據(jù)普華永道的《2021年全球數(shù)字信任洞察報(bào)告》顯示， 51%的受訪高管表示，他們計(jì)劃在未來(lái)一年增加全職安全人員，22%的受訪者計(jì)劃將工作人員增加5%或更多。

企業(yè)團(tuán)隊(duì)繼續(xù)需要安全分析師、安全工程師和滲透測(cè)試員——所有這些角色在許多安全部門必不可少。不過(guò)如今，許多組織期望為安全團(tuán)隊(duì)增設(shè)其他崗位、設(shè)立新角色，并增加新職銜。

專家們?cè)诒疚闹薪榻B了他們認(rèn)為對(duì)IT安全很重要的八種角色。

[[409281]]

身份及訪問(wèn)管理工程師

企業(yè)安全領(lǐng)導(dǎo)人日益專注于開(kāi)發(fā)可靠的身份及訪問(wèn)管理(IAM)實(shí)踐;由于遠(yuǎn)程訪問(wèn)程度越來(lái)越高、需要隨時(shí)隨地工作以及多云環(huán)境不斷擴(kuò)大，IAM因而備受關(guān)注。

事實(shí)上，云安全聯(lián)盟發(fā)布的《2020年云身份安全現(xiàn)狀》報(bào)告發(fā)現(xiàn)，94%的受訪企業(yè)領(lǐng)導(dǎo)人將人類身份的特權(quán)和權(quán)限管理列為高優(yōu)先級(jí)或極高優(yōu)先級(jí)，77%的受訪者將機(jī)器身份的特權(quán)和權(quán)限管理列為高優(yōu)先級(jí)或極高優(yōu)先級(jí)。

正因?yàn)槿绱?，安全領(lǐng)導(dǎo)人在設(shè)立特定的角色，并設(shè)立IAM工程師或IAM分析師之類的職銜。

人事服務(wù)公司Robert Half Technology的執(zhí)行董事Jeff Weber預(yù)計(jì)，市場(chǎng)對(duì)這些專業(yè)人員的需求會(huì)繼續(xù)增長(zhǎng)。

他說(shuō)：“在今后幾個(gè)月，安全方面的要求納入到應(yīng)用軟件生命周期中將推動(dòng)需求。”他補(bǔ)充說(shuō)，他的公司看到，首席信息安全官(CISO)讓擁有出色的問(wèn)題解決和分析技能的員工獲得勝任這些角色所需要的技術(shù)經(jīng)驗(yàn)，以提高技能。

管理第三方風(fēng)險(xiǎn)的經(jīng)理人

首席信息安全官們已注意到威脅有可能通過(guò)合作伙伴和供應(yīng)商進(jìn)入自己的業(yè)務(wù)運(yùn)營(yíng)系統(tǒng)，這促使他們更加關(guān)注與第三方有關(guān)的風(fēng)險(xiǎn)。安全領(lǐng)導(dǎo)人、招聘人員和高管顧問(wèn)們均認(rèn)為，這進(jìn)而帶來(lái)了完全專注于這個(gè)問(wèn)題的角色。

比如說(shuō)，Stephanie Benoit-Kurtz是Station Casinos的網(wǎng)絡(luò)安全主管(該崗位的直屬上司是首席信息安全官)，也是菲尼克斯大學(xué)網(wǎng)絡(luò)安全項(xiàng)目的系主任，Benoit-Kurtz的團(tuán)隊(duì)中有一名信息系統(tǒng)分析師，專注于管理內(nèi)部風(fēng)險(xiǎn)和管理第三方風(fēng)險(xiǎn)，因?yàn)檫@兩方面所需的技能幾乎一樣。然而，隨著工作的需求和復(fù)雜性日增，她預(yù)計(jì)需要有人來(lái)全職管理第三方風(fēng)險(xiǎn)。

這些角色的職銜各有不同，無(wú)論為安全團(tuán)隊(duì)中的現(xiàn)有崗位增添全職崗位還是新職責(zé)。不管怎樣，專家們表示，這個(gè)角色的關(guān)注點(diǎn)一樣：審查第三方的安全政策和程序，并執(zhí)行根據(jù)合同設(shè)定的標(biāo)準(zhǔn)。

IT服務(wù)管理公司Involta的首席信息安全官Annalea Ilg說(shuō)：“你必須確保自己在管理這種風(fēng)險(xiǎn)，整個(gè)安全團(tuán)隊(duì)必須明白提供商的職責(zé)。”

