企業(yè)數(shù)字資產(chǎn)比以往任何時候都容易受到攻擊，企業(yè)需要經(jīng)驗豐富的領(lǐng)導(dǎo)者來領(lǐng)導(dǎo)他們的數(shù)字防御工作。但現(xiàn)在缺乏經(jīng)驗豐富的安全技術(shù)人員，這需要采用新的方法來填補職位空缺。企業(yè)想要繼續(xù)生存將需要采取長期的方法，創(chuàng)建自己的頂級技術(shù)專家團隊。

面對大量網(wǎng)絡(luò)攻擊，肩負保護企業(yè)重要責(zé)任的網(wǎng)絡(luò)安全專業(yè)人員一直處于水深火熱之中。然而，頂級首席信息安全官合格人選數(shù)量太少，企業(yè)無法從大量簡歷中做出選擇，應(yīng)聘者往往不符合要求。

這個問題的部分原因在于，CISO通常被看作是“首席隨時準(zhǔn)備犧牲官”，這意味著當(dāng)公司遭遇數(shù)據(jù)泄露時，CISO將承擔(dān)責(zé)任。招聘網(wǎng)站Indeed公司表示，應(yīng)聘人員很少，“當(dāng)我們對比求職者對雇主發(fā)布網(wǎng)絡(luò)安全職位的點擊率時，我們看到嚴(yán)重的人才短缺，以及這對企業(yè)帶來的風(fēng)險，在這里使用‘危機’這一詞非常合適。”

從歷史上來看，IT專業(yè)人員的短缺很常見。當(dāng)新技術(shù)出現(xiàn)時，人員需要逐漸學(xué)習(xí)新技術(shù)來獲得相關(guān)經(jīng)驗，在初期通常會出現(xiàn)短缺。同時，大家通常對網(wǎng)絡(luò)安全專業(yè)人員的職位不是那么熱衷，特別是CISO職位，因為網(wǎng)絡(luò)攻擊越來越多，阻止所有攻擊的機會很小。

根據(jù)Privacy Rights Clearinghouse表示，在2016年有807起確定的安全泄露事故，2015年這個數(shù)據(jù)位531。IT專業(yè)人員了解這種風(fēng)險，他們可能不愿意承擔(dān)相關(guān)工作，這些工作隨時可能讓他們的職業(yè)生涯完結(jié)。因此，高層管理人員需要制定長期計劃來建立下一代IT安全專家。

發(fā)展安全文化

加密、端點安全和密碼維護都是完整IT安全計劃的一部分。然而，即使是最好和最嚴(yán)格的安全計劃也經(jīng)常會失敗，因為個別員工不了解網(wǎng)絡(luò)攻擊如何發(fā)生。當(dāng)所有技術(shù)預(yù)防措施都部署到位，所有操作系統(tǒng)和應(yīng)用程序都得到及時更新，某個員工點擊惡意URL就會導(dǎo)致連鎖反應(yīng)，造成數(shù)據(jù)泄露和攻擊。

CISO需要領(lǐng)導(dǎo)安全工作，同時，他們還需要將自己定位為引導(dǎo)，而不是單一責(zé)任點，這樣他們不會每天看到自己的職業(yè)生涯受到威脅。社會工程學(xué)攻擊比主動社會工程學(xué)要快得多，企業(yè)應(yīng)該從教育和培訓(xùn)開始，最大程度減少這一威脅。

例如，2016年McAfee實驗室威脅報告報道有超過1.57億網(wǎng)絡(luò)釣魚攻擊嘗試。盡管有各種關(guān)于虛假電子郵件的警告，5500萬用戶還是淪為受害者。知名計算機黑客網(wǎng)絡(luò)安全專家Kevin Mitnick表示，企業(yè)花費數(shù)百萬美元在防火墻、加密和安全訪問設(shè)備，這是浪費錢，因為這些措施都不能解決安全鏈中最薄弱的環(huán)節(jié)。

針對這種入侵的最佳防御是對于電腦交互的每個人進行教育。網(wǎng)絡(luò)釣魚攻擊表明為什么這種培訓(xùn)和教育需要一直延續(xù)到高層人員，高層管理人員也會淪為有針對性欺詐性電子郵件的受害者。

然而，雖然教育很重要，但這并不是全部答案。正如社會將某些行為定義為道義上應(yīng)受譴責(zé)的行為，員工也需要意識到自己的責(zé)任，避免可能危及其企業(yè)的活動。

網(wǎng)絡(luò)安全基礎(chǔ)知識

在一段時間內(nèi)，CISO和IT安全團隊職位的合格候選人的供應(yīng)不太可能滿足需求，同時，吸引合格的候選人仍將是一項艱巨的任務(wù)。企業(yè)需要更多經(jīng)驗豐富的安全人員，這些人必須確信其工作的安全性。企業(yè)需要通過創(chuàng)建支持性和知識性的文化以及為安全專業(yè)人員開發(fā)個性化職業(yè)發(fā)展道路來解決這些問題。

對于萬豪國際、施耐德電氣等缺乏專業(yè)領(lǐng)域人才的公司而言，內(nèi)部培養(yǎng)和發(fā)展機會效果良好?？梢钥隙ǖ氖?，這并不是快速解決方案，而是保護企業(yè)免受網(wǎng)絡(luò)攻擊的一項長期責(zé)任。

