構建優秀安全團隊的七大策略
安全團隊的功能失調帶來的危險很容易想象,從難以吸引和留住人才到讓企業運營面臨風險。構建優秀安全團隊可以幫助企業擺脫這樣的困境。
Oracle公司客戶服務副總裁兼首席信息安全官Brennan P.Baybeck將建立一個成功的團隊列為他作為首席信息安全官的首要職責之一。
他說,“如果你身邊有優秀的人,確保他們獲得成功并擁有他們所需要的東西(培訓、預算、合適的員工),那么就會有很大的安全感。但如果不把關注重點放在團隊上,就不會獲得成功。”
他表示,這種關注需要大量的資源以及職業規劃和指導,這樣才能最好地提升團隊成員的技能。成功的團隊還需要優秀的管理者、充足的資源和正確的組合責任。
沒有這一切,企業的業務安全就會受到影響。
調研機構Forrester公司在一份調查報告中指出,“在不良的安全文化扼殺創新之前,企業需要進行修復。安全團隊如果不團結將導致內訌和不愉快。這不僅會營造一種令人不快的工作環境,而且還有可能破壞安全團隊的聲譽,破壞團隊的誠信,并使企業面臨風險。”
那么首席信息安全官可以做些什么來處理這種情況?Baybeck和其他專家提出了七種構建優秀安全團隊的策略:
1.加速職業發展
NCC集團北美地區負責安全咨詢業務的首席運營官Nick Rowe表示,年度績效評估是企業對團隊成員的一項評估標準,但想要留住人才并最大限度地提高他們的專業知識,首席信息安全官應該更頻繁地安排評估。
他說,“在像信息安全領域這樣快節奏的世界中,采用傳統的審查周期沒有意義,尤其是對于安全團隊的初級成員,”
網絡安全工作者需要不斷增加新技能,以跟上專業和企業需求的步伐,而初級專業人員的技能在通常會以特別快的速度提升。
因此,與其他企業部門的員工相比,安全工作人員將快速提升他們的專業技能,從而提高他們的競爭力,而其他業務部門的員工在技能、技術和需求方面沒有安全行業那樣緊迫。
Rowe解釋說,首席信息安全官應該通過晉升、重新分配和加薪來認可團隊成員的快速發展。
2.創建支持角色
Baybeck表示,強大的安全團隊需要的不僅僅是網絡安全職位,他們還需要支持角色,例如業務運營專家、招聘人員和項目經理。
他認為,區別這些角色并聘請在這些領域擁有技能的專業人員,而不是讓安全專業人員將注意力從核心工作上轉移到處理這些任務上,這是具有戰略意義的。
他自己已經看到了這種方法的價值。他表示,企業需要幫助那些有額外負擔的人身上卸下責任,并雇傭支持角色來承擔項目管理和運營管理。這一舉措讓他的團隊有時間專注于主要的安全工作。
Baybeck說,“安全風險管理是一個永無止境的過程,因此企業讓安全團隊獲得他們需要的幫助,無論是通過現有的資源還是通過投資新資源,都可以幫助他們盡可能提高生產力。”他補充說,投資于自動化和流程改進也有助于提高團隊效率和生產力。
3.創建多樣化的安全團隊
美國關鍵基礎設施研究所發布的一份名為《2020年多樣化信息安全團隊的商業價值報告》表明,多元化的網絡安全團隊可以最大限度地提高企業將創新融入其工作的能力,并成為企業應對數字威脅的倍增器。明智的首席信息安全官將多樣性視為競爭優勢和解決日益嚴重的人才短缺問題的方法。
Baybeck對此表示認同。他說,“如果企業多年來招募都是同一類型的人才,那么在當前或未來都難以取得成功。企業需要招募具有不同的觀點和不同經驗的人才。”
Baybeck表示,他采取具體措施,努力在其帶來的團隊中創造更多的多樣性,例如要求招聘人員為應聘者建立廣泛的網絡,撰寫旨在吸引更多潛在應聘者的職位描述,以及與多家企業合作以提高影響力。
Forrester公司首席分析師者Jinan Budge表示,其他正在使團隊多樣化的首席信息安全官正在采取類似的方法。
她說,“他們針對招聘多樣化的應聘者制定了目標,而且他們的招聘小組成員的背景也各不相同。這項工作創建了更具創新性和創造力的團隊,因為能夠更好地看待網絡安全中的眾多問題,深入研究以前沒有深入研究過的事情,并改變對某些安全問題的看法。”
4.雇用和培養非技術技能
德勤會計師事務所負責人、德勤風險與財務咨詢公司美國網絡與戰略風險負責人Deborah Golden表示,強大的安全團隊由具備多種技能的團隊成員組成。
