构建优秀安全团队的方案
发布时间:2022-07-26 16:11:33 所属栏目:安全 来源:互联网
导读:安全团队的功能失调带来的危险很容易想象,从难以吸引和留住人才到让企业运营面临风险。构建优秀安全团队可以帮助企业摆脱这样的困境。 Oracle公司客户服务副总裁兼首席信息安全官Brennan P.Baybeck将建立一个成功的团队列为他作为首席信息安全官的首要职责
|
安全团队的功能失调带来的危险很容易想象,从难以吸引和留住人才到让企业运营面临风险。构建优秀安全团队可以帮助企业摆脱这样的困境。 Oracle公司客户服务副总裁兼首席信息安全官Brennan P.Baybeck将建立一个成功的团队列为他作为首席信息安全官的首要职责之一。 他说,“如果你身边有优秀的人,确保他们获得成功并拥有他们所需要的东西(培训、预算、合适的员工),那么就会有很大的安全感。但如果不把关注重点放在团队上,就不会获得成功。” 那么首席信息安全官可以做些什么来处理这种情况?Baybeck和其他专家提出了七种构建优秀安全团队的策略: 1.加速职业发展 NCC集团北美地区负责安全咨询业务的首席运营官Nick Rowe表示,年度绩效评估是企业对团队成员的一项评估标准,但想要留住人才并最大限度地提高他们的专业知识,首席信息安全官应该更频繁地安排评估。 他说,“在像信息安全领域这样快节奏的世界中,采用传统的审查周期没有意义,尤其是对于安全团队的初级成员,” 2.创建支持角色 Baybeck表示,强大的安全团队需要的不仅仅是网络安全职位,他们还需要支持角色,例如业务运营专家、招聘人员和项目经理。 他认为,区别这些角色并聘请在这些领域拥有技能的专业人员,而不是让安全专业人员将注意力从核心工作上转移到处理这些任务上,这是具有战略意义的。 他自己已经看到了这种方法的价值。他表示,企业需要帮助那些有额外负担的人身上卸下责任,并雇佣支持角色来承担项目管理和运营管理。这一举措让他的团队有时间专注于主要的安全工作。 Baybeck说,“安全风险管理是一个永无止境的过程,因此企业让安全团队获得他们需要的帮助,无论是通过现有的资源还是通过投资新资源,都可以帮助他们尽可能提高生产力。”他补充说,投资于自动化和流程改进也有助于提高团队效率和生产力。 3.创建多样化的安全团队 美国关键基础设施研究所发布的一份名为《2020年多样化信息安全团队的商业价值报告》表明,多元化的网络安全团队可以最大限度地提高企业将创新融入其工作的能力,并成为企业应对数字威胁的倍增器。明智的首席信息安全官将多样性视为竞争优势和解决日益严重的人才短缺问题的方法。 Forrester公司首席分析师者Jinan Budge表示,其他正在使团队多样化的首席信息安全官正在采取类似的方法。 她说,“他们针对招聘多样化的应聘者制定了目标,而且他们的招聘小组成员的背景也各不相同。这项工作创建了更具创新性和创造力的团队,因为能够更好地看待网络安全中的众多问题,深入研究以前没有深入研究过的事情,并改变对某些安全问题的看法。” 4.雇用和培养非技术技能 德勤会计师事务所负责人、德勤风险与财务咨询公司美国网络与战略风险负责人Deborah Golden表示,强大的安全团队由具备多种技能的团队成员组成。 她说:“让同样的人用同样的思维来解决问题,并不能得到想要的结果。企业需要有许多不同学科的人才更好地应对网络攻击的复杂性和业务的复杂性。” Golden证实了这一点。她的一些团队成员具有文科背景,其中包括一些考古学家和政治科学家。例如一位具有政治科学经验的员工提出了与国际法相关的数据保护问题,而团队中的其他人在一项特定的安全倡议中没有解决这些问题。 安全培训和专业协会(ISC)2的首席执行官Clar Rosso同样给出建议,企业的首席信息安全官需要雇用具有分析、批判性和创造性思维能力以及解决问题的能力的员工,或者在现有员工中培养这些技能。 根据(ISC)2 2021网络安全职业追求者的研究,网络安全团队需要建立弹性网络安全团队的路线图,并将分析思维、解决问题、批判性思维、独立和团队工作能力以及创造力列为网络安全人员最重要的软技能。 Rosso说,“研究表明,多元化的团队工作得更好。不同的团队提出不同的想法来解决问题,并且在网络安全威胁如此多变的情况下,这一点至关重要。” 5.培养坚强并具有韧性的团队成员 培训对于网络安全专业人员跟上快速变化的工作需求至关重要。事实上,美国信息系统安全协会(ISSA)和企业战略集团(ESG)发布了一份名为《2021年网络安全专业人员的生活和时代》报告,此次研究对489名网络安全专业人员进行了调查,其中91%的受访者表示,保持他们的技能对于保护企业的安全至关重要。然而有59%的受访者表示,工作要求往往会成为阻碍。 这份报告的作者就此向首席信息安全官发出警告:“这种培训差距正在悄悄增加企业的网络风险。为了解决这个问题,首席信息安全官必须推动企业确保在网络安全人员的每个成员的日程安排中持续投入充足的培训时间和资源。” 6.向团队展示使命和总体目标 大型科技公司和初创公司由于其创造发展愿景来激励员工,并使他们团结起来朝着共同目标前进而享有盛誉。首席信息安全官应该通过让他们的团队专注于企业的使命和总体目标来培养类似的企业文化。 Rowe说:“企业需要建立一种文化和目标,安全团队需要前进的理由。这很重要。作为安全专业人士,致力于网络安全是因为喜欢这样的工作,但这样做也是因为想要有所作为。” 安全团队的员工也似乎认同这一观点:根据ISSA-ESG的调查,79%的从事网络安全的员工表示他们很高兴从事自己的职业。但与此同时,许多人表示希望更多地参与其中。58%的受访者表示,从一开始就让安全人员参与所有IT项目对改善IT与安全团队之间的工作关系最具意义,41%的受访者表示,鼓励网络安全人员参与所有业务规划和战略将改善与企业管理层的工作关系。 7.让团队成员知道对他们有什么好处 为与企业战略相关的安全部门制定愿景确实有助于让团队朝着同一个方向努力,同时Rowe表示,首席信息安全官向员工展示他们的个人价值同样重要。 Rowe说,“安全专业人员知道它们的价值和需求,并且需要利用这些价值。因此,除了建立目标、愿景和文化之外,首席信息安全官还需要能够向员工概述他们的未来是什么样的,他们在企业的未来发展是什么样的,他们如何利用企业所提供的服务,以及如何让他们的职业生涯更上一层楼。” (编辑:应用网_丽江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330468号