在DevSecOps大肆宣傳的時(shí)代，人們常說安全是每個(gè)人的責(zé)任。但是，未經(jīng)培訓(xùn)和缺乏動(dòng)力的員工(尤其是那些不從事IT工作的員工)在安全方面能夠做的事情是有限的，難以使他們所在的公司更安全地抵御網(wǎng)絡(luò)威脅。

例如在現(xiàn)實(shí)世界中，繁忙的機(jī)場(chǎng)候機(jī)大廳中有一個(gè)無人看管的旅行包放在可疑的地方，而在場(chǎng)的旅客都會(huì)感到有責(zé)任向安全部門報(bào)告。然而，他們沒有接受過檢查旅行包以證實(shí)威脅的訓(xùn)練，也沒有被授權(quán)自行采取任何行動(dòng)。而在企業(yè)讓每個(gè)員工都意識(shí)到網(wǎng)絡(luò)安全是一回事，教育他們?cè)谧约旱慕巧秶鷥?nèi)使企業(yè)更加安全，或者使用他們已經(jīng)擁有的防御工具來應(yīng)對(duì)威脅和消除漏洞是另一回事。

為此，企業(yè)需要投資于提高員工的網(wǎng)絡(luò)安全技能。與嘗試從外部招聘新人相比，投資培訓(xùn)企業(yè)內(nèi)部具有才能并且忠誠(chéng)的員工要好得多，而且通常也更容易。但即便如此，將這些學(xué)習(xí)資源放在最好的地方，以獲得所需的結(jié)果是關(guān)鍵。

開發(fā)人員已經(jīng)了解IT技術(shù)，因?yàn)樗麄優(yōu)槠髽I(yè)使用的程序編寫了大量代碼。他們通常已經(jīng)準(zhǔn)備好并且愿意提高網(wǎng)絡(luò)安全技能，以幫助他們?cè)诠ぷ髦懈映錾?。?yōu)秀的首席信息安全官正在利用這種熱情，為開發(fā)人員提供他們想要和需要的培訓(xùn)方式，其回報(bào)是減少常見漏洞，同時(shí)減少應(yīng)用程序安全人員過度工作的壓力。

確保開發(fā)人員獲得正確技能的提升和支持

優(yōu)秀的首席信息安全官知道提升員工技能是成功的關(guān)鍵，但是并不是所有的培訓(xùn)都可以成功，特別是對(duì)于已經(jīng)對(duì)IT有很好的基本理解的開發(fā)社區(qū)來說。有些培訓(xùn)并不會(huì)提供太多的投資回報(bào)，而且可能會(huì)讓開發(fā)人員感到沮喪，導(dǎo)致性能不佳，并且不愿意與安全團(tuán)隊(duì)合作。

同樣，任何阻礙他們工作流程的解決方案、無法保持企業(yè)安全目標(biāo)的敏捷性、或者不能在正確的時(shí)間以易于理解的格式交付正確的培訓(xùn)方案，都不太可能提高安全意識(shí)或技能。

優(yōu)秀首席信息安全官的其他秘密

優(yōu)秀的首席信息安全官還能夠消除傳統(tǒng)上困擾網(wǎng)絡(luò)安全項(xiàng)目的其他關(guān)鍵痛點(diǎn)，例如開發(fā)人員和應(yīng)用程序安全團(tuán)隊(duì)之間的關(guān)系，或者其他高級(jí)管理人員和董事會(huì)如何看待網(wǎng)絡(luò)安全。

對(duì)于與應(yīng)用程序安全團(tuán)隊(duì)的關(guān)系，優(yōu)秀的首席信息安全官意識(shí)到開發(fā)人員支持有助于將安全性進(jìn)一步左移，并更接近軟件的起源。在應(yīng)用程序投放到生產(chǎn)環(huán)境之前修復(fù)缺陷是很重要的，這比先構(gòu)建代碼并在最后一分鐘通過應(yīng)用程序安全團(tuán)隊(duì)運(yùn)行代碼的傳統(tǒng)方法要好得多，這樣可以避免那些令人煩惱的修補(bǔ)程序和交付延遲，但它無法單獨(dú)解決應(yīng)用程序安全的所有問題。有些漏洞可能要等到應(yīng)用程序投入生產(chǎn)后才會(huì)出現(xiàn)，因此依靠孤立地向左移動(dòng)來捕獲所有漏洞是不切實(shí)際的，而且代價(jià)高昂。

企業(yè)還需要在生產(chǎn)環(huán)境中進(jìn)行持續(xù)的測(cè)試和監(jiān)控，有時(shí)應(yīng)用程序甚至在部署之后還需要發(fā)送給開發(fā)人員。涉足開發(fā)和安全的優(yōu)秀首席信息安全官可以理順這些關(guān)系，讓團(tuán)隊(duì)中的每個(gè)人都發(fā)揮自己的作用。

讓其他高級(jí)管理人員具備更好的網(wǎng)絡(luò)安全意識(shí)可能是一項(xiàng)更加艱巨的挑戰(zhàn)，因?yàn)槭紫畔踩俸褪紫畔⒐僖酝獾念I(lǐng)導(dǎo)層通常首先考慮的是業(yè)務(wù)目標(biāo)和利潤(rùn)。為了解決這個(gè)問題，作為超級(jí)明星的優(yōu)秀首席信息安全官知道如何展示更好、更成熟的網(wǎng)絡(luò)安全與增加收入之間的直接聯(lián)系，以及如何在競(jìng)爭(zhēng)中提供競(jìng)爭(zhēng)優(yōu)勢(shì)。

如今的首席信息安全官的工作肯定比歷史上任何時(shí)候都更具挑戰(zhàn)性。但是，那些在逆境中獲得成功的首席信息安全官正在成為他們公司和社區(qū)中真正的超級(jí)明星。他們熟練地利用敏捷開發(fā)人員的技能，倡導(dǎo)安全文化，簡(jiǎn)化開發(fā)和應(yīng)用程序安全團(tuán)隊(duì)之間的傳統(tǒng)競(jìng)爭(zhēng)對(duì)手之間的關(guān)系，并鼓勵(lì)企業(yè)領(lǐng)導(dǎo)層從上到下采用安全優(yōu)先的方法。