據估計,目前美國有50萬個網絡安全的職位空缺,其中包括了16.6萬個信息安全分析師職位--這也是該行業中比較常見的職稱。
并且這些數字可能還在增加當中。
根據普華永道的全球數字信任洞察報告, 51%的受訪高管表示,他們計劃在未來一年增加全職的安保人員,其中有22%的人計劃增加5%或更多的人員。
企業團隊仍然需要安全分析師、安全工程師和滲透測試人員--所有這些角色在許多安全部門都是必不可少的。然而,現如今,組織也正在尋求用其他職位來擴大他們的安全級別,開拓新的角色,并增加新的頭銜。
在這里,專家們提出了他們對2021年IT安全的八個關鍵角色的看法。
身份和訪問管理工程師
企業安全領導者越發地開始注重開發強大的身份和訪問管理(IAM)實踐了,這一重點是由持續的高水平遠程訪問、隨時隨地的工作需求和不斷擴展的多通道環境所推動的。
事實上,來自云安全聯盟的《2020年云身份安全狀況報告》發現,94%的受訪企業領導人將人類身份的特權和權限管理列為了高優先級或極高優先級,77%將機器身份的特權和權限管理列為了高優先級或極高優先級。
正因為如此,安全領導們正在尋找合適的角色,并賦予了他們諸如IAM工程師或IAM分析師之類的頭銜。
人力資源公司Robert Half Technology的執行董事Jeff Weber預計,對這些專家的需求將繼續增長。
“在未來的幾個月里,其需求將被應用生命周期中的安全需求所驅動,”他說,并補充到,他的公司正在看到CISO們提高了員工的技能,這些員工表現出了堅實的問題解決和分析技能,具備了擔任這些角色所需的技術經驗。
第三方風險經理
CISO們已經注意到威脅會通過合作伙伴和供應商進入他們的業務,這也促使他們需要更加關注與第三方相關的風險。根據安全領導、招聘人員和執行顧問的說法,這反過來又產生了純粹專注于這個問題的角色。
例如,Benoit-Kurtz的團隊中有一名信息系統分析師,同時專注于內部風險和管理第三方風險,因為兩者所需的技能幾乎相同。然而,隨著工作需求和復雜性的增加,她預計需要有人來全職管理第三方風險了。
這些角色的頭銜各不相同,無論是全職職位還是安全團隊中現有職位的新職責。但最終,專家們表示,對這一角色的關注是一致的:審查第三方的安全政策和程序,并執行根據合同所設定的標準。
“你必須確保自己正在管理這種風險,并且你作為一個安全團隊能夠理解提供商的責任,”IT服務管理公司Involta的CISO Annalea Ilg說。
DevSecOps安全工程師
“應用程序仍然是防止違規的最薄弱環節,”總部位于倫敦的技術和安全專業招聘公司Bestman Solutions的主管Owanate Bestman說。“DevSecOps是當今用來解決這個問題的最受歡迎的方法。有DevSecOps經驗的申請人是有需求的。”
他說,安全主管希望應用安全工程師對DevOps方法有很好的理解,了解DevOps管道工具,有能力與開發團隊合作(或有這樣做的實際經驗),對網絡應用風險有很好的了解,當然還有安全資格。
NTT數據服務公司的副總裁兼安全產品負責人、美國國際審計與鑒證準則理事會大華盛頓分會理事Sushila Nair說,考慮到這些要求,需求超過供應也就不足為奇了。
“DevSecOps并不新鮮,但是很難找到能夠嵌入到Scrum團隊中的應用程序安全工程師,”Nair表示,并補充說,目前的挑戰是能否找到具有安全知識和應用程序開發經驗的人才。
威脅搜尋
當今組織所面臨的威脅的復雜性使得信息安全專家們不得不尋找新的角色來識別和應對這些威脅。
“我們需要人們能夠像一個安全分析威脅管理者一樣,查看所有的威脅分析工具、來自防火墻的日志以及其他監控工具;了解威脅是什么并能將其反饋給相關的人員,”Southard說。“他們應該能夠查看日志和警報,檢測可疑的東西,檢測不正常的行為模式,知道這是假陽性還是令人擔憂的事件,以及這是否表明了存在緊急情況或是輕微風險。”
