信息化觀察網(wǎng)

據(jù)普華永道的《2021年全球數(shù)字信任洞察報告》顯示，51%的受訪高管表示，他們計劃在未來一年增加全職安全人員，22%的受訪者計劃將工作人員增加5%或更多。

企業(yè)團(tuán)隊(duì)繼續(xù)需要安全分析師、安全工程師和滲透測試員——所有這些角色在許多安全部門必不可少。不過如今，許多組織期望為安全團(tuán)隊(duì)增設(shè)其他崗位、設(shè)立新角色，并增加新職銜。

專家們在本文中介紹了他們認(rèn)為對IT安全很重要的八種角色。

身份及訪問管理工程師

企業(yè)安全領(lǐng)導(dǎo)人日益專注于開發(fā)可靠的身份及訪問管理（IAM）實(shí)踐；由于遠(yuǎn)程訪問程度越來越高、需要隨時隨地工作以及多云環(huán)境不斷擴(kuò)大，IAM因而備受關(guān)注。

事實(shí)上，云安全聯(lián)盟發(fā)布的《2020年云身份安全現(xiàn)狀》報告發(fā)現(xiàn)，94%的受訪企業(yè)領(lǐng)導(dǎo)人將人類身份的特權(quán)和權(quán)限管理列為高優(yōu)先級或極高優(yōu)先級，77%的受訪者將機(jī)器身份的特權(quán)和權(quán)限管理列為高優(yōu)先級或極高優(yōu)先級。

正因?yàn)槿绱?，安全領(lǐng)導(dǎo)人在設(shè)立特定的角色，并設(shè)立IAM工程師或IAM分析師之類的職銜。

人事服務(wù)公司Robert Half Technology的執(zhí)行董事Jeff Weber預(yù)計，市場對這些專業(yè)人員的需求會繼續(xù)增長。

他說：“在今后幾個月，安全方面的要求納入到應(yīng)用軟件生命周期中將推動需求。”他補(bǔ)充說，他的公司看到，首席信息安全官（CISO）讓擁有出色的問題解決和分析技能的員工獲得勝任這些角色所需要的技術(shù)經(jīng)驗(yàn)，以提高技能。

管理第三方風(fēng)險的經(jīng)理人

首席信息安全官們已注意到威脅有可能通過合作伙伴和供應(yīng)商進(jìn)入自己的業(yè)務(wù)運(yùn)營系統(tǒng)，這促使他們更加關(guān)注與第三方有關(guān)的風(fēng)險。安全領(lǐng)導(dǎo)人、招聘人員和高管顧問們均認(rèn)為，這進(jìn)而帶來了完全專注于這個問題的角色。

比如說，Stephanie Benoit-Kurtz是Station Casinos的網(wǎng)絡(luò)安全主管（該崗位的直屬上司是首席信息安全官），也是菲尼克斯大學(xué)網(wǎng)絡(luò)安全項(xiàng)目的系主任，Benoit-Kurtz的團(tuán)隊(duì)中有一名信息系統(tǒng)分析師，專注于管理內(nèi)部風(fēng)險和管理第三方風(fēng)險，因?yàn)檫@兩方面所需的技能幾乎一樣。然而，隨著工作的需求和復(fù)雜性日增，她預(yù)計需要有人來全職管理第三方風(fēng)險。

這些角色的職銜各有不同，無論為安全團(tuán)隊(duì)中的現(xiàn)有崗位增添全職崗位還是新職責(zé)。不管怎樣，專家們表示，這個角色的關(guān)注點(diǎn)一樣：審查第三方的安全政策和程序，并執(zhí)行根據(jù)合同設(shè)定的標(biāo)準(zhǔn)。

IT服務(wù)管理公司Involta的首席信息安全官Annalea Ilg說：“你必須確保自己在管理這種風(fēng)險，整個安全團(tuán)隊(duì)必須明白提供商的職責(zé)。”

DevSecOps安全工程師

Owanate Bestman是總部位于倫敦的技術(shù)和安全專業(yè)人員招聘公司Bestman Solutions的主管，他說：“應(yīng)用軟件仍然是防止泄密事件方面最薄弱的環(huán)節(jié)。開發(fā)安全運(yùn)維（DevSecOps）是如今用來解決這個問題的最備受稱贊的方法。DevSecOps方面有經(jīng)驗(yàn)的求職者很搶手。”

