功能失调的安全团队的危险很容易想象,从难以吸引和留住人才到将业务运营置于风险之中。建立一支优秀的安全团队可以帮助企业走出这种困境。甲骨文公司客户服务副总裁兼首席信息安全官BrennanP.Baybeck将建立一支成功的团队列为他作为首席信息安全官的首要职责之一。“如果你身边都是优秀的人,确保他们成功并拥有他们需要的东西(培训、预算、合适的员工),那么就会有很强的安全感,”他说。“但如果你不专注于一个团队,你就不会成功。”他说,这种关注需要大量资源以及职业规划和指导,以提高团队成员的最佳技能。成功的团队还需要优秀的管理者、充足的资源和正确的职责组合。如果没有这一切,您的业务安全就会受到影响。研究公司Forrester在一份调查报告中指出,“在糟糕的安全文化扼杀创新之前,公司需要修复它。如果安全团队不团结,就会导致内讧和不愉快??。这不仅会造成不愉快的工作环境,但也有可能损害安全团队的声誉,破坏团队的诚信,并使业务面临风险。”那么CISO可以做些什么来应对这种情况呢?Baybeck等专家提出了打造优秀安全团队的七种策略:1.加速职业发展NCCGroupNorthAmerica负责安全咨询业务的首席运营官NickRowe表示,年度绩效评估是对团队的评估标准成员,但他们想留住人才并最大限度地发挥他们的作用。专业知识,CISO应该更频繁地安排评估。“在一个像信息安全领域这样快节奏的世界里,采用传统的审查周期是没有意义的,特别是对于安全团队的初级成员,”他说,并补充说网络安全工作者需要不断增加新的跟上专业和企业需求步伐的技能,初级专业人员的技能通常以特别快的速度提高。因此,安保人员的专业技能将得到快速提升,从而与其他业务部门的员工相比,其技能、技能和需求并不像安保行业那样紧迫,从而提高竞争力。Rowe解释说,CISO应该认识到团队成员通过晋升、调动和加薪实现的快速发展。2.创造支持角色Baybeck表示,强大的安全团队需要的不仅仅是网络安全角色,他们还需要业务运营专家、招聘人员和项目经理等支持角色。他认为区分这些角色并聘请具有这些领域技能的专业人士具有战略意义,而不是将安全专业人士的注意力从他们的核心工作转移到处理这些任务上。他自己已经看到了这种方法的价值。他说,企业需要帮助减轻那些有额外负担的人,并雇用支持角色来承担项目管理和运营管理。此举让他的团队腾出时间来专注于主要的安全工作。“安全风险管理是一个永无止境的过程,因此无论是通过现有资源还是通过投资新资源,为安全团队提供他们需要的帮助,都可以帮助他们尽可能提高工作效率,”Baybeck说。添加对自动化和流程改进的投资也可以帮助提高团队效率和生产力。3.打造多元化的安全团队美国关键基础设施研究所发布的名为《2020年多样化信息安全团队的商业价值报告》的报告表明,多元化的网络安全团队可以最大限度地提高组织将创新融入其工作和威胁倍增器的能力。明智的CISO将多元化视为竞争优势和解决日益严重的人才短缺问题的方法。拜贝克同意。他说,“如果企业多年招同类型的人才,现在和将来都不会成功,企业需要招的是不同视角、不同经历的人。”它为团队带来了更多的多样性,例如要求招聘人员为候选人建立广泛的网络,撰写旨在吸引更多潜在候选人的职位描述,以及与多家企业合作以增加影响力。Forrester首席分析师JinanBudge表示,其他正在使团队多样化的CISO也在采取类似的方法。她说,“他们的目标是招聘多元化的候选人,他们的招聘小组成员来自不同的背景。这项工作创造了更具创新性和创造力的团队,因为他们能够更好地看到网络安全中的众多问题,深入研究以前没有深入研究过的事物,并改变对某些安全问题的看法。”4.雇用和发展非技术人员技能网络和战略风险负责人黛博拉·戈登(DeborahGolden)表示,强大的安全团队由具有不同技能的团队成员组成。“让相同的人以相同的方式思考解决问题不会得到预期的结果,”她说。