据估计,美国目前有50万个网络安全职位空空缺,其中包括16.6万个信息安全分析师职位——这是该行业最常见的职位名称。
而且这些数字可能还在增加。
根据普华永道的全球数字信托洞察报告,51%的受访高管表示,他们计划在未来一年增加全职安全员工,其中22%的人计划增加5%或更多的员工。
企业仍然需要安全分析师、安全工程师和渗透测试人员——所有这些角色在许多安全部门都是必不可少的。然而,如今,组织也在寻求使用其他职位来扩展他们的安全级别,探索新的角色和添加新的头衔。
在此,专家们就2021年IT安全的八大关键角色提出了自己的看法。
和身份管理工程师。
在持续的高级远程访问、随时随地的工作需求和不断扩大的多渠道环境的推动下,企业安全领导者越来越重视开发强大的身份和访问管理实践。
事实上,来自云安全联盟的《2020年云身份安全状况报告》发现,94%的受访业务负责人将人类身份的特权和权限管理列为高优先级或极高优先级,77%的人将机器身份的特权和权限管理列为高优先级或极高优先级。
正因为如此,安全领导者正在寻找合适的角色,并给他们一些头衔,如IAM工程师或IAM分析师。
人力资源公司Robert Half Technology的执行董事杰夫·韦伯(Jeff Weber)预计,对这些专家的需求将继续增长。
“在未来几个月,其需求将受到应用程序生命周期中的安全需求的推动,”他说,并补充说,他的公司正看到CISO提高员工的技能,这些员工已经展示了坚实的问题解决和分析技能,并拥有这些角色所需的技术经验。
第三方风险经理
CISO已经注意到威胁将通过合作伙伴和供应商进入他们的业务,这也促使他们更加关注与第三方相关的风险。根据安全领导、招聘人员和执行顾问的说法,这反过来产生了纯粹专注于这个问题的角色。
例如,Benoit-Kurtz的团队有一位信息系统分析师,他专注于内部风险,同时管理第三方风险,因为两者所需的技能几乎相同。然而,随着工作要求和复杂性的增加,她预计将需要有人全职管理第三方风险。
这些角色有不同的头衔,无论是全职职位还是安全团队中现有职位的新职责。然而,专家们最终表示,对这一角色的关注是相同的:审查第三方的安全政策和程序,并执行根据合同设定的标准。
IT服务管理公司Involta的risk安娜利·伊尔格说:“你必须确保你正在管理这种风险,并且作为一个安全团队,你能够理解提供商的责任。”。
DevSecOps安全工程师
“应用程序仍然是防止违规行为的最薄弱环节,”伦敦科技和安全专业人员招聘公司Bestman Solutions的主管奥万纳特·贝斯曼(Owanate Bestman)说。“DevSecOps是当今用来解决这个问题的最流行的方法。有DevSecOps经验的申请者有需求。”
他说,安全主管希望应用安全工程师对DevOps方法有很好的了解,了解DevOps管道工具,有能力配合开发团队,对网络应用风险有很好的了解,当然也有安全资质。
NTData Services副总裁兼安全产品负责人、美国国际审计与鉴证准则委员会大华盛顿分部主任Sushila Nair表示,考虑到这些要求,供不应求并不奇怪。
“DevSecOps并不新鲜,但很难找到一个可以嵌入Scrum团队的应用安全工程师,”Nair说,并补充说,目前的挑战是是否找到具有安全知识和应用开发经验的人才。
威胁搜索
当今组织所面临的威胁的复杂性使得信息安全专家不得不寻找新的角色来识别和处理这些威胁。
“我们需要人们能够查看所有威胁分析工具、防火墙日志和其他监控工具,如安全分析威胁管理器;知道威胁是什么,并能反馈给相关的人,”绍萨德说。“他们应该能够检查日志和警报,检测可疑的事情,检测异常的行为模式,知道这是假阳性还是令人担忧的事件,以及它是否指示紧急情况或轻微风险。”
