根据普华永道2021年全球数字信任洞察报告, 51%的受访高管表示,他们计划在明年增加全职安全人员,22%的受访者计划增加5%或更多的员工。
企业团队继续需要安全分析师、安全工程师和渗透测试员——所有这些角色在许多安全部门都是必不可少的。然而,如今,许多组织希望为安全团队增加其他职位、新角色和新职称。
在这篇文章中,专家们介绍了他们法IT八个重要的安全角色。
访份及访问管理工程师
企业安全领导人越来越专注于开发可靠的身份和访问管理(IAM)实践;由于远程访问程度越来越高,需要随时随地工作,多云环境不断扩大,IAM因此备受关注。
事实上,云安全联盟发布的《2020年云身份安全现状》报告发现,94%的受访企业领导将人类身份的特权和权限管理列为高优先级或高优先级,77%的受访者将机器身份的特权和权限管理列为高优先级或高优先级。
正因为如此,安全领导人正在设立特定的角色和角色IAM工程师或IAM分析师等职称。
人事服务公司Robert Half Technology的执行董事Jeff Weber预计市场对这些专业人士的需求将继续增长。
他说:“在接下来的几个月里,应用软件生命周期中包含的安全要求将促进需求。”他补充说,他的公司看到首席信息安全官(CISO)为了提高自己的技能,问题解决和分析技能的员工可以获得这些角色所需的技术经验。
管理第三方风险的经理
首席信息安全官员已经注意到,威胁可能会通过合作伙伴和供应商进入他们的业务运营系统,这促使他们更加关注与第三方相关的风险。安全领导人、招聘人员和高级管理顾问都认为,这将充分关注这个问题。
比如说,Stephanie Benoit-Kurtz是Station Casinos网络安全主管(该岗位直属上级为首席信息安全官)和菲尼克斯大学网络安全项目系主任,Benoit-Kurtz该团队的一名信息系统分析师专注于管理内部风险和第三方风险,因为这两种技能几乎相同。然而,随着工作需求和复杂性的增加,她预计将有人全职管理第三方风险。
无论是为安全团队中的现有职位增加全职职位还是新职责,这些角色的职称都是不同的。无论如何,专家们表示,这个角色的重点是相同的:审查第三方的安全政策和程序,并执行合同设定的标准。
IT服务管理公司Involta首席信息安全官Annalea Ilg说:“你必须确保你在管理风险,整个安全团队必须了解供应商的职责。”
DevSecOps安全工程师
Owanate Bestman总部位于伦敦的技术安全专业人员招聘公司Bestman Solutions的主管,他说:“应用软件仍然是防止泄密的最薄弱环节。开发安全运维(DevSecOps)这是解决这个问题最受好评的方法。DevSecOps有经验的求职者很受欢迎。”
他说,信息安全领导想要这样的应用软件安全工程师:深入了解DevOps方法,通晓DevOps能够与开发团队合作(或在这方面有实践经验)的管道工具非常清楚Web当然,应用软件的风险应该有安全资格证书。
Sushila Nair是NTT数据服务公司副总裁兼安全产品总监、国际信息系统审计协会(ISACA)大华盛顿分会主任。她说,考虑到这些要求,人才短缺并不奇怪。
Nair说:“DevSecOps它并不新鲜,但很难找到可以添加到您敏捷开发团队中的应用软件安全工程师。”她补充说,挑战是找到集安全知识和应用软件开发经验于一体的人才。
威胁搜寻员
该组织面临的许多威胁既复杂又狡猾,这促使首席信息安全官建立新的角色来识别和应对这些威胁。
Stephenie Southard是伊利诺斯州弗农希尔斯的信用合作社BCU的首席信息安全官,她说:“我们需要的人几乎就像安全分析师和威胁管理者的混合体。他们应该检查所有的威胁分析工具、防火墙日志和其他监控工具,了解威胁是什么,并回头通知相关人员。他们应该能够检查日志和警报,检查可疑的活动,检测异常行为的某种模式,知道这是错误的还是令人担忧的事件,并知道这表明紧急风险或不重要的风险。”
