例如在現(xiàn)實(shí)世界中,繁忙的機(jī)場(chǎng)候機(jī)大廳中有一個(gè)無(wú)人看管的旅行包放在可疑的地方,而在場(chǎng)的旅客都會(huì)感到有責(zé)任向安全部門(mén)報(bào)告。然而,他們沒(méi)有接受過(guò)檢查旅行包以證實(shí)威脅的訓(xùn)練,也沒(méi)有被授權(quán)自行采取任何行動(dòng)。而在企業(yè)讓每個(gè)員工都意識(shí)到網(wǎng)絡(luò)安全是一回事,教育他們?cè)谧约旱慕巧秶鷥?nèi)使企業(yè)更加安全,或者使用他們已經(jīng)擁有的防御工具來(lái)應(yīng)對(duì)威脅和消除漏洞是另一回事。
為此,企業(yè)需要投資于提高員工的網(wǎng)絡(luò)安全技能。與嘗試從外部招聘新人相比,投資培訓(xùn)企業(yè)內(nèi)部具有才能并且忠誠(chéng)的員工要好得多,而且通常也更容易。但即便如此,將這些學(xué)習(xí)資源放在最好的地方,以獲得所需的結(jié)果是關(guān)鍵。
開(kāi)發(fā)人員已經(jīng)了解IT技術(shù),因?yàn)樗麄優(yōu)槠髽I(yè)使用的程序編寫(xiě)了大量代碼。他們通常已經(jīng)準(zhǔn)備好并且愿意提高網(wǎng)絡(luò)安全技能,以幫助他們?cè)诠ぷ髦懈映錾?yōu)秀的首席信息安全官正在利用這種熱情,為開(kāi)發(fā)人員提供他們想要和需要的培訓(xùn)方式,其回報(bào)是減少常見(jiàn)漏洞,同時(shí)減少應(yīng)用程序安全人員過(guò)度工作的壓力。
確保開(kāi)發(fā)人員獲得正確技能的提升和支持
優(yōu)秀的首席信息安全官知道提升員工技能是成功的關(guān)鍵,但是并不是所有的培訓(xùn)都可以成功,特別是對(duì)于已經(jīng)對(duì)IT有很好的基本理解的開(kāi)發(fā)社區(qū)來(lái)說(shuō)。有些培訓(xùn)并不會(huì)提供太多的投資回報(bào),而且可能會(huì)讓開(kāi)發(fā)人員感到沮喪,導(dǎo)致性能不佳,并且不愿意與安全團(tuán)隊(duì)合作。
同樣,任何阻礙他們工作流程的解決方案、無(wú)法保持企業(yè)安全目標(biāo)的敏捷性、或者不能在正確的時(shí)間以易于理解的格式交付正確的培訓(xùn)方案,都不太可能提高安全意識(shí)或技能。
優(yōu)秀首席信息安全官的其他秘密
優(yōu)秀的首席信息安全官還能夠消除傳統(tǒng)上困擾網(wǎng)絡(luò)安全項(xiàng)目的其他關(guān)鍵痛點(diǎn),例如開(kāi)發(fā)人員和應(yīng)用程序安全團(tuán)隊(duì)之間的關(guān)系,或者其他高級(jí)管理人員和董事會(huì)如何看待網(wǎng)絡(luò)安全。
對(duì)于與應(yīng)用程序安全團(tuán)隊(duì)的關(guān)系,優(yōu)秀的首席信息安全官意識(shí)到開(kāi)發(fā)人員支持有助于將安全性進(jìn)一步左移,并更接近軟件的起源。在應(yīng)用程序投放到生產(chǎn)環(huán)境之前修復(fù)缺陷是很重要的,這比先構(gòu)建代碼并在最后一分鐘通過(guò)應(yīng)用程序安全團(tuán)隊(duì)運(yùn)行代碼的傳統(tǒng)方法要好得多,這樣可以避免那些令人煩惱的修補(bǔ)程序和交付延遲,但它無(wú)法單獨(dú)解決應(yīng)用程序安全的所有問(wèn)題。有些漏洞可能要等到應(yīng)用程序投入生產(chǎn)后才會(huì)出現(xiàn),因此依靠孤立地向左移動(dòng)來(lái)捕獲所有漏洞是不切實(shí)際的,而且代價(jià)高昂。
企業(yè)還需要在生產(chǎn)環(huán)境中進(jìn)行持續(xù)的測(cè)試和監(jiān)控,有時(shí)應(yīng)用程序甚至在部署之后還需要發(fā)送給開(kāi)發(fā)人員。涉足開(kāi)發(fā)和安全的優(yōu)秀首席信息安全官可以理順這些關(guān)系,讓團(tuán)隊(duì)中的每個(gè)人都發(fā)揮自己的作用。
讓其他高級(jí)管理人員具備更好的網(wǎng)絡(luò)安全意識(shí)可能是一項(xiàng)更加艱巨的挑戰(zhàn),因?yàn)槭紫畔踩俸褪紫畔⒐僖酝獾念I(lǐng)導(dǎo)層通常首先考慮的是業(yè)務(wù)目標(biāo)和利潤(rùn)。為了解決這個(gè)問(wèn)題,作為超級(jí)明星的優(yōu)秀首席信息安全官知道如何展示更好、更成熟的網(wǎng)絡(luò)安全與增加收入之間的直接聯(lián)系,以及如何在競(jìng)爭(zhēng)中提供競(jìng)爭(zhēng)優(yōu)勢(shì)。
如今的首席信息安全官的工作肯定比歷史上任何時(shí)候都更具挑戰(zhàn)性。但是,那些在逆境中獲得成功的首席信息安全官正在成為他們公司和社區(qū)中真正的超級(jí)明星。他們熟練地利用敏捷開(kāi)發(fā)人員的技能,倡導(dǎo)安全文化,簡(jiǎn)化開(kāi)發(fā)和應(yīng)用程序安全團(tuán)隊(duì)之間的傳統(tǒng)競(jìng)爭(zhēng)對(duì)手之間的關(guān)系,并鼓勵(lì)企業(yè)領(lǐng)導(dǎo)層從上到下采用安全優(yōu)先的方法。
關(guān)于企業(yè)網(wǎng)D1net(m.r5u5c.cn):
國(guó)內(nèi)主流的to B IT門(mén)戶(hù),同時(shí)在運(yùn)營(yíng)國(guó)內(nèi)最大的甲方CIO專(zhuān)家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營(yíng)19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開(kāi)頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。