据普华永道的《2021年全球数字信任洞察报告》显示, 51%的受访高管表示,他们计划在未来一年增加全职安全人员,22%的受访者计划将工作人员增加5%或更多。
企业团队继续需要安全分析师、安全工程师和渗透测试员——所有这些角色在许多安全部门必不可少。不过如今,许多组织期望为安全团队增设其他岗位、设立新角色,并增加新职衔。
专家们在本文中介绍了他们认为对IT安全很重要的八种角色。
身份及访问管理工程师
企业安全领导人日益专注于开发可靠的身份及访问管理(IAM)实践;由于远程访问程度越来越高、需要随时随地工作以及多云环境不断扩大,IAM因而备受关注。
事实上,云安全联盟发布的《2020年云身份安全现状》报告发现,94%的受访企业领导人将人类身份的特权和权限管理列为高优先级或极高优先级,77%的受访者将机器身份的特权和权限管理列为高优先级或极高优先级。
正因为如此,安全领导人在设立特定的角色,并设立IAM工程师或IAM分析师之类的职衔。
人事服务公司Robert Half Technology的执行董事Jeff Weber预计,市场对这些专业人员的需求会继续增长。
他说:“在今后几个月,安全方面的要求纳入到应用软件生命周期中将推动需求。”他补充说,他的公司看到,首席信息安全官(CISO)让拥有出色的问题解决和分析技能的员工获得胜任这些角色所需要的技术经验,以提高技能。
管理第三方风险的经理人
首席信息安全官们已注意到威胁有可能通过合作伙伴和供应商进入自己的业务运营系统,这促使他们更加关注与第三方有关的风险。安全领导人、招聘人员和高管顾问们均认为,这进而带来了完全专注于这个问题的角色。
比如说,Stephanie Benoit-Kurtz是Station Casinos的网络安全主管(该岗位的直属上司是首席信息安全官),也是菲尼克斯大学网络安全项目的系主任,Benoit-Kurtz的团队中有一名信息系统分析师,专注于管理内部风险和管理第三方风险,因为这两方面所需的技能几乎一样。然而,随着工作的需求和复杂性日增,她预计需要有人来全职管理第三方风险。
这些角色的职衔各有不同,无论为安全团队中的现有岗位增添全职岗位还是新职责。不管怎样,专家们表示,这个角色的关注点一样:审查第三方的安全政策和程序,并执行根据合同设定的标准。
IT服务管理公司Involta的首席信息安全官Annalea Ilg说:“你必须确保自己在管理这种风险,整个安全团队必须明白提供商的职责。”
DevSecOps安全工程师
Owanate Bestman是总部位于伦敦的技术和安全专业人员招聘公司Bestman Solutions的主管,他说:“应用软件仍然是防止泄密事件方面最薄弱的环节。开发安全运维(DevSecOps)是如今用来解决这个问题的最备受称赞的方法。DevSecOps方面有经验的求职者很抢手。”
他表示,信息安全领导人想要这样的应用软件安全工程师:深入了解DevOps方法,通晓DevOps管道工具,能够与开发团队合作(或者这方面有实际经验),非常清楚Web应用软件风险,当然还要有安全资格证书。
Sushila Nair是NTT数据服务公司的副总裁兼安全产品主管,还是国际信息系统审计协会(ISACA)大华盛顿分会的理事。她说,考虑到这些要求,人才供不应求也就不足为奇了。
Nair说:“DevSecOps并不新鲜,但是很难找到可以添加到你敏捷开发团队中的应用软件安全工程师。”她补充道,面临的挑战在于,找到集安全知识和应用软件开发经验于一身的人才。
威胁搜寻员
如今组织面临的众多威胁很复杂也很狡猾,这促使首席信息安全官设立新角色,以识别和应对这些威胁。
Stephenie Southard是伊利诺斯州弗农希尔斯的信用合作社BCU的首席信息安全官,她说:“我们需要的人几乎像安全分析师和威胁管理者的混合体,他们要查看所有的威胁分析工具、来自防火墙的日志以及其他监控工具,了解有什么样的威胁,回过头来告知相关人员。他们应该能够查看日志和警报,检测可疑活动,检测异常行为的某种模式,知道这是误报还是令人担忧的事件,还知道这表明的是情况紧急的风险还是并不重要的风险。”
