缺乏熟練的網(wǎng)絡(luò)安全勞動(dòng)力會(huì)阻礙任何組織安全計(jì)劃的有效性。是的,人工智能 (AI) 和機(jī)器學(xué)習(xí) (ML) 等自動(dòng)化工具和技術(shù)提供了一層支持�����,引入托管安全服務(wù)提供商 (MSSP) 可提供內(nèi)部不具備的專(zhuān)業(yè)知識(shí)�����。但這還不夠�,特別是對(duì)于最能從內(nèi)部安全團(tuán)隊(duì)中獲益的中型企業(yè)而言。
然而��,人才短缺不僅僅影響當(dāng)今的安全問(wèn)題?,F(xiàn)在缺乏熟練的勞動(dòng)力將影響未來(lái)。組織難以填補(bǔ)的不僅僅是入門(mén)級(jí)職位�����;包括 CISO 和 CSO 在內(nèi)的領(lǐng)導(dǎo)職位空缺�����。如果沒(méi)有掌握訣竅的人才,未來(lái)的安全管理可能會(huì)成為占位者����,而不是積極的領(lǐng)導(dǎo)者。
(相關(guān)資料圖)
網(wǎng)絡(luò)安全需要了解安全在組織業(yè)務(wù)運(yùn)營(yíng)中的作用的領(lǐng)導(dǎo)者����。但是,這些領(lǐng)導(dǎo)者將來(lái)會(huì)從哪里涌現(xiàn)呢����?
CISO的由來(lái)
第一次使用“首席信息安全官”(CISO)這個(gè)頭銜是在 20 世紀(jì) 90 年代中期?�;ㄆ旒瘓F(tuán)(現(xiàn)為花旗集團(tuán))在公司遭受一系列網(wǎng)絡(luò)攻擊后聘請(qǐng)了史蒂夫卡茨�����。當(dāng)時(shí)互聯(lián)網(wǎng)處于最早階段�,當(dāng)時(shí)組織對(duì)計(jì)算機(jī)和在線連接的依賴(lài)程度較低。那時(shí)候����,員工很幸運(yùn)能夠擁有一個(gè)超越內(nèi)部通信的電子郵件地址��。
Katz 在安全方面有經(jīng)驗(yàn)����,或者正如SecurityWeek所說(shuō)��,“在安全存在之前��,他一直處于安全的邊緣——他致力于產(chǎn)品生命周期和質(zhì)量保證�����,并在 COBOL 和 FORTRAN 中包含了對(duì) ID 和密碼模塊的要求”�����,然后才接手新發(fā)明的 CISO 角色�����。這本身就很不尋常�,因?yàn)榘踩珗F(tuán)隊(duì)及其領(lǐng)導(dǎo)通常來(lái)自 IT 部門(mén)���。他們擁有必要的技術(shù)誠(chéng)意��,但在工作中學(xué)會(huì)了安全�。
勞動(dòng)力缺口
根據(jù)(ISC)2 2022 勞動(dòng)力研究,全球網(wǎng)絡(luò)安全勞動(dòng)力數(shù)量接近 500 萬(wàn)���,并且一直以 26% 的年增長(zhǎng)率增長(zhǎng)����。仍有超過(guò) 300 萬(wàn)個(gè)工作崗位需要填補(bǔ)����。
“網(wǎng)絡(luò)安全勞動(dòng)力缺口危及該行業(yè)最基本的職能,如風(fēng)險(xiǎn)評(píng)估���、監(jiān)督和關(guān)鍵系統(tǒng)修補(bǔ)���,”該研究稱(chēng)。目前的網(wǎng)絡(luò)安全員工認(rèn)為���,人手不足的團(tuán)隊(duì)會(huì)使組織面臨更高的攻擊風(fēng)險(xiǎn)�����。
雪上加霜的是�,網(wǎng)絡(luò)安全行業(yè)對(duì)專(zhuān)業(yè)化的需求日益增長(zhǎng)。入門(mén)級(jí)安全工作者的主要任務(wù)是閱讀日志的日子已經(jīng)一去不復(fù)返了���。根據(jù)ISACA 的一項(xiàng)研究�,最缺乏的技能包括云計(jì)算�����、編碼��、安全和數(shù)據(jù)控制�����、行為分析和軟件開(kāi)發(fā)���。研究發(fā)現(xiàn),當(dāng)今組織需要填補(bǔ)的前五個(gè)角色是云安全����、身份和訪問(wèn)管理、數(shù)據(jù)保護(hù)�����、事件響應(yīng)和 DevSeOps。
缺乏的不僅僅是入門(mén)級(jí)和中級(jí)網(wǎng)絡(luò)安全人才����。雖然這不是什么大問(wèn)題,但許多公司都有不同級(jí)別的管理職位空缺����。例如,17% 的受訪者表示他們的 CISO 職位空缺����。此外,25% 的人需要高級(jí)經(jīng)理或網(wǎng)絡(luò)安全主管��。
