安全团队的功能失调带来的危险很容易想象,从难以吸引和留住人才到让企业运营面临风险。构建优秀安全团队可以帮助企业摆脱这样的困境。
Oracle公司客户服务副总裁兼首席信息安全官Brennan P.Baybeck将建立一个成功的团队列为他作为首席信息安全官的首要职责之一。
他说,“如果你身边有优秀的人,确保他们获得成功并拥有他们所需要的东西(培训、预算、合适的员工),那么就会有很大的安全感。但如果不把关注重点放在团队上,就不会获得成功。”
他表示,这种关注需要大量的资源以及职业规划和指导,这样才能最好地提升团队成员的技能。成功的团队还需要优秀的管理者、充足的资源和正确的组合责任。
没有这一切,企业的业务安全就会受到影响。
调研机构Forrester公司在一份调查报告中指出,“在不良的安全文化扼杀创新之前,企业需要进行修复。安全团队如果不团结将导致内讧和不愉快。这不仅会营造一种令人不快的工作环境,而且还有可能破坏安全团队的声誉,破坏团队的诚信,并使企业面临风险。”
那么首席信息安全官可以做些什么来处理这种情况?Baybeck和其他专家提出了七种构建优秀安全团队的策略:
1.加速职业发展
NCC集团北美地区负责安全咨询业务的首席运营官Nick Rowe表示,年度绩效评估是企业对团队成员的一项评估标准,但想要留住人才并最大限度地提高他们的专业知识,首席信息安全官应该更频繁地安排评估。
他说,“在像信息安全领域这样快节奏的世界中,采用传统的审查周期没有意义,尤其是对于安全团队的初级成员,”
网络安全工作者需要不断增加新技能,以跟上专业和企业需求的步伐,而初级专业人员的技能在通常会以特别快的速度提升。
因此,与其他企业部门的员工相比,安全工作人员将快速提升他们的专业技能,从而提高他们的竞争力,而其他业务部门的员工在技能、技术和需求方面没有安全行业那样紧迫。
Rowe解释说,首席信息安全官应该通过晋升、重新分配和加薪来认可团队成员的快速发展。
2.创建支持角色
Baybeck表示,强大的安全团队需要的不仅仅是网络安全职位,他们还需要支持角色,例如业务运营专家、招聘人员和项目经理。
他认为,区别这些角色并聘请在这些领域拥有技能的专业人员,而不是让安全专业人员将注意力从核心工作上转移到处理这些任务上,这是具有战略意义的。
他自己已经看到了这种方法的价值。他表示,企业需要帮助那些有额外负担的人身上卸下责任,并雇佣支持角色来承担项目管理和运营管理。这一举措让他的团队有时间专注于主要的安全工作。
Baybeck说,“安全风险管理是一个永无止境的过程,因此企业让安全团队获得他们需要的帮助,无论是通过现有的资源还是通过投资新资源,都可以帮助他们尽可能提高生产力。”他补充说,投资于自动化和流程改进也有助于提高团队效率和生产力。
3.创建多样化的安全团队
美国关键基础设施研究所发布的一份名为《2020年多样化信息安全团队的商业价值报告》表明,多元化的网络安全团队可以最大限度地提高企业将创新融入其工作的能力,并成为企业应对数字威胁的倍增器。明智的首席信息安全官将多样性视为竞争优势和解决日益严重的人才短缺问题的方法。
Baybeck对此表示认同。他说,“如果企业多年来招募都是同一类型的人才,那么在当前或未来都难以取得成功。企业需要招募具有不同的观点和不同经验的人才。”
Baybeck表示,他采取具体措施,努力在其带来的团队中创造更多的多样性,例如要求招聘人员为应聘者建立广泛的网络,撰写旨在吸引更多潜在应聘者的职位描述,以及与多家企业合作以提高影响力。
Forrester公司首席分析师者Jinan Budge表示,其他正在使团队多样化的首席信息安全官正在采取类似的方法。
她说,“他们针对招聘多样化的应聘者制定了目标,而且他们的招聘小组成员的背景也各不相同。这项工作创建了更具创新性和创造力的团队,因为能够更好地看待网络安全中的众多问题,深入研究以前没有深入研究过的事情,并改变对某些安全问题的看法。”
4.雇用和培养非技术技能
德勤会计师事务所负责人、德勤风险与财务咨询公司美国网络与战略风险负责人Deborah Golden表示,强大的安全团队由具备多种技能的团队成员组成。
