据估计,目前美国有50万个网络安全的职位空缺,其中包括了16.6万个信息安全分析师职位--这也是该行业中比较常见的职称。
并且这些数字可能还在增加当中。
根据普华永道的全球数字信任洞察报告, 51%的受访高管表示,他们计划在未来一年增加全职的安保人员,其中有22%的人计划增加5%或更多的人员。
企业团队仍然需要安全分析师、安全工程师和渗透测试人员--所有这些角色在许多安全部门都是必不可少的。然而,现如今,组织也正在寻求用其他职位来扩大他们的安全级别,开拓新的角色,并增加新的头衔。
在这里,专家们提出了他们对2021年IT安全的八个关键角色的看法。
身份和访问管理工程师
企业安全领导者越发地开始注重开发强大的身份和访问管理(IAM)实践了,这一重点是由持续的高水平远程访问、随时随地的工作需求和不断扩展的多通道环境所推动的。
事实上,来自云安全联盟的《2020年云身份安全状况报告》发现,94%的受访企业领导人将人类身份的特权和权限管理列为了高优先级或极高优先级,77%将机器身份的特权和权限管理列为了高优先级或极高优先级。
正因为如此,安全领导们正在寻找合适的角色,并赋予了他们诸如IAM工程师或IAM分析师之类的头衔。
人力资源公司Robert Half Technology的执行董事Jeff Weber预计,对这些专家的需求将继续增长。
“在未来的几个月里,其需求将被应用生命周期中的安全需求所驱动,”他说,并补充到,他的公司正在看到CISO们提高了员工的技能,这些员工表现出了坚实的问题解决和分析技能,具备了担任这些角色所需的技术经验。
第三方风险经理
CISO们已经注意到威胁会通过合作伙伴和供应商进入他们的业务,这也促使他们需要更加关注与第三方相关的风险。根据安全领导、招聘人员和执行顾问的说法,这反过来又产生了纯粹专注于这个问题的角色。
例如,Benoit-Kurtz的团队中有一名信息系统分析师,同时专注于内部风险和管理第三方风险,因为两者所需的技能几乎相同。然而,随着工作需求和复杂性的增加,她预计需要有人来全职管理第三方风险了。
这些角色的头衔各不相同,无论是全职职位还是安全团队中现有职位的新职责。但最终,专家们表示,对这一角色的关注是一致的:审查第三方的安全政策和程序,并执行根据合同所设定的标准。
“你必须确保自己正在管理这种风险,并且你作为一个安全团队能够理解提供商的责任,”IT服务管理公司Involta的CISO Annalea Ilg说。
DevSecOps安全工程师
“应用程序仍然是防止违规的最薄弱环节,”总部位于伦敦的技术和安全专业招聘公司Bestman Solutions的主管Owanate Bestman说。“DevSecOps是当今用来解决这个问题的最受欢迎的方法。有DevSecOps经验的申请人是有需求的。”
他说,安全主管希望应用安全工程师对DevOps方法有很好的理解,了解DevOps管道工具,有能力与开发团队合作(或有这样做的实际经验),对网络应用风险有很好的了解,当然还有安全资格。
NTT数据服务公司的副总裁兼安全产品负责人、美国国际审计与鉴证准则理事会大华盛顿分会理事Sushila Nair说,考虑到这些要求,需求超过供应也就不足为奇了。
“DevSecOps并不新鲜,但是很难找到能够嵌入到Scrum团队中的应用程序安全工程师,”Nair表示,并补充说,目前的挑战是能否找到具有安全知识和应用程序开发经验的人才。
威胁搜寻
当今组织所面临的威胁的复杂性使得信息安全专家们不得不寻找新的角色来识别和应对这些威胁。
“我们需要人们能够像一个安全分析威胁管理者一样,查看所有的威胁分析工具、来自防火墙的日志以及其他监控工具;了解威胁是什么并能将其反馈给相关的人员,”Southard说。“他们应该能够查看日志和警报,检测可疑的东西,检测不正常的行为模式,知道这是假阳性还是令人担忧的事件,以及这是否表明了存在紧急情况或是轻微风险。”