Nair同样将威胁搜寻列为一种重要角色,她说:“我们需要实用的分析技能。SolarWinds及其他高级攻击已进一步加深了我们需要搜寻攻击者的下落这种认识。面对悄无声息的持续攻击,工具常常无法提醒我们,因此我们需要知道如何搜寻网络上的入侵者。”
漏洞风险分析师
同样,Southard认为需要能够跟踪和管理企业内部漏洞的人员。“这样才能脚踏实地地修复任何漏洞。”
她表示,她在2020年年中发现需要这一角色,当时多个因素结合在一起:从各种设备对公司系统进行远程访问,需要解决的漏洞层出不穷,以及组织面临的威胁越来越多。
Southard承认,大多数安全团队(包括她自己的团队)已有负责处理漏洞的工作人员。不过她表示,这项工作有时被挤到其他优先事项的后面。
于是她在2021年初设立了一个新岗位,进一步保证漏洞管理受到关注,因此这个人就有时间和权力将这项工作列为优先事项,甚至可以与供应商合作,根据组织设定的标准来解决问题。
她补充道:“这将确保解决漏洞享有优先权,并向监管部门等其他有关方表明,我们对于修复这些漏洞很重视。”
云安全架构师
据安全领导人、招聘人员和顾问声称,云安全架构师是需求量最大的角色之一。
Bestman说:“亟需的技能大多出于遵守监管法规的目的,旨在确保企业享有云平台好处的同时,降低监管和合规方面的风险。”
他表示,招聘经理需要云平台方面有经验的人,最好是受过特定平台培训或认证的人。他们还需要对安全规程有深入了解的人。
Nair说:“他有能力为云架构开发安全蓝图,知道需要什么样的安全工具来确保云资产安全,”并补充到,这些岗位的最佳人选在评估工具时,除了考虑所选择的工具对安全的影响外,还会考虑对财务的影响。
这个要求很高,不过Bestman表示,他看到拥有云经验的安全架构师在不断增多,其中更多的人在获取云认证,以提高在市场上的价值。
事件响应经理
2020年,Southard为其部门新增了一名事件响应经理。她表示,安全团队(包括她自己的团队)至少需要一名工作人员,负责密切关注如何最有效地处理各种事件;如果发生什么不测,可以做好充分准备。
她那位新设的事件响应经理(有时叫事件响应分析师)在过去的17年从事类似的岗位。这番经历对Southard来说很重要。她说:“我们需要经历过事件的人。”
Southard说,她设立这个岗位是为了确保安全部门能尽快做出响应,并协调可能起到作用的各项任务。
她解释:“这样就有一个人专门排查分类,召集人员,并搞清楚事件类型。”她补充到,这类经理应该知道如何处理从电话系统中断到个人身份信息泄露的各种事件,并知道如何针对这类事件给予相应的关注。
首席信息安全官
首席信息安全官岗位并不新鲜,但也不是很普遍的角色。
IDG公司的《2020年安全优先事项》研究报告发现,只有42%的中小企业设有首席信息安全官、首席安全官或其他高级安全主管,80%的大企业设有这些岗位。然而,就连一些超大规模企业仍没有高管级的网络安全岗位。比如说,安全供应商Bitglass的一项调查发现,2019年《财富》500强企业中38%没有首席信息安全官,其中只有16%由另一位高管(比如安全副总裁)负责网络安全战略。
专家们表示,这是个错误。
Southard表示,即便一家组织非常注重安全,但首席信息安全官的角色对于“向上和向下管理,并在高层设定基调来说仍然至关重要。组织能够因此真正获得深度防御战略也至关重要。”
作为一名高管,首席信息安全官有条件与其他高管共同制定战略,因此更有可能成功地定义和实施与组织风险相一致的安全做法。拥有高管头衔的首席信息安全官也更有能力让其他人遵守安全要求。
Benoit-Kurtz补充道:“如果贵组织没有首席信息安全官,那么就算有所谓兼职的虚拟首席信息安全官,也无异于定错了基调。”