IT運營安全(ITOps)可能是一門難以學(xué)習(xí)的語言，但是為了獲得最佳的安全性能、準確性和協(xié)調(diào)性，企業(yè)應(yīng)該投資于對ITOps團隊的培訓(xùn)。

ITOps團隊在安全方面越熟練，在部署IT安全概念和工具時遇到的障礙就越少。在本文中，我們將探討為什么ITOps中存在IT安全缺陷、技能差距在哪里以及如何使企業(yè)的IT支持人員與時俱進。

[[319397]]

我最近與Open Commons Consortium的首席信息安全官Plamen Martinov談到了ITOps安全流暢性缺陷，該組織支持醫(yī)學(xué)和科學(xué)界的云計算舉措。他已經(jīng)多次目睹了這個問題。他說，通常情況下，安全事件只會引起一線IT員工的注意，由于缺乏了解或無效且孤立的通信渠道而導(dǎo)致處理不當。對于ITOps人員技能水平的錯誤假設(shè)是一個促成因素，特別是因為與其他人相比，ITOps是一個相對較新的領(lǐng)域。

營銷、會計和金融等都是穩(wěn)定的職業(yè)，這些職業(yè)都需要接受很多前期培訓(xùn)和持續(xù)培訓(xùn)，為工作人員取得成功提供必不可少的基礎(chǔ)。根據(jù)Martinov的說法，與其他組織角色相比，IT是一個非常新的概念，他們得到不同的對待，并且ITOps專業(yè)人員沒有接受相同的培訓(xùn)。人們通常認為IT領(lǐng)域的每個人都精通IT安全流程和程序，但Martinov表示，事實并非如此。

ITOps員工需要通用安全語言和工具

盡管ITOps員工不需要成為IT安全專家，但Martinov表示，了解企業(yè)安全策略并傳達基本知識很重要。因此，通用語言對于在團隊之間成功交換信息至關(guān)重要。例如，如果正確實施，NIST網(wǎng)絡(luò)安全框架可以為不同IT部門的員工提供一種易于理解的語言進行溝通、協(xié)調(diào)和協(xié)作。

另一個IT運營安全培訓(xùn)的差距圍繞著保護和監(jiān)控公司基礎(chǔ)架構(gòu)的工具。很多企業(yè)僅允許安全團隊訪問這些工具。因此，只有IT安全管理員獲得培訓(xùn)，只有他們才能正確讀取工具生成的警報并對警報做出反應(yīng)-這使其他前線工作人員陷入困境。此外，ITOps團隊通常會部署自己的安全監(jiān)視工具，而不是共享已經(jīng)存在的現(xiàn)有監(jiān)視工具。這會造成不必要的重疊，并最終在IT部門內(nèi)造成工具混亂。

Martinov的建議：應(yīng)允許ITOps訪問安全程序的技術(shù)，使企業(yè)內(nèi)部的安全性更加開放，以及充分培訓(xùn)員工正確使用這些工具。他說，在某些情況下，供應(yīng)商為IT運營人員創(chuàng)建專門的安全工具儀表板和功能，幫助他們完成繁重的工作。他強調(diào)，如果ITOps團隊可以獲得并查看安全團隊相同安全信息，他們將能夠利用他們的知識和經(jīng)驗做出正確的安全決策。

ITOps安全需要文化變革

實現(xiàn)ITOps安全需要從內(nèi)部進行文化變革。企業(yè)領(lǐng)導(dǎo)者必須重新評估他們愿意承受的IT安全風(fēng)險級別。現(xiàn)在人們越來越擔心企業(yè)中的數(shù)據(jù)失竊和丟失，因此業(yè)務(wù)主管對風(fēng)險的容忍度可能會比以前想象的要小。如果是這樣的話，那么，根據(jù)Martinov的說法，談?wù)搶踩旁谑孜缓桶踩旁谑孜粚⑹莾苫厥隆?/p>

他建議，首先業(yè)務(wù)領(lǐng)導(dǎo)者應(yīng)關(guān)注企業(yè)的形象。他們必須確定對于網(wǎng)絡(luò)安全企業(yè)希望成為什么樣的公司，并且必須清楚地了解該形象。然后，他們可以開始進行組織性和文化變革以實現(xiàn)該形象。在Martinov看來，積極成果是短暫的，除非良好的安全習(xí)慣成為企業(yè)形象的一部分，而這只能通過持續(xù)不斷的培訓(xùn)來實現(xiàn)。