優(yōu)秀信息安全架構師橫跨業(yè)務和技術兩界。寫出清晰切實的職位描述,可確保雙方都理解該角色的職責。
無論什么角色,對職責和職位期待的良好溝通,都是職場人士成功的關鍵。這種溝通,始于一份切實透徹的職位描述,是職位招聘時的重要基準,是員工入職后的業(yè)績觸點。職位描述,也是幫助安全團隊經理緊跟多種角色發(fā)展的基線。
任何良好的職位描述,都會涉及該角色的職責和重要性,還會列出其在報告層級中的位置。對角色的需求,比如資質證書、技能、經驗和學歷等,也會包含在職位描述中。因為角色重要性和報告層級各公司迥異,這里就僅論述職務描述中的職責和需求部分了。
針對信息安全架構師職位,盡管各行業(yè)具體要求不同,但其總體描述,總脫不開:高級員工,負責計劃、分析、設計、配置、測試、實現、維護和支持公司計算機與網絡安全基礎設施,響應監(jiān)管與風險變化。信息安全架構師需要知曉業(yè)務,對其技術和信息需求有廣泛了解,能夠開發(fā)和測試安全架構以保護其各類系統。
一、關鍵職責
職責,就是信息安全架構師應負責的任務和目標。取決于公司所屬行業(yè)或特定需求而有所不同,但都包括:
為生產環(huán)境設計、建立并部署企業(yè)級安全系統;
將標準、框架和安全,與總體業(yè)務與技術戰(zhàn)略相彌合;
識別并交流當前及新興安全威脅;
設計安全架構元素,以便在威脅冒頭時加以緩解;
創(chuàng)建在業(yè)務需求與信息及網絡安全需求中取得平衡的解決方案;
在現有及提案架構中識別出安全設計缺陷,提出修改或強化建議;
采用當前編程語言和技術撰寫代碼,完成編程,進行應用測試與調試;
在解決方案部署或系統轉換中培訓用戶。
二、技術與能力
這一節(jié)給出了所需的基本技術技能,以及公司可能會期待信息安全架構師具備的資格證書或學歷。
1. 關鍵技術包括
(以下方面的5年或5年以上經驗)
安全架構,解決方案交付、原則和新興技術展示——安全解決方案設計與實現。這包括對這些解決方案的持續(xù)監(jiān)測與改進,與信息安全團隊的協作。
安全最佳實踐的設計開發(fā),以及企業(yè)級安全原則的實現中,為達成業(yè)務目標,符合客戶與監(jiān)管需求,所涉及到的咨詢與工程工作。
云計算安全考慮:包括數據泄露、身份驗證失效、黑客攻擊、賬戶劫持、惡意內部人、第三方威脅、高級持續(xù)性威脅(APT)、數據遺失和DoS攻擊。
身份與訪問管理(IAM)——企業(yè)中對敏感技術資源訪問的限制與跟蹤所需的安全策略與技術框架。
2. 以下方面的知識與經驗
VB.NET、Java/J2EE、ColdFusion、API/Web服務、腳本語言,以及 MS SQL Sever 或Oracle之類關系數據庫管理系統(RDBMS)。這是在企業(yè)中建立安全所需的一些技術元素。
國家標準與技術局(NIST)制定的相關標準。不符合NIST設立標準,以及ISO27001、COBIT和COSO標準的系統,在合規(guī)及安全架構上都會有所欠缺。
ISO27001——策略與規(guī)程框架的規(guī)范,包括企業(yè)風險管理中所涉全部法律、物理和技術上的控制。
信息系統和技術控制目標(COBIT:國際上通用的信息系統審計的標準)。
美國反虛假財務報告委員會下屬的發(fā)起人委員會(COSO),一個對抗企業(yè)欺詐的聯合倡議。
Windows、UNIX和大型機。
3. 通用技術
面對不同受眾的優(yōu)秀溝通技巧——強批判性思維和分析能力。
強領導力,強項目與團隊構建能力,包括領導團隊的能力,以及在不同部門驅動項目與計劃的能力。
業(yè)務過程、運營、信息安全項目及技術工程相關風險的識別能力。
成為企業(yè)安全主題專家,向非技術背景人士解釋技術問題的能力。
4. 可能的認證要求
注冊信息系統安全師(CISSP)
注冊信息安全經理(CISM)
注冊信息系統審計師(CISA)
信息系統安全架構師(ISSAP)
信息系統安全工程師(ISSEP)
SANS相關認證教育要求可能各有不同,但大多數都要求有信息安全、工程、數學或相關領域的文學或理學學士學位。IT領域碩士學位是加分項,網絡安全專業(yè)的碩士學位是更大的加分項。
馬特·梅林,Palo Alto Networks 醫(yī)療健康安全架構師,認為經驗和工人的業(yè)績,有時候比證書更能說明問題。
通常CISSP是基本要求,但只要你的背景經歷清楚地顯露出在建立安全解決方案方面的大量經驗——就像我一樣,那你就有可能僅憑經驗和學歷勝出。
三、行業(yè)特定要求
某些行業(yè)可能會在信息安全架構師職位描述上有些特別的要求。尤其是在醫(yī)療保健這種需要對電子病歷(EHR)系統和HIPPA合規(guī)深入了解的行業(yè)。
阿克塞爾·沃什,賽門鐵克醫(yī)療保健解決方案架構師,稱該“生態(tài)系統復雜性”意味著安全架構師需要具備多方面的技能。
我不認為有其他什么行業(yè),像醫(yī)療行業(yè)一樣有這么多系統同時運行著來自不同廠商的不同平臺。
除此之外,醫(yī)療行業(yè)信息安全架構師還面臨著一大挑戰(zhàn):創(chuàng)建的安全系統不能阻礙病患護理。比如說,ATM在PIN碼多次輸入錯誤的情況下可以暫停服務,但面對剛從18小時輪班中下來的疲憊醫(yī)生,這么做顯然是不合適的。而且,附加的安全層必須小心部署,不能影響到生產力,還得定期重新評估。
四、如何吸引到頂尖人才
薪資調查機構PayScale數據表明,信息安全架構師薪資范圍在8.4萬美元到16萬美元之間,平均是109,794美元。
除了薪資,人的因素也很重要——學習欲望、開發(fā)欲望和接受挑戰(zhàn)的欲望。
在醫(yī)療保健行業(yè),使命感同樣很重要。“你會發(fā)現這行有很多人對他們的工作是抱著理想主義精神的。他們認為,‘只要我讓醫(yī)院維持運轉,我就是在為我的社區(qū)做好事。’這是醫(yī)療保健行業(yè)所能提供的神圣使命感。”