[[426934]]

安全團(tuán)隊的功能失調(diào)帶來的危險很容易想象，從難以吸引和留住人才到讓企業(yè)運營面臨風(fēng)險。構(gòu)建優(yōu)秀安全團(tuán)隊可以幫助企業(yè)擺脫這樣的困境。

Oracle公司客戶服務(wù)副總裁兼首席信息安全官Brennan P.Baybeck將建立一個成功的團(tuán)隊列為他作為首席信息安全官的首要職責(zé)之一。

他說，“如果你身邊有優(yōu)秀的人，確保他們獲得成功并擁有他們所需要的東西(培訓(xùn)、預(yù)算、合適的員工)，那么就會有很大的安全感。但如果不把關(guān)注重點放在團(tuán)隊上，就不會獲得成功。”

他表示，這種關(guān)注需要大量的資源以及職業(yè)規(guī)劃和指導(dǎo)，這樣才能最好地提升團(tuán)隊成員的技能。成功的團(tuán)隊還需要優(yōu)秀的管理者、充足的資源和正確的組合責(zé)任。

沒有這一切，企業(yè)的業(yè)務(wù)安全就會受到影響。

調(diào)研機構(gòu)Forrester公司在一份調(diào)查報告中指出，“在不良的安全文化扼殺創(chuàng)新之前，企業(yè)需要進(jìn)行修復(fù)。安全團(tuán)隊如果不團(tuán)結(jié)將導(dǎo)致內(nèi)訌和不愉快。這不僅會營造一種令人不快的工作環(huán)境，而且還有可能破壞安全團(tuán)隊的聲譽，破壞團(tuán)隊的誠信，并使企業(yè)面臨風(fēng)險。”

那么首席信息安全官可以做些什么來處理這種情況?Baybeck和其他專家提出了七種構(gòu)建優(yōu)秀安全團(tuán)隊的策略：

1.加速職業(yè)發(fā)展

NCC集團(tuán)北美地區(qū)負(fù)責(zé)安全咨詢業(yè)務(wù)的首席運營官Nick Rowe表示，年度績效評估是企業(yè)對團(tuán)隊成員的一項評估標(biāo)準(zhǔn)，但想要留住人才并最大限度地提高他們的專業(yè)知識，首席信息安全官應(yīng)該更頻繁地安排評估。

他說，“在像信息安全領(lǐng)域這樣快節(jié)奏的世界中，采用傳統(tǒng)的審查周期沒有意義，尤其是對于安全團(tuán)隊的初級成員，”

網(wǎng)絡(luò)安全工作者需要不斷增加新技能，以跟上專業(yè)和企業(yè)需求的步伐，而初級專業(yè)人員的技能在通常會以特別快的速度提升。

因此，與其他企業(yè)部門的員工相比，安全工作人員將快速提升他們的專業(yè)技能，從而提高他們的競爭力，而其他業(yè)務(wù)部門的員工在技能、技術(shù)和需求方面沒有安全行業(yè)那樣緊迫。

Rowe解釋說，首席信息安全官應(yīng)該通過晉升、重新分配和加薪來認(rèn)可團(tuán)隊成員的快速發(fā)展。

2.創(chuàng)建支持角色

Baybeck表示，強大的安全團(tuán)隊需要的不僅僅是網(wǎng)絡(luò)安全職位，他們還需要支持角色，例如業(yè)務(wù)運營專家、招聘人員和項目經(jīng)理。

他認(rèn)為，區(qū)別這些角色并聘請在這些領(lǐng)域擁有技能的專業(yè)人員，而不是讓安全專業(yè)人員將注意力從核心工作上轉(zhuǎn)移到處理這些任務(wù)上，這是具有戰(zhàn)略意義的。

他自己已經(jīng)看到了這種方法的價值。他表示，企業(yè)需要幫助那些有額外負(fù)擔(dān)的人身上卸下責(zé)任，并雇傭支持角色來承擔(dān)項目管理和運營管理。這一舉措讓他的團(tuán)隊有時間專注于主要的安全工作。

Baybeck說，“安全風(fēng)險管理是一個永無止境的過程，因此企業(yè)讓安全團(tuán)隊獲得他們需要的幫助，無論是通過現(xiàn)有的資源還是通過投資新資源，都可以幫助他們盡可能提高生產(chǎn)力。”他補充說，投資于自動化和流程改進(jìn)也有助于提高團(tuán)隊效率和生產(chǎn)力。