公司需要来自许多不同学科的人来更好地应对网络攻击的复杂性和业务的复杂性。”至此确认了Golden。她的一些团队成员具有文科背景,包括一些考古学家和政治学家。例如,一名具有政治学经验的员工提出了与国际法相关的数据保护问题,而团队中的其他人在特定安全计划中并未解决这些问题。安全培训和职业研究所(ISC)2的首席执行官ClarRosso还建议CISO需要雇用具有分析、批判性和创造性思维能力以及解决问题能力的员工,或者在现有员工的基础上培养这些技能。根据(ISC)22021网络安全职业求职者研究,网络安全团队需要一个路线图来建立有弹性的网络安全团队,并将分析思维、解决问题、批判性思维、独立和团队合作技能以及创造力列为最重要的网络安全专业人员的软技能。“研究表明,多元化的团队工作得更好,”罗索说。“不同的团队提出不同的想法来解决问题,网络安全威胁如此动态,这一点至关重要。”5.培养弹性弹性团队成员培训对于网络安全专业人员跟上快速变化的工作需求至关重要。事实上,信息系统安全协会(ISSA)和企业战略集团(ESG)发布了一份名为《2021年网络安全专业人员的生活和时代》的报告,该报告对489名网络安全专业人员进行了研究,其中91%的人回答说,保持他们的技能对于确保企业安全至关重要.然而,59%的受访者表示,工作要求往往是一个障碍。该报告的作者就此警告CISO:“这种培训差距正在悄悄增加组织的网络风险。为了解决这个问题,CISO必须推动组织确保网络安全工作人员的每一位成员都在议程上。继续在时间表中投入足够的培训时间和资源。”除了传统的培训计划外,Rosso建议CISO实施轮换计划,让员工在六到八周的时间内轮换担任不同的角色。这为员工提供了学习或磨练不同技能的机会,从而增强团队的整体实力,同时通过提供多样化的任务和改变工作强度来防止倦怠。Rosso承认,领导较小团队的CISO可能难以实施这样的计划;对于这些团队,她建议CISO在安全领域创建“部分”角色,让其他部门(例如法律或风险部门)的员工可以分享他们在相关安全计划方面的专业知识。6.向团队展示使命和总体目标大型科技公司和初创公司以创造愿景来激励员工并将他们聚集到一个共同目标而著称。CISO应该通过让他们的团队专注于企业的使命和总体目标来培养类似的企业文化。“组织需要建立一种文化和目标,安全团队需要一个前进的理由,”Rowe说。“这很重要。作为一名安全专业人员,你从事网络安全工作是因为你热爱你所做的事情,但你这样做也是因为你想有所作为。”安全团队的员工似乎也有这种看法:根据ISSA-ESG的调查,从事网络安全工作的员工中有79%表示他们乐于做自己所做的事情。但与此同时,许多人表达了更多参与的愿望。58%的受访者表示,从一开始就让安全人员参与所有IT项目对于改善IT与安全团队之间的工作关系最有意义,41%的受访者表示鼓励网络安全人员参与所有业务规划和战略将改善与企业管理层的工作关系。7.让团队成员知道什么对他们有好处。为安全部门制定与公司战略相关的愿景确实有助于让团队朝着同一个方向努力,Rowe说CISO也向员工展示了他们的个人价值。重要的。Rowe说,“安全专业人员了解他们的价值观和需求,并且需要利用这些价值观。因此,除了建立目标、愿景和文化之外,CISO还需要能够向员工概述他们的未来,他们在企业中的未来是什么样的,他们如何利用企业提供的东西,以及他们如何才能将自己的职业生涯提升到一个新的水平。”他补充说,CISO必须通过培训、计划以及分配和晋升机会,让员工掌握职业发展所需的技能。Rowe补充说:“这一切都是关于建立职业、保持透明和拥有校友网络。”(ISC)2研究在调查是什么促使网络安全专业人员加入该领域时强化了这一点。他们将解决问题的能力(54%)、对技能的高需求(50%)、合适的技能/兴趣(46%)和职业发展机会(45%)列为首要原因,帮助他人/社会的能力(44%)排在第五位,其次是薪酬(42%)。
