安全威胁如此多变时,不同的团队提出不同的想法来解决问题是非常重要的。”
5.培养强大而有弹性的团队成员
培训对网络安全专业人员跟上快速变化的工作需求至关重要。事实上,美国信息系统安全协会(ISSA)企业战略集团(ESG)该研究发布了一份名为《2021年网络安全专业人员的生活与时代》的报告,调查了489名网络安全专业人员,其中91%表示,保持技能对保护企业安全至关重要。然而,59%的受访者表示,工作要求往往成为障碍。
本报告的作者警告首席信息安全官:“这种培训差距正在悄然增加企业的网络风险。为了解决这个问题,首席信息安全官必须推动企业确保在网络安全人员的日程安排中投入足够的培训时间和资源。”
除传统的培训计划外,Rosso还建议首席信息安全官实施轮换计划,让员工在六到八周内轮换不同的职位。这为员工提供了学习或磨练不同技能的机会,以增强团队的整体实力,并通过提供多样化的任务和改变工作强度来防止工作疲劳。
Rosso承认,领导规模较小团队的首席信息安全官可能难以实施这样的计划;对于这些团队,她建议首席信息安全官在安全领域创建“部分”其他部门(如法律或风险部门)的工作人员可以分享相关安全计划的专业知识。
6.向团队展示使命和总体目标
大型科技公司和初创公司激励员工,团结起来,朝着共同的目标前进,享有良好的声誉。首席信息安全官应通过让团队专注于企业的使命和总体目标来培养类似的企业文化。
Rowe说:“企业需要建立文化和目标,安全团队需要前进的原因。这很重要。作为一名安全专业人士,我致力于网络安全,因为我喜欢这样的工作,但这也是因为我想做点什么。”
安全团队的员工似乎同意这一观点:根据ISSA-ESG在调查中,79%的网络安全员工表示,他们很高兴从事自己的职业生涯。但与此同时,许多人表示希望更多地参与其中。58%的受访者表示,安全人员从一开始就参与其中IT项目对改善IT41%的受访者表示,鼓励网络安全人员参与所有业务规划和战略,将改善与企业管理层的工作关系。
7.让团队成员知道对他们有什么好处
制定与企业战略相关的安全部门愿景,确实有助于团队朝着同一方向努力,同时Rowe同样重要的是,首席信息安全官向员工展示他们的个人价值。
Rowe说,“安全专业人士知道他们的价值和需求,并需要使用它们。因此,除了建立目标、愿景和文化外,首席信息安全官还需要能够向员工概述他们的未来,他们在企业的未来发展,他们如何使用企业提供的服务,以及如何使他们的职业生涯达到更高的水平。”
他补充说,首席信息安全官必须通过企业提供的培训、项目分配和晋升机会,使员工能够掌握他们在职业生涯中成长所需的技能。
Rowe补充道:“所有这些都与建立职业生涯、保持透明和拥有校友网络有关。”
(ISC)2在调查网络安全专业人士是否鼓励他们加入这一领域时,研究加强了这一观点。他们认为解决问题的能力(54%)、对技能的高需求(50%)、合适的技能/兴趣(46%)和职业发展机会(45%)是主要原因。帮助他人/社会的能力(44%)排名第五,最后是薪水(42%)。