CISO 來(lái)自哪里
根據(jù) ISACA 的研究����,最缺乏的技能不是云計(jì)算和數(shù)據(jù)保護(hù)。最大的人才短缺是軟技能���。網(wǎng)絡(luò)安全在培養(yǎng)領(lǐng)導(dǎo)技能方面做得不好���,包括溝通或靈活性���。下一批領(lǐng)導(dǎo)者不會(huì)在大學(xué)里培養(yǎng),這將影響 CISO 的未來(lái)����。
Heidrick & Struggles 的2022 年全球首席信息安全官 (CISO) 調(diào)查發(fā)現(xiàn),CISO 經(jīng)常流動(dòng)��,超過(guò)一半的人表示他們是從另一個(gè) CISO 職位轉(zhuǎn)到現(xiàn)在的工作的�,尤其是那些已經(jīng)工作一年的人或更少。那些長(zhǎng)期從事本職工作的人來(lái)自其他類(lèi)型的工作�����。他們之前的大部分經(jīng)驗(yàn)都來(lái)自 IT��。然而�����,該報(bào)告稱(chēng)����,“我們看到其他類(lèi)型的功能性專(zhuān)業(yè)知識(shí)正在出現(xiàn)��,尤其是軟件工程,它從去年的 7% 增加到今年的 10%���?���!?/p>
預(yù)計(jì)這種在安全人才庫(kù)之外尋找領(lǐng)導(dǎo)職位的趨勢(shì)將繼續(xù)下去���。隨著年長(zhǎng)的專(zhuān)業(yè)人士退休和中年專(zhuān)業(yè)人士精疲力盡����,這種情況可能會(huì)變得更加明顯����。人才短缺可能會(huì)導(dǎo)致雇主優(yōu)先考慮留住技術(shù)工人,尤其是那些在專(zhuān)業(yè)領(lǐng)域捍衛(wèi)流行攻擊媒介的工人��,而不是將他們提拔到管理職位���?����;蛘?���,CISO 最終可能成為一名混合型員工,他們必須保持自己的實(shí)際安全功能�,同時(shí)還要管理最高管理層的職責(zé)。
面對(duì)現(xiàn)代威脅
今天的 CISO 應(yīng)該了解“組織使用和期望的技術(shù)范圍通過(guò)控制框架遵守法規(guī)���,評(píng)估信息資產(chǎn)風(fēng)險(xiǎn)��,將安全擴(kuò)展到組織之外(例如云�����、移動(dòng)����、社交媒體����、威脅情報(bào)網(wǎng)絡(luò))并知道如何隱私法規(guī)會(huì)影響組織(數(shù)據(jù)的位置、使用方式以及保護(hù)方式)�����,”Dark Reading 的一篇文章稱(chēng)�。按照這個(gè)標(biāo)準(zhǔn),最好的 CISO(或 CSO 或網(wǎng)絡(luò)安全領(lǐng)導(dǎo)層的任何人)將來(lái)自具有強(qiáng)大安全����、數(shù)據(jù)隱私和合規(guī)經(jīng)驗(yàn)的背景。
但是���,作為執(zhí)行團(tuán)隊(duì)的一員���,CISO 需要在考慮業(yè)務(wù)運(yùn)營(yíng)和目標(biāo)的同時(shí)考慮安全性。組織將尋找具有商業(yè)背景和技術(shù)背景的候選人��。他們還可以培養(yǎng)在沒(méi)有初始網(wǎng)絡(luò)安全經(jīng)驗(yàn)的情況下表現(xiàn)出領(lǐng)導(dǎo)能力的員工��。
在花旗集團(tuán)聘請(qǐng)其首位 CISO 三十年后�����,Steve Katz 看起來(lái)像是一只獨(dú)角獸:由于他在安全領(lǐng)域的特殊背景而擔(dān)任這一職務(wù)����。今天的 CISO 繼續(xù)來(lái)自其他學(xué)科并學(xué)習(xí)安全方面的知識(shí)。但隨著網(wǎng)絡(luò)威脅變得越來(lái)越復(fù)雜����,我們對(duì)技術(shù)的依賴(lài)程度越來(lái)越高����,CISO 將需要扎實(shí)的安全背景���。只要人才缺口繼續(xù)擴(kuò)大���,就仍然很難從競(jìng)爭(zhēng)者中找到領(lǐng)導(dǎo)候選人。
編譯自:IBM securityintelligence
原作者:蘇波倫巴