他表示，信息安全領(lǐng)導(dǎo)人想要這樣的應(yīng)用軟件安全工程師：深入了解DevOps方法，通曉DevOps管道工具，能夠與開發(fā)團(tuán)隊(duì)合作（或者這方面有實(shí)際經(jīng)驗(yàn)），非常清楚Web應(yīng)用軟件風(fēng)險，當(dāng)然還要有安全資格證書。

Sushila Nair是NTT數(shù)據(jù)服務(wù)公司的副總裁兼安全產(chǎn)品主管，還是國際信息系統(tǒng)審計協(xié)會（ISACA）大華盛頓分會的理事。她說，考慮到這些要求，人才供不應(yīng)求也就不足為奇了。

Nair說：“DevSecOps并不新鮮，但是很難找到可以添加到你敏捷開發(fā)團(tuán)隊(duì)中的應(yīng)用軟件安全工程師。”她補(bǔ)充道，面臨的挑戰(zhàn)在于，找到集安全知識和應(yīng)用軟件開發(fā)經(jīng)驗(yàn)于一身的人才。

威脅搜尋員

如今組織面臨的眾多威脅很復(fù)雜也很狡猾，這促使首席信息安全官設(shè)立新角色，以識別和應(yīng)對這些威脅。

Stephenie Southard是伊利諾斯州弗農(nóng)希爾斯的信用合作社BCU的首席信息安全官，她說：“我們需要的人幾乎像安全分析師和威脅管理者的混合體，他們要查看所有的威脅分析工具、來自防火墻的日志以及其他監(jiān)控工具，了解有什么樣的威脅，回過頭來告知相關(guān)人員。他們應(yīng)該能夠查看日志和警報，檢測可疑活動，檢測異常行為的某種模式，知道這是誤報還是令人擔(dān)憂的事件，還知道這表明的是情況緊急的風(fēng)險還是并不重要的風(fēng)險。”

Nair同樣將威脅搜尋列為一種重要角色，她說：“我們需要實(shí)用的分析技能。SolarWinds及其他高級攻擊已進(jìn)一步加深了我們需要搜尋攻擊者的下落這種認(rèn)識。面對悄無聲息的持續(xù)攻擊，工具常常無法提醒我們，因此我們需要知道如何搜尋網(wǎng)絡(luò)上的入侵者。”

漏洞風(fēng)險分析師

同樣，Southard認(rèn)為需要能夠跟蹤和管理企業(yè)內(nèi)部漏洞的人員。“這樣才能腳踏實(shí)地地修復(fù)任何漏洞。”

她表示，她在2020年年中發(fā)現(xiàn)需要這一角色，當(dāng)時多個因素結(jié)合在一起：從各種設(shè)備對公司系統(tǒng)進(jìn)行遠(yuǎn)程訪問，需要解決的漏洞層出不窮，以及組織面臨的威脅越來越多。

Southard承認(rèn)，大多數(shù)安全團(tuán)隊(duì)（包括她自己的團(tuán)隊(duì)）已有負(fù)責(zé)處理漏洞的工作人員。不過她表示，這項(xiàng)工作有時被擠到其他優(yōu)先事項(xiàng)的后面。

于是她在2021年初設(shè)立了一個新崗位，進(jìn)一步保證漏洞管理受到關(guān)注，因此這個人就有時間和權(quán)力將這項(xiàng)工作列為優(yōu)先事項(xiàng)，甚至可以與供應(yīng)商合作，根據(jù)組織設(shè)定的標(biāo)準(zhǔn)來解決問題。

她補(bǔ)充道：“這將確保解決漏洞享有優(yōu)先權(quán)，并向監(jiān)管部門等其他有關(guān)方表明，我們對于修復(fù)這些漏洞很重視。”