奈尔还将威胁搜索列为关键角色,称“我们需要实际的分析师技能。网络安全管理软件产品和其他高级袭击事件进一步加深了我们对追捕袭击者的必要性的认识。对于无声和持续的攻击,工具通常无法提醒我们,因此我们需要知道如何在网络上寻找入侵者。”
漏洞风险分析师
同样,Southard也认为需要能够跟踪和管理企业内部漏洞的人。“这样,我们就可以扎扎实实地修复任何漏洞。”
她说,她认为2020年中期将需要这个角色,因为各种设备对公司系统的持续远程访问、不断变化的待解决漏洞以及组织面临的越来越多的威胁都汇集到了一起。
Southard承认,大多数安全团队,包括她自己的团队,已经有工作人员在研究漏洞。不过,她也表示,这项工作有时被排在其他优先事项之后。
因此,她在2021年初创建了一个新职位,以更好地保证对漏洞管理的关注,并将这一增加视为给予某人时间和权力以使这项工作成为其优先事项的最佳步骤,甚至是根据她所在组织设定的标准与供应商合作修复问题。
“这确保了我们可以优先解决漏洞,并向监管机构等其他人表明,我们对修复这些漏洞是认真的,”她补充说。
云安全架构师
据安全主管、招聘人员和顾问称,这是最受欢迎的角色之一。
“许多寻求的技能都是为了监管目的:确保企业利用云平台的优势,同时降低监管和合规的风险,”贝斯曼说。
他说,招聘的经理是需要有云平台经验的人,最好是经过特定平台培训或认证的人。他们还需要对安全协议有深刻理解的人。
“他有能力为云架构开发安全蓝图,并且知道你需要什么样的安全工具来保护你的云资产,”奈尔说,并补充说,这些职位上的最佳人员可以通过考虑为他们选择的财务和安全影响来评估这些工具。
这是非常苛刻的,但Bestman表示,他已经看到了具有云经验的安全架构师的增加,越来越多的人也在通过云认证增加他们的市场价值。
事故经理
2020年,Southard在她的部门增加了一名事故响应经理。她说,安全团队,包括她自己的团队,至少需要一名工作人员负责跟上如何更好地处理各种事件,并做好准备,如果发生任何事情。
她的新事故响应经理——有时被称为事故响应分析师——在过去的17年里一直在类似的岗位上工作。这段经历对索思哈德来说非常重要。“我们需要一个经历过事故的人,”她说。
索萨德说,她创建这个职位是为了确保安全部门能够尽快做出反应,协调所有可能发挥作用的各种任务。
“这为我们提供了一个分类的联系点,将人们聚集在一起,并找出事件的类型,”她解释说,并补充说,这些经理应该知道如何处理各种事件,从电话系统中断到个人身份信息泄露,以及此类事件所需的不同关注级别。
首席信息安全官
CISO的立场不是新的,但也不是一个普遍的角色。
IDG的2020年安全优先研究发现,只有42%的中小企业有CISO、CSO或其他高级安全管理人员,而所有企业组织中有80%的企业有此类人员。甚至一些最大的组织仍然没有高级别的网络安全职位。例如,安全提供商Bitglass的一项研究发现,在2019年的财富500强公司中,38%的公司没有CISO,其中只有16%的公司有另一名高管负责网络安全战略。
专家说,这是一个错误。
即使一个组织想要致力于安全,拥有一个CISO角色对于“跨部门管理并在最高层定下基调”是必不可少的。对于一个组织来说,真正深入地了解自己的防御战略是至关重要的,”伊利诺伊州弗农山庄BCU信用合作社的首席信息官林美贞·索萨德说。
作为一名高管,CISO可以从战略上与高管合作,因此更有可能成功地定义和实现与组织风险一致的安全态势。此外,拥有行政头衔的CISO也更能使他人遵守安全要求。
“如果你的组织中没有CISO,即使它只是一个虚拟的兼职CISO,也会定下错误的基调,”Station Casinos的网络安全主管兼凤凰城大学网络安全项目的首席教师斯蒂芬妮·伯努瓦-库尔茨补充道。