Nair同样将威胁搜寻列为了关键角色,他说:“我们需要实用的分析师技能。SolarWinds和其他高级攻击已经进一步加深了我们需要追捕攻击者的认识。对于无声的、持续的攻击,工具通常无法提醒我们,因此我们需要知道如何在网络上寻找入侵者。”
漏洞风险分析师
同样,Southard也认为需要能够跟踪和管理企业内部漏洞的人员。“这样才能脚踏实地地修复任何漏洞。”
她说,她认为在2020年中期就需要这个角色了,因为从各种设备对公司系统的持续远程访问、需要解决的不断变化的漏洞以及组织所面临的越来越多的威胁都已经汇集在了一起。
Southard承认,大多数安全团队,包括她自己的团队,都已经有工作人员在处理漏洞。但是,她也表示,这项工作有时会被排在其他优先事项之后。
因此,她在2021年初创建了一个新职位,以更好地保证对漏洞管理的关注,并将这一增加视为一个最佳步骤,让某人有时间和权力来将这项工作作为其优先事项,甚至是与供应商进行合作,以根据她的组织所设置的标准来修复问题。
“这确保了我们可以优先解决漏洞,并向监管机构等其他人表明,我们对修复这些漏洞是认真的,”她补充道。
云安全架构师
根据安全主管、招聘人员和顾问的说法,这是最受欢迎的角色之一。
“所寻求的许多技能都是出于监管的目的:确保企业在利用云平台好处的同时降低监管和合规性的风险,”Bestman说。
他表示,招聘的经理是需要有云平台工作经验的人,最好是受过特定平台培训或认证的人。他们还需要对安全协议有深刻理解的人。
“他有能力为云架构开发安全蓝图,知道你需要什么样的安全工具来保护你的云资产,”Nair说,并补充到,这些职位上的最佳人员可以考虑为其选择的财务影响和安全影响来评估工具。
这要求很高,但Bestman表示,他已经看到了拥有云经验的安全架构师的增加,而越来越多的人也正在通过云认证来增加他们的市场价值。
事故响应经理
2020年,Southard在她的部门增加了一名事故响应经理。她说,安全小组,包括她自己的小组,至少需要一名工作人员,来负责跟上该如何更好地处理各种事件,并做好准备,如果有什么事情发生的话。
她的新事故响应经理--有时被称为事故响应分析师--在过去的17年里一直在类似的职位上工作。这种经历对Southard来说很重要。“我们需要一个经历过事故的人,”她说。
Southard说,她创建这个职位是为了确保安全部门能够尽快地做出反应,并协调好所有可能发挥作用的各种任务。
“这给了我们一个联系点来进行分类,把人们聚在一起,并找出事件的类型,”她解释说,并补充到,这些管理人员应该知道该如何处理从电话系统中断到泄露个人身份信息的漏洞等各种事件,以及此类事件所需要的不同程度的关注级别。
CISO
CISO的职位并不新鲜,但也不是一个普遍的角色。
IDG的2020年安全优先级研究发现,只有42%的中小型企业拥有CISO、CSO或是其他的高级安全主管,而在所有企业组织中的这一比例为80%。甚至是一些最大的组织仍然没有高管级的网络安全职位。例如,安全供应商Bitglass的一项研究发现,2019年财富500强企业中,38%的企业没有CISO,其中只有16%的企业有另一位高管(如安全副总裁)来负责网络安全战略。
这是个错误,专家们表示。
即使是一个组织想要致力于安全,拥有一个CISO的角色对于“跨部门管理并在高层定下基调”也是至关重要的。对于一个组织来说,能够真正获得防御战略的深度是至关重要的,”Stephenie Southard说,他是位于伊利诺斯州弗农希尔斯的一家信用合作社BCU的首席信息官。
作为一名高管,CISO能够在战略上与高管们合作,因此更有可能成功地定义和实施一个能够与组织风险相一致的安全态势。而且,拥有高管头衔的CISO也更有能力让其他人遵守安全要求。
“如果在你的组织中没有一个CISO,即使它只是一个虚拟的兼职CISO,也是定下了错误的基调,”Stephanie Benoit-Kurtz补充道,她是Station Casinos的网络安全主管(一个向CISO报告的职位),也是菲尼克斯大学网络安全项目的首席教师。