她說:“讓同樣的人用同樣的思維來解決問題,并不能得到想要的結果。企業需要有許多不同學科的人才更好地應對網絡攻擊的復雜性和業務的復雜性。”
Golden證實了這一點。她的一些團隊成員具有文科背景,其中包括一些考古學家和政治科學家。例如一位具有政治科學經驗的員工提出了與國際法相關的數據保護問題,而團隊中的其他人在一項特定的安全倡議中沒有解決這些問題。
安全培訓和專業協會(ISC)2的首席執行官Clar Rosso同樣給出建議,企業的首席信息安全官需要雇用具有分析、批判性和創造性思維能力以及解決問題的能力的員工,或者在現有員工中培養這些技能。
根據(ISC)2 2021網絡安全職業追求者的研究,網絡安全團隊需要建立彈性網絡安全團隊的路線圖,并將分析思維、解決問題、批判性思維、獨立和團隊工作能力以及創造力列為網絡安全人員最重要的軟技能。
Rosso說,“研究表明,多元化的團隊工作得更好。不同的團隊提出不同的想法來解決問題,并且在網絡安全威脅如此多變的情況下,這一點至關重要。”
5.培養堅強并具有韌性的團隊成員
培訓對于網絡安全專業人員跟上快速變化的工作需求至關重要。事實上,美國信息系統安全協會(ISSA)和企業戰略集團(ESG)發布了一份名為《2021年網絡安全專業人員的生活和時代》報告,此次研究對489名網絡安全專業人員進行了調查,其中91%的受訪者表示,保持他們的技能對于保護企業的安全至關重要。然而有59%的受訪者表示,工作要求往往會成為阻礙。
這份報告的作者就此向首席信息安全官發出警告:“這種培訓差距正在悄悄增加企業的網絡風險。為了解決這個問題,首席信息安全官必須推動企業確保在網絡安全人員的每個成員的日程安排中持續投入充足的培訓時間和資源。”
除了傳統的培訓計劃之外,Rosso還建議首席信息安全官實施輪換計劃,讓他們的員工在六到八周的時間內輪換不同的職位。這為員工提供學習或磨練不同技能的機會,從而增強團隊的整體實力,與此同時通過提供多樣化的任務和改變工作強度來防止工作倦怠。
Rosso承認,領導規模較小團隊的首席信息安全官可能難以實施這樣的計劃;對于這些團隊,她建議首席信息安全官在安全領域創建“部分”角色,并由其他部門(例如法律或風險部門)的工作人員擔任,他們可以在相關安全計劃方面分享他們的專業知識。
6.向團隊展示使命和總體目標
大型科技公司和初創公司由于其創造發展愿景來激勵員工,并使他們團結起來朝著共同目標前進而享有盛譽。首席信息安全官應該通過讓他們的團隊專注于企業的使命和總體目標來培養類似的企業文化。
Rowe說:“企業需要建立一種文化和目標,安全團隊需要前進的理由。這很重要。作為安全專業人士,致力于網絡安全是因為喜歡這樣的工作,但這樣做也是因為想要有所作為。”
安全團隊的員工也似乎認同這一觀點:根據ISSA-ESG的調查,79%的從事網絡安全的員工表示他們很高興從事自己的職業。但與此同時,許多人表示希望更多地參與其中。58%的受訪者表示,從一開始就讓安全人員參與所有IT項目對改善IT與安全團隊之間的工作關系最具意義,41%的受訪者表示,鼓勵網絡安全人員參與所有業務規劃和戰略將改善與企業管理層的工作關系。
7.讓團隊成員知道對他們有什么好處
為與企業戰略相關的安全部門制定愿景確實有助于讓團隊朝著同一個方向努力,同時Rowe表示,首席信息安全官向員工展示他們的個人價值同樣重要。
Rowe說,“安全專業人員知道它們的價值和需求,并且需要利用這些價值。因此,除了建立目標、愿景和文化之外,首席信息安全官還需要能夠向員工概述他們的未來是什么樣的,他們在企業的未來發展是什么樣的,他們如何利用企業所提供的服務,以及如何讓他們的職業生涯更上一層樓。”
他補充說,首席信息安全官必須通過企業提供的培訓、項目分配和晉升機會,使他們的員工能夠掌握他們在職業生涯中成長所需的技能。
Rowe補充道:“這一切都與建立職業生涯、保持透明并擁有校友網絡有關。”
(ISC)2研究在調查網絡安全專業人士是什么促使他們加入該領域時強化了這一觀點。他們認為解決問題的能力(54%)、對技能的高需求(50%)、適合的技能/興趣(46%)和職業發展機會(45%)是最主要的原因,幫助他人/社會的能力(44%)排在第五位,最后是薪酬(42%)。