贊助教育

很多公司都提供網(wǎng)絡(luò)安全職業(yè)培訓(xùn)，并提供網(wǎng)絡(luò)安全和相關(guān)領(lǐng)域的認證。這些課程涵蓋廣泛的主題，并為想要培養(yǎng)現(xiàn)有技術(shù)數(shù)量人員的公司提供支持。

課堂和在線課程讓員工可根據(jù)自己的工作時間來提高知識面，企業(yè)還可提供學(xué)費補償計劃來鼓勵員工參與。網(wǎng)絡(luò)安全認證應(yīng)該有明確的課程要求，符合企業(yè)短期和長期職業(yè)目標(biāo)。這是企業(yè)長期發(fā)展的可行選擇解決方案。

教育機構(gòu)

技術(shù)學(xué)院為在職人員和希望在所需領(lǐng)域找到職位的人提供本地職業(yè)教育，但每個機構(gòu)提供的培訓(xùn)深度各有不同。企業(yè)應(yīng)該尋找在當(dāng)?shù)叵碛新曌u可提供相關(guān)領(lǐng)域最好教育的技術(shù)機構(gòu)，并與該機構(gòu)建立聯(lián)盟來開發(fā)符合企業(yè)要求的課程，并為對職業(yè)發(fā)展感興趣的員工提供贊助。你還可通過提供現(xiàn)實世界實習(xí)來改善招聘情況。

此外，企業(yè)還可讓內(nèi)部專家作為特定課程的教授或者輔導(dǎo)教授。與合適機構(gòu)建立長期合作伙伴關(guān)系可為企業(yè)提供一批合格人才，老師與學(xué)生的直接接觸還可提供就業(yè)途徑的資格預(yù)審。

在企業(yè)內(nèi)

外部課程容易順利開始進行，因為課程都是現(xiàn)成的。課程主題可能是入門級和中級水平，可讓員工開始逐漸完成長期職業(yè)目標(biāo)。對于需要應(yīng)對當(dāng)前和新出現(xiàn)威脅的高級分析師，最好通過建立教育中心來對其進行提高。

專業(yè)教育需要知識豐富的高等教育者。根據(jù)企業(yè)規(guī)模的不同，這一職位可以是一名資深I(lǐng)T安全員工擔(dān)任雙重職位--IT安全和培訓(xùn)總監(jiān)，或者專職負責(zé)教育工作而較少參與實際安全工作的人員。無論哪種情況，他們的主要工作都應(yīng)該是安全主題研究和課程開發(fā)，以保持培訓(xùn)與當(dāng)前威脅的相關(guān)性。

向外看看

當(dāng)企業(yè)計劃大規(guī)模擴展其IT安全人員時，他們可能需要招募外部網(wǎng)絡(luò)安全顧問。滲透測試等任務(wù)非常適合外包，因為這是短期或周期性的工作。長期面臨缺乏高層次專業(yè)人員的企業(yè)可與網(wǎng)絡(luò)安全服務(wù)公司建立持續(xù)合作關(guān)系。

在托管安全服務(wù)提供商(MSSP)方面有很多選擇，引入經(jīng)驗豐富的人員(即使只是臨時)可創(chuàng)造一個緩沖期，讓現(xiàn)有員工可部署長期人員配置計劃。

與頂級企業(yè)層面建立關(guān)系

專業(yè)網(wǎng)絡(luò)可為企業(yè)和求職者帶來好處，他們還可為每個業(yè)務(wù)領(lǐng)域提供趨勢和機會的洞察力。當(dāng)前的CISO應(yīng)該與安全服務(wù)提供商公司內(nèi)頂級管理層建立直接聯(lián)系。而尋求頂級安全人員的企業(yè)應(yīng)該考慮聯(lián)系其安全公司的同僚，了解其業(yè)務(wù)，不僅要圍繞安全問題，還要涉及隱私和安全方面的趨勢。

展望未來

由于缺乏合格的IT安全專業(yè)人員，這已經(jīng)導(dǎo)致各種規(guī)模的MSSP初創(chuàng)公司的增加。TechRepublic估計，到2020年，云計算安全市場價值將會達到120億美元。

這一增長為缺乏相關(guān)人員的IT安全部門帶來機會，他們可考慮收購其中一家MSSP初創(chuàng)公司來橫向多樣化發(fā)展其業(yè)務(wù)。這可給他們帶來完整員工的安全部門，并增加可行或有希望的業(yè)務(wù)。在最佳情況下，新收購的部門可憑借自身穩(wěn)定的客戶自己獲利。

從長遠來看

對強大且有經(jīng)驗的網(wǎng)絡(luò)安全專業(yè)人員的需求至關(guān)重要，并且不會消失。企業(yè)需要制定自己的機會，發(fā)展自己的安全專長，如果必要的話，可從頭開始。

如何填補CISO和網(wǎng)絡(luò)安全職位：領(lǐng)導(dǎo)者的經(jīng)驗教訓(xùn)

· 建立超越CISO責(zé)任的安全愿景

· 創(chuàng)造展望未來的教育機會

· 通過非傳統(tǒng)方法尋找現(xiàn)有候選人