DevSecOps安全工程師

Owanate Bestman是總部位于倫敦的技術(shù)和安全專業(yè)人員招聘公司Bestman Solutions的主管，他說(shuō)：“應(yīng)用軟件仍然是防止泄密事件方面最薄弱的環(huán)節(jié)。開(kāi)發(fā)安全運(yùn)維(DevSecOps)是如今用來(lái)解決這個(gè)問(wèn)題的最備受稱贊的方法。DevSecOps方面有經(jīng)驗(yàn)的求職者很搶手。”

他表示，信息安全領(lǐng)導(dǎo)人想要這樣的應(yīng)用軟件安全工程師：深入了解DevOps方法，通曉DevOps管道工具，能夠與開(kāi)發(fā)團(tuán)隊(duì)合作(或者這方面有實(shí)際經(jīng)驗(yàn))，非常清楚Web應(yīng)用軟件風(fēng)險(xiǎn)，當(dāng)然還要有安全資格證書。

Sushila Nair是NTT數(shù)據(jù)服務(wù)公司的副總裁兼安全產(chǎn)品主管，還是國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)(ISACA)大華盛頓分會(huì)的理事。她說(shuō)，考慮到這些要求，人才供不應(yīng)求也就不足為奇了。

Nair說(shuō)：“DevSecOps并不新鮮，但是很難找到可以添加到你敏捷開(kāi)發(fā)團(tuán)隊(duì)中的應(yīng)用軟件安全工程師。”她補(bǔ)充道，面臨的挑戰(zhàn)在于，找到集安全知識(shí)和應(yīng)用軟件開(kāi)發(fā)經(jīng)驗(yàn)于一身的人才。

威脅搜尋員

如今組織面臨的眾多威脅很復(fù)雜也很狡猾，這促使首席信息安全官設(shè)立新角色，以識(shí)別和應(yīng)對(duì)這些威脅。

Stephenie Southard是伊利諾斯州弗農(nóng)希爾斯的信用合作社BCU的首席信息安全官，她說(shuō)：“我們需要的人幾乎像安全分析師和威脅管理者的混合體，他們要查看所有的威脅分析工具、來(lái)自防火墻的日志以及其他監(jiān)控工具，了解有什么樣的威脅，回過(guò)頭來(lái)告知相關(guān)人員。他們應(yīng)該能夠查看日志和警報(bào)，檢測(cè)可疑活動(dòng)，檢測(cè)異常行為的某種模式，知道這是誤報(bào)還是令人擔(dān)憂的事件，還知道這表明的是情況緊急的風(fēng)險(xiǎn)還是并不重要的風(fēng)險(xiǎn)。”

Nair同樣將威脅搜尋列為一種重要角色，她說(shuō)：“我們需要實(shí)用的分析技能。SolarWinds及其他高級(jí)攻擊已進(jìn)一步加深了我們需要搜尋攻擊者的下落這種認(rèn)識(shí)。面對(duì)悄無(wú)聲息的持續(xù)攻擊，工具常常無(wú)法提醒我們，因此我們需要知道如何搜尋網(wǎng)絡(luò)上的入侵者。”

漏洞風(fēng)險(xiǎn)分析師

同樣，Southard認(rèn)為需要能夠跟蹤和管理企業(yè)內(nèi)部漏洞的人員。“這樣才能腳踏實(shí)地地修復(fù)任何漏洞。”

她表示，她在2020年年中發(fā)現(xiàn)需要這一角色，當(dāng)時(shí)多個(gè)因素結(jié)合在一起：從各種設(shè)備對(duì)公司系統(tǒng)進(jìn)行遠(yuǎn)程訪問(wèn)，需要解決的漏洞層出不窮，以及組織面臨的威脅越來(lái)越多。

Southard承認(rèn)，大多數(shù)安全團(tuán)隊(duì)(包括她自己的團(tuán)隊(duì))已有負(fù)責(zé)處理漏洞的工作人員。不過(guò)她表示，這項(xiàng)工作有時(shí)被擠到其他優(yōu)先事項(xiàng)的后面。

于是她在2021年初設(shè)立了一個(gè)新崗位，進(jìn)一步保證漏洞管理受到關(guān)注，因此這個(gè)人就有時(shí)間和權(quán)力將這項(xiàng)工作列為優(yōu)先事項(xiàng)，甚至可以與供應(yīng)商合作，根據(jù)組織設(shè)定的標(biāo)準(zhǔn)來(lái)解決問(wèn)題。

她補(bǔ)充道：“這將確保解決漏洞享有優(yōu)先權(quán)，并向監(jiān)管部門等其他有關(guān)方表明，我們對(duì)于修復(fù)這些漏洞很重視。”

