打造一个成功的IT安全团队
图片:iStock
推特
分享在LinkedIn
在兴
分享

打造一个成功的IT安全团队

玛克辛-劳里·马歇尔——2017年6月
敏捷实践现在正在整个业务中得到应用。但是敏捷IT安全团队是什么样的呢?

为了保护组织及其客户,敏捷安全团队需要展示四个属性:灵活性、招聘的包容性、试验的愿望,以及参与业务的能力。在Infosecurity Europe 2017上,业界领先的ciso揭示了如何实现这些目标。
1.福斯特的灵活性

经济学人集团(The Economist Group)合规总监、业务连续性和信息安全主管Vicki Gavin表示,敏捷安全团队是一个不受传统角色界限限制的团队。举个例子,她说:“仅仅因为你被聘为安全运营中心(SOC)分析师,并不意味着你永远都是一个SOC分析师。你必须改变支持业务的方式。”Gavin经常指导新员工,如果有人对一个新领域表现出兴趣,她就会帮助他们扩展技能。

中国携程(Ctrip)旗下总部位于英国的旅行票价聚合网站Skyscanner的安全主管斯图尔特•赫斯特(Stuart Hirst)表示,组织希望满足不断变化的威胁环境需求的唯一途径,就是需要一个由优势和劣势不同的个人组成的团队。他认为,在应对新出现的威胁时,新思维是有帮助的:“在安全问题上,你并不总是有答案。一开始不知道自己在做什么没关系,但你必须尽快知道从哪里获得答案。”

通过鼓励打破传统角色之间的界限,并进行跨学科的培训,组织可以培养一个安全团队,该团队有潜力像他们将不可避免地不得不面对的威胁一样敏捷。正如加文所说:“工作一天就变了;这就是为什么我们需要雇用敏捷的人。”
2.使招聘包容

市场研究分析师Frost & Sullivan估计,到2020年,欧洲将有35万个安全职位空缺,全球将有180万个。如果组织想要有任何机会填补这一空缺,他们就需要改变他们的招聘方式。

经济学人集团的维姬·加文指责许多组织的招聘是“专一性的,而不是包容性的”。她解释说:“通常情况下,人力资源部门会列出一长串应聘者的资质条件,如果这些条件都不符合,他们就不会被考虑。”加文表示,这种心态不仅导致了该行业的性别失衡,因为如果女性觉得自己不完全符合要求的技能,她们就不太可能申请一份工作,而且这也会排除那些拥有技术背景但不从事安全工作的求职者。作为解决方案,她建议:“实际上,我们必须限制我们所寻找的技能。我们可以优先考虑最重要的技能,而不是列出17项必备技能。你必须经常培养自己想要的技能,记住,好人天生就有学习的能力。”

英国铁路基础设施运营商Network Rail的首席信息官保罗•沃茨(Paul Watts)对此表示赞同,并提供了他所在组织的一个例子。一位最近加入该公司的市场营销专业毕业生找到他,说她对IT安全感兴趣,但没有经验。他让她和他的团队轮岗六个月,发现她在沟通和建立关系方面的软技能改善了他的团队与企业的联系。反过来,她找到了一条通往似乎遥不可及的事业之路。

人们普遍认为,在招聘时需要进行工作培训,并寻求不同的技能。英国工作和养老金部(DWP)安全设计主管马哈布布•伊斯兰(Mahbubul Islam)表示:“在考虑候选人时,你会寻找知识、经验和阅历。不要试图同时找到这三种技能,雇佣一个有其中强项的候选人,并培养其他技能。”
3.鼓励实验文化

大多数企业高管天生对实验持谨慎态度,认为失败总是要付出金钱和名誉的代价。然而,新一代的领导者正在涌现,他们懂得如何在风险可控的情况下,将数字模型和技术用于试错。Skyscanner的斯图尔特•赫斯特表示,实验已经融入了公司的创业文化,也延伸到了他的安全团队。当人们不害怕做错事时,他们的工作效率最高,但这是一种很难嵌入任何组织的精神。我们必须在安全行业寻找新的工作方式。”

Network Rail的Paul Watts同意,如果安全团队想要有效,就必须感到被授权。他希望他的团队遵循这句格言:“请求原谅,而不是许可。”
4.确保参与业务

IT安全团队与其他业务的关系将决定成败。正如安全教育和认证机构(ISC)²的EMEA董事总经理Adrian Davis所言:“如果企业不实现敏捷,我们就不可能实现敏捷。为了让它发挥作用,我们必须去教育人们。”

这意味着改变对IT的看法。DWP的Mahbubul Islam把重点放在教育同事IT,特别是IT安全,不是“不”的部门。他建议安全专业人士“展示你是如何支持业务的,展示安全积极的一面。”

加文和瓦茨都把重点放在将其他业务纳入安全议程上,表示必须明白,安全是每个人的责任。赫斯特认为,如果安全专家懂得如何与企业良好沟通,这将成为可能。“并非所有人都是技术人员。因此,你必须能够将同样的安全信息传达给不同的人,无论是工程师还是人力资源管理人员。”

Gavin补充道,让高管们了解安全操作的现实也有助于弥合安全团队和业务之间的差距。自2009年以来,她一直直接向董事会报告。她说:“我一直试图与我的高管们沟通,告诉他们,就像所有组织一样,我们在某个时刻会遭到破坏。关键不在于你是否能避免,而在于你是否能很好地应对它。”

•文章基于2017年欧洲信息安全论坛的小组讨论,www.infosecurityeurope.com
推特
分享在LinkedIn
在兴
分享

    您对这个网站上的cookies的选择

    我们的网站使用cookies用于分析目的,并为您提供最好的体验。

    点击Accept同意或Preferences查看并选择您的cookie设置。

    该网站使用cookie在您的计算机上存储信息。

    为了提供最好的用户体验,一些cookie是必要的,而另一些则提供分析或重新定位,以便显示与你相关的广告。

    要了解我们的饼干的完整列表以及我们如何使用它们,请访问我们的饼干的政策


    必要的饼干

    这些cookies使网站能够发挥最大的功能,并为您提供最佳的用户体验。它们仍然可以通过浏览器设置被禁用。


    分析饼干

    我们使用谷歌Analytics所使用的分析cookie,为我们提供用户与www.kinoata.com互动方式的信息——这有助于我们对网站进行改进,以提高您的体验。

    要查看完整的分析cookie列表以及我们如何使用它们,请访问我们的饼干的政策


    社交媒体的饼干

    我们使用cookies追踪来自Facebook和LinkedIn等社交媒体平台的访问,这些cookies允许我们用www.kinoata.com的相关广告重新定位用户。

    想了解社交媒体cookies的完整列表以及我们如何使用它们,请访问我们的饼干的政策