3.創(chuàng)建多樣化的安全團(tuán)隊

美國關(guān)鍵基礎(chǔ)設(shè)施研究所發(fā)布的一份名為《2020年多樣化信息安全團(tuán)隊的商業(yè)價值報告》表明，多元化的網(wǎng)絡(luò)安全團(tuán)隊可以最大限度地提高企業(yè)將創(chuàng)新融入其工作的能力，并成為企業(yè)應(yīng)對數(shù)字威脅的倍增器。明智的首席信息安全官將多樣性視為競爭優(yōu)勢和解決日益嚴(yán)重的人才短缺問題的方法。

Baybeck對此表示認(rèn)同。他說，“如果企業(yè)多年來招募都是同一類型的人才，那么在當(dāng)前或未來都難以取得成功。企業(yè)需要招募具有不同的觀點和不同經(jīng)驗的人才。”

Baybeck表示，他采取具體措施，努力在其帶來的團(tuán)隊中創(chuàng)造更多的多樣性，例如要求招聘人員為應(yīng)聘者建立廣泛的網(wǎng)絡(luò)，撰寫旨在吸引更多潛在應(yīng)聘者的職位描述，以及與多家企業(yè)合作以提高影響力。

Forrester公司首席分析師者Jinan Budge表示，其他正在使團(tuán)隊多樣化的首席信息安全官正在采取類似的方法。

她說，“他們針對招聘多樣化的應(yīng)聘者制定了目標(biāo)，而且他們的招聘小組成員的背景也各不相同。這項工作創(chuàng)建了更具創(chuàng)新性和創(chuàng)造力的團(tuán)隊，因為能夠更好地看待網(wǎng)絡(luò)安全中的眾多問題，深入研究以前沒有深入研究過的事情，并改變對某些安全問題的看法。”

4.雇用和培養(yǎng)非技術(shù)技能

德勤會計師事務(wù)所負(fù)責(zé)人、德勤風(fēng)險與財務(wù)咨詢公司美國網(wǎng)絡(luò)與戰(zhàn)略風(fēng)險負(fù)責(zé)人Deborah Golden表示，強大的安全團(tuán)隊由具備多種技能的團(tuán)隊成員組成。

她說：“讓同樣的人用同樣的思維來解決問題，并不能得到想要的結(jié)果。企業(yè)需要有許多不同學(xué)科的人才更好地應(yīng)對網(wǎng)絡(luò)攻擊的復(fù)雜性和業(yè)務(wù)的復(fù)雜性。”

Golden證實了這一點。她的一些團(tuán)隊成員具有文科背景，其中包括一些考古學(xué)家和政治科學(xué)家。例如一位具有政治科學(xué)經(jīng)驗的員工提出了與國際法相關(guān)的數(shù)據(jù)保護(hù)問題，而團(tuán)隊中的其他人在一項特定的安全倡議中沒有解決這些問題。

安全培訓(xùn)和專業(yè)協(xié)會(ISC)2的首席執(zhí)行官Clar Rosso同樣給出建議，企業(yè)的首席信息安全官需要雇用具有分析、批判性和創(chuàng)造性思維能力以及解決問題的能力的員工，或者在現(xiàn)有員工中培養(yǎng)這些技能。

根據(jù)(ISC)2 2021網(wǎng)絡(luò)安全職業(yè)追求者的研究，網(wǎng)絡(luò)安全團(tuán)隊需要建立彈性網(wǎng)絡(luò)安全團(tuán)隊的路線圖，并將分析思維、解決問題、批判性思維、獨立和團(tuán)隊工作能力以及創(chuàng)造力列為網(wǎng)絡(luò)安全人員最重要的軟技能。

Rosso說，“研究表明，多元化的團(tuán)隊工作得更好。不同的團(tuán)隊提出不同的想法來解決問題，并且在網(wǎng)絡(luò)安全威脅如此多變的情況下，這一點至關(guān)重要。”

5.培養(yǎng)堅強并具有韌性的團(tuán)隊成員

培訓(xùn)對于網(wǎng)絡(luò)安全專業(yè)人員跟上快速變化的工作需求至關(guān)重要。事實上，美國信息系統(tǒng)安全協(xié)會(ISSA)和企業(yè)戰(zhàn)略集團(tuán)(ESG)發(fā)布了一份名為《2021年網(wǎng)絡(luò)安全專業(yè)人員的生活和時代》報告，此次研究對489名網(wǎng)絡(luò)安全專業(yè)人員進(jìn)行了調(diào)查，其中91%的受訪者表示，保持他們的技能對于保護(hù)企業(yè)的安全至關(guān)重要。然而有59%的受訪者表示，工作要求往往會成為阻礙。