Nair同樣將威脅搜尋列為了關鍵角色,他說:“我們需要實用的分析師技能。SolarWinds和其他高級攻擊已經進一步加深了我們需要追捕攻擊者的認識。對于無聲的、持續的攻擊,工具通常無法提醒我們,因此我們需要知道如何在網絡上尋找入侵者。”
漏洞風險分析師
同樣,Southard也認為需要能夠跟蹤和管理企業內部漏洞的人員。“這樣才能腳踏實地地修復任何漏洞。”
她說,她認為在2020年中期就需要這個角色了,因為從各種設備對公司系統的持續遠程訪問、需要解決的不斷變化的漏洞以及組織所面臨的越來越多的威脅都已經匯集在了一起。
Southard承認,大多數安全團隊,包括她自己的團隊,都已經有工作人員在處理漏洞。但是,她也表示,這項工作有時會被排在其他優先事項之后。
因此,她在2021年初創建了一個新職位,以更好地保證對漏洞管理的關注,并將這一增加視為一個最佳步驟,讓某人有時間和權力來將這項工作作為其優先事項,甚至是與供應商進行合作,以根據她的組織所設置的標準來修復問題。
“這確保了我們可以優先解決漏洞,并向監管機構等其他人表明,我們對修復這些漏洞是認真的,”她補充道。
云安全架構師
根據安全主管、招聘人員和顧問的說法,這是最受歡迎的角色之一。
“所尋求的許多技能都是出于監管的目的:確保企業在利用云平臺好處的同時降低監管和合規性的風險,”Bestman說。
他表示,招聘的經理是需要有云平臺工作經驗的人,最好是受過特定平臺培訓或認證的人。他們還需要對安全協議有深刻理解的人。
“他有能力為云架構開發安全藍圖,知道你需要什么樣的安全工具來保護你的云資產,”Nair說,并補充到,這些職位上的最佳人員可以考慮為其選擇的財務影響和安全影響來評估工具。
這要求很高,但Bestman表示,他已經看到了擁有云經驗的安全架構師的增加,而越來越多的人也正在通過云認證來增加他們的市場價值。
事故響應經理
2020年,Southard在她的部門增加了一名事故響應經理。她說,安全小組,包括她自己的小組,至少需要一名工作人員,來負責跟上該如何更好地處理各種事件,并做好準備,如果有什么事情發生的話。
她的新事故響應經理--有時被稱為事故響應分析師--在過去的17年里一直在類似的職位上工作。這種經歷對Southard來說很重要。“我們需要一個經歷過事故的人,”她說。
Southard說,她創建這個職位是為了確保安全部門能夠盡快地做出反應,并協調好所有可能發揮作用的各種任務。
“這給了我們一個聯系點來進行分類,把人們聚在一起,并找出事件的類型,”她解釋說,并補充到,這些管理人員應該知道該如何處理從電話系統中斷到泄露個人身份信息的漏洞等各種事件,以及此類事件所需要的不同程度的關注級別。
CISO
CISO的職位并不新鮮,但也不是一個普遍的角色。
IDG的2020年安全優先級研究發現,只有42%的中小型企業擁有CISO、CSO或是其他的高級安全主管,而在所有企業組織中的這一比例為80%。甚至是一些最大的組織仍然沒有高管級的網絡安全職位。例如,安全供應商Bitglass的一項研究發現,2019年財富500強企業中,38%的企業沒有CISO,其中只有16%的企業有另一位高管(如安全副總裁)來負責網絡安全戰略。
這是個錯誤,專家們表示。
即使是一個組織想要致力于安全,擁有一個CISO的角色對于“跨部門管理并在高層定下基調”也是至關重要的。對于一個組織來說,能夠真正獲得防御戰略的深度是至關重要的,”Stephenie Southard說,他是位于伊利諾斯州弗農希爾斯的一家信用合作社BCU的首席信息官。
作為一名高管,CISO能夠在戰略上與高管們合作,因此更有可能成功地定義和實施一個能夠與組織風險相一致的安全態勢。而且,擁有高管頭銜的CISO也更有能力讓其他人遵守安全要求。
“如果在你的組織中沒有一個CISO,即使它只是一個虛擬的兼職CISO,也是定下了錯誤的基調,”Stephanie Benoit-Kurtz補充道,她是Station Casinos的網絡安全主管(一個向CISO報告的職位),也是菲尼克斯大學網絡安全項目的首席教師。