她说:“让同样的人用同样的思维来解决问题,并不能得到想要的结果。企业需要有许多不同学科的人才更好地应对网络攻击的复杂性和业务的复杂性。”
Golden证实了这一点。她的一些团队成员具有文科背景,其中包括一些考古学家和政治科学家。例如一位具有政治科学经验的员工提出了与国际法相关的数据保护问题,而团队中的其他人在一项特定的安全倡议中没有解决这些问题。
安全培训和专业协会(ISC)2的首席执行官Clar Rosso同样给出建议,企业的首席信息安全官需要雇用具有分析、批判性和创造性思维能力以及解决问题的能力的员工,或者在现有员工中培养这些技能。
根据(ISC)2 2021网络安全职业追求者的研究,网络安全团队需要建立弹性网络安全团队的路线图,并将分析思维、解决问题、批判性思维、独立和团队工作能力以及创造力列为网络安全人员最重要的软技能。
Rosso说,“研究表明,多元化的团队工作得更好。不同的团队提出不同的想法来解决问题,并且在网络安全威胁如此多变的情况下,这一点至关重要。”
5.培养坚强并具有韧性的团队成员
培训对于网络安全专业人员跟上快速变化的工作需求至关重要。事实上,美国信息系统安全协会(ISSA)和企业战略集团(ESG)发布了一份名为《2021年网络安全专业人员的生活和时代》报告,此次研究对489名网络安全专业人员进行了调查,其中91%的受访者表示,保持他们的技能对于保护企业的安全至关重要。然而有59%的受访者表示,工作要求往往会成为阻碍。
这份报告的作者就此向首席信息安全官发出警告:“这种培训差距正在悄悄增加企业的网络风险。为了解决这个问题,首席信息安全官必须推动企业确保在网络安全人员的每个成员的日程安排中持续投入充足的培训时间和资源。”
除了传统的培训计划之外,Rosso还建议首席信息安全官实施轮换计划,让他们的员工在六到八周的时间内轮换不同的职位。这为员工提供学习或磨练不同技能的机会,从而增强团队的整体实力,与此同时通过提供多样化的任务和改变工作强度来防止工作倦怠。
Rosso承认,领导规模较小团队的首席信息安全官可能难以实施这样的计划;对于这些团队,她建议首席信息安全官在安全领域创建“部分”角色,并由其他部门(例如法律或风险部门)的工作人员担任,他们可以在相关安全计划方面分享他们的专业知识。
6.向团队展示使命和总体目标
大型科技公司和初创公司由于其创造发展愿景来激励员工,并使他们团结起来朝着共同目标前进而享有盛誉。首席信息安全官应该通过让他们的团队专注于企业的使命和总体目标来培养类似的企业文化。
Rowe说:“企业需要建立一种文化和目标,安全团队需要前进的理由。这很重要。作为安全专业人士,致力于网络安全是因为喜欢这样的工作,但这样做也是因为想要有所作为。”
安全团队的员工也似乎认同这一观点:根据ISSA-ESG的调查,79%的从事网络安全的员工表示他们很高兴从事自己的职业。但与此同时,许多人表示希望更多地参与其中。58%的受访者表示,从一开始就让安全人员参与所有IT项目对改善IT与安全团队之间的工作关系最具意义,41%的受访者表示,鼓励网络安全人员参与所有业务规划和战略将改善与企业管理层的工作关系。
7.让团队成员知道对他们有什么好处
为与企业战略相关的安全部门制定愿景确实有助于让团队朝着同一个方向努力,同时Rowe表示,首席信息安全官向员工展示他们的个人价值同样重要。
Rowe说,“安全专业人员知道它们的价值和需求,并且需要利用这些价值。因此,除了建立目标、愿景和文化之外,首席信息安全官还需要能够向员工概述他们的未来是什么样的,他们在企业的未来发展是什么样的,他们如何利用企业所提供的服务,以及如何让他们的职业生涯更上一层楼。”
他补充说,首席信息安全官必须通过企业提供的培训、项目分配和晋升机会,使他们的员工能够掌握他们在职业生涯中成长所需的技能。
Rowe补充道:“这一切都与建立职业生涯、保持透明并拥有校友网络有关。”
(ISC)2研究在调查网络安全专业人士是什么促使他们加入该领域时强化了这一观点。他们认为解决问题的能力(54%)、对技能的高需求(50%)、适合的技能/兴趣(46%)和职业发展机会(45%)是最主要的原因,帮助他人/社会的能力(44%)排在第五位,最后是薪酬(42%)。