云安全架構(gòu)師

據(jù)安全領(lǐng)導(dǎo)人、招聘人員和顧問聲稱，云安全架構(gòu)師是需求量最大的角色之一。

Bestman說：“亟需的技能大多出于遵守監(jiān)管法規(guī)的目的，旨在確保企業(yè)享有云平臺好處的同時，降低監(jiān)管和合規(guī)方面的風(fēng)險。”

他表示，招聘經(jīng)理需要云平臺方面有經(jīng)驗(yàn)的人，最好是受過特定平臺培訓(xùn)或認(rèn)證的人。他們還需要對安全規(guī)程有深入了解的人。

Nair說：“他有能力為云架構(gòu)開發(fā)安全藍(lán)圖，知道需要什么樣的安全工具來確保云資產(chǎn)安全，”并補(bǔ)充到，這些崗位的最佳人選在評估工具時，除了考慮所選擇的工具對安全的影響外，還會考慮對財務(wù)的影響。

這個要求很高，不過Bestman表示，他看到擁有云經(jīng)驗(yàn)的安全架構(gòu)師在不斷增多，其中更多的人在獲取云認(rèn)證，以提高在市場上的價值。

事件響應(yīng)經(jīng)理

2020年，Southard為其部門新增了一名事件響應(yīng)經(jīng)理。她表示，安全團(tuán)隊(duì)（包括她自己的團(tuán)隊(duì)）至少需要一名工作人員，負(fù)責(zé)密切關(guān)注如何最有效地處理各種事件；如果發(fā)生什么不測，可以做好充分準(zhǔn)備。

她那位新設(shè)的事件響應(yīng)經(jīng)理（有時叫事件響應(yīng)分析師）在過去的17年從事類似的崗位。這番經(jīng)歷對Southard來說很重要。她說：“我們需要經(jīng)歷過事件的人。”

Southard說，她設(shè)立這個崗位是為了確保安全部門能盡快做出響應(yīng)，并協(xié)調(diào)可能起到作用的各項(xiàng)任務(wù)。

她解釋：“這樣就有一個人專門排查分類，召集人員，并搞清楚事件類型。”她補(bǔ)充到，這類經(jīng)理應(yīng)該知道如何處理從電話系統(tǒng)中斷到個人身份信息泄露的各種事件，并知道如何針對這類事件給予相應(yīng)的關(guān)注。

首席信息安全官

首席信息安全官崗位并不新鮮，但也不是很普遍的角色。

IDG公司的《2020年安全優(yōu)先事項(xiàng)》研究報告發(fā)現(xiàn)，只有42%的中小企業(yè)設(shè)有首席信息安全官、首席安全官或其他高級安全主管，80%的大企業(yè)設(shè)有這些崗位。然而，就連一些超大規(guī)模企業(yè)仍沒有高管級的網(wǎng)絡(luò)安全崗位。比如說，安全供應(yīng)商Bitglass的一項(xiàng)調(diào)查發(fā)現(xiàn)，2019年《財富》500強(qiáng)企業(yè)中38%沒有首席信息安全官，其中只有16%由另一位高管（比如安全副總裁）負(fù)責(zé)網(wǎng)絡(luò)安全戰(zhàn)略。

專家們表示，這是個錯誤。

Southard表示，即便一家組織非常注重安全，但首席信息安全官的角色對于“向上和向下管理，并在高層設(shè)定基調(diào)來說仍然至關(guān)重要。組織能夠因此真正獲得深度防御戰(zhàn)略也至關(guān)重要。”

作為一名高管，首席信息安全官有條件與其他高管共同制定戰(zhàn)略，因此更有可能成功地定義和實(shí)施與組織風(fēng)險相一致的安全做法。擁有高管頭銜的首席信息安全官也更有能力讓其他人遵守安全要求。

Benoit-Kurtz補(bǔ)充道：“如果貴組織沒有首席信息安全官，那么就算有所謂兼職的虛擬首席信息安全官，也無異于定錯了基調(diào)。”

作者：Mary K.Pratt是一名住在馬薩諸塞州的自由撰稿人。

原文網(wǎng)址：https://www.csoonline.com/article/3610

603/8-new-roles-todays-security-team-needs.html

編譯：沈建苗

微信排版：牛可歆

排版審核：劉沙