缺乏熟練的網(wǎng)絡安全勞動力會阻礙任何組織安全計劃的有效性。是的�,人工智能 (AI) 和機器學習 (ML) 等自動化工具和技術提供了一層支持,引入托管安全服務提供商 (MSSP) 可提供內(nèi)部不具備的專業(yè)知識��。但這還不夠��,特別是對于最能從內(nèi)部安全團隊中獲益的中型企業(yè)而言���。
然而,人才短缺不僅僅影響當今的安全問題?,F(xiàn)在缺乏熟練的勞動力將影響未來。組織難以填補的不僅僅是入門級職位�;包括 CISO 和 CSO 在內(nèi)的領導職位空缺。如果沒有掌握訣竅的人才�,未來的安全管理可能會成為占位者,而不是積極的領導者。
(相關資料圖)
網(wǎng)絡安全需要了解安全在組織業(yè)務運營中的作用的領導者���。但是����,這些領導者將來會從哪里涌現(xiàn)呢�����?
CISO的由來
第一次使用“首席信息安全官”(CISO)這個頭銜是在 20 世紀 90 年代中期���?���;ㄆ旒瘓F(現(xiàn)為花旗集團)在公司遭受一系列網(wǎng)絡攻擊后聘請了史蒂夫卡茨��。當時互聯(lián)網(wǎng)處于最早階段�����,當時組織對計算機和在線連接的依賴程度較低�。那時候,員工很幸運能夠擁有一個超越內(nèi)部通信的電子郵件地址����。
Katz 在安全方面有經(jīng)驗���,或者正如SecurityWeek所說,“在安全存在之前�����,他一直處于安全的邊緣——他致力于產(chǎn)品生命周期和質(zhì)量保證����,并在 COBOL 和 FORTRAN 中包含了對 ID 和密碼模塊的要求”,然后才接手新發(fā)明的 CISO 角色��。這本身就很不尋常�����,因為安全團隊及其領導通常來自 IT 部門��。他們擁有必要的技術誠意�����,但在工作中學會了安全��。
勞動力缺口
根據(jù)(ISC)2 2022 勞動力研究�,全球網(wǎng)絡安全勞動力數(shù)量接近 500 萬,并且一直以 26% 的年增長率增長��。仍有超過 300 萬個工作崗位需要填補��。
“網(wǎng)絡安全勞動力缺口危及該行業(yè)最基本的職能�����,如風險評估�、監(jiān)督和關鍵系統(tǒng)修補,”該研究稱�。目前的網(wǎng)絡安全員工認為,人手不足的團隊會使組織面臨更高的攻擊風險����。
雪上加霜的是,網(wǎng)絡安全行業(yè)對專業(yè)化的需求日益增長���。入門級安全工作者的主要任務是閱讀日志的日子已經(jīng)一去不復返了����。根據(jù)ISACA 的一項研究���,最缺乏的技能包括云計算�、編碼���、安全和數(shù)據(jù)控制�、行為分析和軟件開發(fā)��。研究發(fā)現(xiàn)���,當今組織需要填補的前五個角色是云安全��、身份和訪問管理��、數(shù)據(jù)保護�����、事件響應和 DevSeOps。
缺乏的不僅僅是入門級和中級網(wǎng)絡安全人才���。雖然這不是什么大問題����,但許多公司都有不同級別的管理職位空缺。例如���,17% 的受訪者表示他們的 CISO 職位空缺�����。此外�����,25% 的人需要高級經(jīng)理或網(wǎng)絡安全主管��。
CISO 來自哪里
根據(jù) ISACA 的研究�����,最缺乏的技能不是云計算和數(shù)據(jù)保護�。最大的人才短缺是軟技能�。網(wǎng)絡安全在培養(yǎng)領導技能方面做得不好�����,包括溝通或靈活性�。下一批領導者不會在大學里培養(yǎng),這將影響 CISO 的未來�。
Heidrick & Struggles 的2022 年全球首席信息安全官 (CISO) 調(diào)查發(fā)現(xiàn)��,CISO 經(jīng)常流動���,超過一半的人表示他們是從另一個 CISO 職位轉(zhuǎn)到現(xiàn)在的工作的,尤其是那些已經(jīng)工作一年的人或更少�。那些長期從事本職工作的人來自其他類型的工作�。他們之前的大部分經(jīng)驗都來自 IT。然而��,該報告稱���,“我們看到其他類型的功能性專業(yè)知識正在出現(xiàn),尤其是軟件工程����,它從去年的 7% 增加到今年的 10%?�!?/p>
預計這種在安全人才庫之外尋找領導職位的趨勢將繼續(xù)下去����。隨著年長的專業(yè)人士退休和中年專業(yè)人士精疲力盡,這種情況可能會變得更加明顯�。人才短缺可能會導致雇主優(yōu)先考慮留住技術工人,尤其是那些在專業(yè)領域捍衛(wèi)流行攻擊媒介的工人����,而不是將他們提拔到管理職位?����;蛘?,CISO 最終可能成為一名混合型員工,他們必須保持自己的實際安全功能���,同時還要管理最高管理層的職責�。
面對現(xiàn)代威脅
今天的 CISO 應該了解“組織使用和期望的技術范圍通過控制框架遵守法規(guī)���,評估信息資產(chǎn)風險��,將安全擴展到組織之外(例如云�、移動����、社交媒體、威脅情報網(wǎng)絡)并知道如何隱私法規(guī)會影響組織(數(shù)據(jù)的位置���、使用方式以及保護方式)�,”Dark Reading 的一篇文章稱����。按照這個標準,最好的 CISO(或 CSO 或網(wǎng)絡安全領導層的任何人)將來自具有強大安全����、數(shù)據(jù)隱私和合規(guī)經(jīng)驗的背景。
但是���,作為執(zhí)行團隊的一員�����,CISO 需要在考慮業(yè)務運營和目標的同時考慮安全性�。組織將尋找具有商業(yè)背景和技術背景的候選人�����。他們還可以培養(yǎng)在沒有初始網(wǎng)絡安全經(jīng)驗的情況下表現(xiàn)出領導能力的員工。
在花旗集團聘請其首位 CISO 三十年后�����,Steve Katz 看起來像是一只獨角獸:由于他在安全領域的特殊背景而擔任這一職務�。今天的 CISO 繼續(xù)來自其他學科并學習安全方面的知識����。但隨著網(wǎng)絡威脅變得越來越復雜,我們對技術的依賴程度越來越高���,CISO 將需要扎實的安全背景���。只要人才缺口繼續(xù)擴大,就仍然很難從競爭者中找到領導候選人��。
編譯自:IBM securityintelligence
原作者:蘇波倫巴