Nair她说:“我们需要实用的分析技能。SolarWinds其他高级攻击进一步加深了我们对搜索攻击者下落的理解。面对沉默的持续攻击,工具往往不能提醒我们,所以我们需要知道如何在互联网上搜索入侵者。”
漏洞风险分析师
同样,Southard认为需要能够跟踪和管理企业内部漏洞的人员。“这样,任何漏洞都可以脚踏实地地修复。”
她说,2020年年中,她发现自己需要这个角色,当时结合了很多因素:从各种设备远程访问公司系统,需要解决的漏洞层出不穷,组织面临的威胁越来越多。
Southard承认大多数安全团队(包括她自己的团队)都负责处理漏洞。但她说,这项工作有时会被挤在其他优先事项后面。
因此,她在2021年初设立了新岗位,进一步确保漏洞管理受到关注。因此,这个人有时间和权力优先考虑这项工作,甚至可以根据组织设定的标准与供应商合作解决问题。
她补充道:“这将确保优先解决漏洞,并向监管机构和其他相关方表明,我们非常重视修复这些漏洞。”
云安全架构师
据安全领导、招聘人员和顾问介绍,云安全架构师是需求最大的角色之一。
Bestman说:“大多数急需的技能都是为了遵守监管法规,旨在确保企业享受云平台的好处,同时降低监管和合规的风险。”
他说,招聘经理需要有云平台经验的人,最好是接受过特定平台培训或认证的人。他们还需要对安全程序有深入了解的人。
Nair说:“他有能力为云架构开发安全蓝图,知道需要什么样的安全工具来确保云资产的安全,”此外,在评估工具时,这些职位的最佳候选人不仅会考虑所选工具对安全的影响,还会考虑财务的影响。
但是这个要求很高Bestman他说,他看到越来越多的安全架构师有云经验,其中更多的人正在获得云认证,以提高他们在市场上的价值。
事件响应经理
2020年,Southard该部门增加了一名事件响应经理。她说,安全团队(包括她自己的团队)至少需要一名工作人员密切关注如何最有效地处理各种事件;如果发生事故,你可以做好充分的准备。
她的新事件响应经理(有时被称为事件响应分析师)在过去17年从事类似的职位。这种经历是正确的Southard说:“我们需要经历过事件的人。”
Southard她设立这个职位是为了确保安全部门尽快做出反应,并协调可能发挥作用的任务。
她解释:“这样,一个人就专门调查分类,召集人员,了解事件类型。”她补充说,这些经理应该知道如何处理从电话系统中断到个人身份信息泄露的各种事件,并知道如何相应地关注这些事件。
首席信息安全官
首席信息安全官的职位并不新鲜,但也不是很常见。
IDG根据公司2020年安全优先事项的研究报告,只有42%的中小企业有首席信息安全官、首席安全官或其他高级安全主管,80%的大企业有这些职位。然而,即使是一些大型企业也没有高级管理人员的网络安全职位。例如,安全供应商Bitglass一项调查发现,2019年财富500强企业中,38%没有首席信息安全官,其中只有16%由另一位高管(如安全副总裁)负责网络安全战略。
专家说这是个错误。
Southard他说,即使一个组织非常重视安全,首席信息安全官的于“上下管理,在高层设定基调上仍然至关重要。因此,组织真正获得深度防御战略也非常重要。”
作为一名高级管理人员,首席信息安全官有条件与其他高级管理人员共同制定战略,因此更有可能成功地定义和实施与组织风险一致的安全实践。具有高级管理职称的首席信息安全官也更有能力让他人遵守安全要求。
Benoit-Kurtz补充道:“如果你的组织没有首席信息安全官,即使有所谓的兼职虚拟首席信息安全官,也无异于设定了错误的基调。”