這份報告的作者就此向首席信息安全官發(fā)出警告：“這種培訓(xùn)差距正在悄悄增加企業(yè)的網(wǎng)絡(luò)風(fēng)險。為了解決這個問題，首席信息安全官必須推動企業(yè)確保在網(wǎng)絡(luò)安全人員的每個成員的日程安排中持續(xù)投入充足的培訓(xùn)時間和資源。”

除了傳統(tǒng)的培訓(xùn)計劃之外，Rosso還建議首席信息安全官實施輪換計劃，讓他們的員工在六到八周的時間內(nèi)輪換不同的職位。這為員工提供學(xué)習(xí)或磨練不同技能的機會，從而增強團(tuán)隊的整體實力，與此同時通過提供多樣化的任務(wù)和改變工作強度來防止工作倦怠。

Rosso承認(rèn)，領(lǐng)導(dǎo)規(guī)模較小團(tuán)隊的首席信息安全官可能難以實施這樣的計劃;對于這些團(tuán)隊，她建議首席信息安全官在安全領(lǐng)域創(chuàng)建“部分”角色，并由其他部門(例如法律或風(fēng)險部門)的工作人員擔(dān)任，他們可以在相關(guān)安全計劃方面分享他們的專業(yè)知識。

6.向團(tuán)隊展示使命和總體目標(biāo)

大型科技公司和初創(chuàng)公司由于其創(chuàng)造發(fā)展愿景來激勵員工，并使他們團(tuán)結(jié)起來朝著共同目標(biāo)前進(jìn)而享有盛譽。首席信息安全官應(yīng)該通過讓他們的團(tuán)隊專注于企業(yè)的使命和總體目標(biāo)來培養(yǎng)類似的企業(yè)文化。

Rowe說：“企業(yè)需要建立一種文化和目標(biāo)，安全團(tuán)隊需要前進(jìn)的理由。這很重要。作為安全專業(yè)人士，致力于網(wǎng)絡(luò)安全是因為喜歡這樣的工作，但這樣做也是因為想要有所作為。”

安全團(tuán)隊的員工也似乎認(rèn)同這一觀點：根據(jù)ISSA-ESG的調(diào)查，79%的從事網(wǎng)絡(luò)安全的員工表示他們很高興從事自己的職業(yè)。但與此同時，許多人表示希望更多地參與其中。58%的受訪者表示，從一開始就讓安全人員參與所有IT項目對改善IT與安全團(tuán)隊之間的工作關(guān)系最具意義，41%的受訪者表示，鼓勵網(wǎng)絡(luò)安全人員參與所有業(yè)務(wù)規(guī)劃和戰(zhàn)略將改善與企業(yè)管理層的工作關(guān)系。

7.讓團(tuán)隊成員知道對他們有什么好處

為與企業(yè)戰(zhàn)略相關(guān)的安全部門制定愿景確實有助于讓團(tuán)隊朝著同一個方向努力，同時Rowe表示，首席信息安全官向員工展示他們的個人價值同樣重要。

Rowe說，“安全專業(yè)人員知道它們的價值和需求，并且需要利用這些價值。因此，除了建立目標(biāo)、愿景和文化之外，首席信息安全官還需要能夠向員工概述他們的未來是什么樣的，他們在企業(yè)的未來發(fā)展是什么樣的，他們?nèi)绾卫闷髽I(yè)所提供的服務(wù)，以及如何讓他們的職業(yè)生涯更上一層樓。”

他補充說，首席信息安全官必須通過企業(yè)提供的培訓(xùn)、項目分配和晉升機會，使他們的員工能夠掌握他們在職業(yè)生涯中成長所需的技能。

Rowe補充道：“這一切都與建立職業(yè)生涯、保持透明并擁有校友網(wǎng)絡(luò)有關(guān)。”

(ISC)2研究在調(diào)查網(wǎng)絡(luò)安全專業(yè)人士是什么促使他們加入該領(lǐng)域時強化了這一觀點。他們認(rèn)為解決問題的能力(54%)、對技能的高需求(50%)、適合的技能/興趣(46%)和職業(yè)發(fā)展機會(45%)是最主要的原因，幫助他人/社會的能力(44%)排在第五位，最后是薪酬(42%)。