云安全架構(gòu)師

據(jù)安全領(lǐng)導(dǎo)人、招聘人員和顧問(wèn)聲稱，云安全架構(gòu)師是需求量最大的角色之一。

Bestman說(shuō)：“亟需的技能大多出于遵守監(jiān)管法規(guī)的目的，旨在確保企業(yè)享有云平臺(tái)好處的同時(shí)，降低監(jiān)管和合規(guī)方面的風(fēng)險(xiǎn)。”

他表示，招聘經(jīng)理需要云平臺(tái)方面有經(jīng)驗(yàn)的人，最好是受過(guò)特定平臺(tái)培訓(xùn)或認(rèn)證的人。他們還需要對(duì)安全規(guī)程有深入了解的人。

Nair說(shuō)：“他有能力為云架構(gòu)開(kāi)發(fā)安全藍(lán)圖，知道需要什么樣的安全工具來(lái)確保云資產(chǎn)安全，”并補(bǔ)充到，這些崗位的最佳人選在評(píng)估工具時(shí)，除了考慮所選擇的工具對(duì)安全的影響外，還會(huì)考慮對(duì)財(cái)務(wù)的影響。

這個(gè)要求很高，不過(guò)Bestman表示，他看到擁有云經(jīng)驗(yàn)的安全架構(gòu)師在不斷增多，其中更多的人在獲取云認(rèn)證，以提高在市場(chǎng)上的價(jià)值。

事件響應(yīng)經(jīng)理

2020年，Southard為其部門新增了一名事件響應(yīng)經(jīng)理。她表示，安全團(tuán)隊(duì)(包括她自己的團(tuán)隊(duì))至少需要一名工作人員，負(fù)責(zé)密切關(guān)注如何最有效地處理各種事件;如果發(fā)生什么不測(cè)，可以做好充分準(zhǔn)備。

她那位新設(shè)的事件響應(yīng)經(jīng)理(有時(shí)叫事件響應(yīng)分析師)在過(guò)去的17年從事類似的崗位。這番經(jīng)歷對(duì)Southard來(lái)說(shuō)很重要。她說(shuō)：“我們需要經(jīng)歷過(guò)事件的人。”

Southard說(shuō)，她設(shè)立這個(gè)崗位是為了確保安全部門能盡快做出響應(yīng)，并協(xié)調(diào)可能起到作用的各項(xiàng)任務(wù)。

她解釋：“這樣就有一個(gè)人專門排查分類，召集人員，并搞清楚事件類型。”她補(bǔ)充到，這類經(jīng)理應(yīng)該知道如何處理從電話系統(tǒng)中斷到個(gè)人身份信息泄露的各種事件，并知道如何針對(duì)這類事件給予相應(yīng)的關(guān)注。

首席信息安全官

首席信息安全官崗位并不新鮮，但也不是很普遍的角色。

IDG公司的《2020年安全優(yōu)先事項(xiàng)》研究報(bào)告發(fā)現(xiàn)，只有42%的中小企業(yè)設(shè)有首席信息安全官、首席安全官或其他高級(jí)安全主管，80%的大企業(yè)設(shè)有這些崗位。然而，就連一些超大規(guī)模企業(yè)仍沒(méi)有高管級(jí)的網(wǎng)絡(luò)安全崗位。比如說(shuō)，安全供應(yīng)商Bitglass的一項(xiàng)調(diào)查發(fā)現(xiàn)，2019年《財(cái)富》500強(qiáng)企業(yè)中38%沒(méi)有首席信息安全官，其中只有16%由另一位高管(比如安全副總裁)負(fù)責(zé)網(wǎng)絡(luò)安全戰(zhàn)略。

專家們表示，這是個(gè)錯(cuò)誤。

Southard表示，即便一家組織非常注重安全，但首席信息安全官的角色對(duì)于“向上和向下管理，并在高層設(shè)定基調(diào)來(lái)說(shuō)仍然至關(guān)重要。組織能夠因此真正獲得深度防御戰(zhàn)略也至關(guān)重要。”

作為一名高管，首席信息安全官有條件與其他高管共同制定戰(zhàn)略，因此更有可能成功地定義和實(shí)施與組織風(fēng)險(xiǎn)相一致的安全做法。擁有高管頭銜的首席信息安全官也更有能力讓其他人遵守安全要求。

Benoit-Kurtz補(bǔ)充道：“如果貴組織沒(méi)有首席信息安全官，那么就算有所謂兼職的虛擬首席信息安全官，也無(wú)異于定錯(cuò)了基調(diào)。”