信息來源:企業(yè)網(wǎng)
轉(zhuǎn)眼2017就到,這兩年的安全行業(yè)變遷之快是很多人都不曾想見的,隨之而來就是企業(yè)信息安全部門工作的變動。國外媒體CSO認(rèn)為,2017年理應(yīng)會發(fā)生下面這些變化。
安全人才短缺問題仍然存在?
很多報告都已指出,目前市場上仍然有大量的安全職位處于空缺狀態(tài)。出于多種原因,企業(yè)依然無法聘請到合適的安全技術(shù)人員?,F(xiàn)在很多企業(yè)的安全部門不僅需要解決各種各樣的技術(shù)問題,而且還要及時地對各種安全警報進行響應(yīng),以及一大堆繁瑣的安全配置都需要他們來完成。但是,由于企業(yè)目前所面臨的安全問題其復(fù)雜性曲線還沒有達到頂峰,因此安全部門所能得到的人力和物力資源方面的支持是極其有限的。
接下來,讓我們一起看看安全廠商和研究專家們?nèi)绾晤A(yù)測2017年信息安全行業(yè)的工作趨勢。
安全事件的應(yīng)急響應(yīng)能力至關(guān)重要
Exabeam公司聯(lián)合創(chuàng)始人兼首席執(zhí)行官Nir Polak在接受采訪時表示:
“安全人才的短缺情況仍然沒有好轉(zhuǎn),而安全需求卻在不斷提升,目前的信息安全人才庫完全滿足不了市場的需要。我們也可以看到,越來越多的CISO(首席信息安全官)會選擇將企業(yè)的安全轉(zhuǎn)交給第三方安全公司來負責(zé)。將企業(yè)基礎(chǔ)服務(wù)的安全保護任務(wù)外包給安全公司來做的確可行,但當(dāng)企業(yè)需要進行安全事件響應(yīng)時,問題就出現(xiàn)了。安全托管服務(wù)提供商(MSSP)并不了解你公司的內(nèi)部情況和人員配置,也沒有你公司敏感信息的訪問權(quán)限,因此你不能指望把安全應(yīng)急響應(yīng)任務(wù)交給他們。因此,事件響應(yīng)只能靠我們自己來完成。所以,這就給企業(yè)的事件響應(yīng)團隊帶來了巨大的壓力,很多人在面對安全事件時甚至都不知道自己該做什么。”
安全能力會影響企業(yè)的發(fā)展
每天都會有大量的網(wǎng)絡(luò)安全事件發(fā)生,但是安全人才的儲備工作卻出現(xiàn)了問題。因此,CISO將會更多地去考慮采用一些自動化的安全處理措施,這樣不僅可以提高企業(yè)的安全狀態(tài),而且還可以暫時解決安全技術(shù)人才短缺的問題。
一個公司的安全事件響應(yīng)能力將會成為保險公司在承保時的一個重要的衡量標(biāo)準(zhǔn)。保險公司在向企業(yè)提供網(wǎng)絡(luò)保險服務(wù)時需要衡量客戶在面對安全事件時的檢測能力和處理能力,并根據(jù)其能力來制定相應(yīng)的安全保險服務(wù)條款。
數(shù)據(jù)泄漏事件將會越來越常見
不出意外的話,2017年還將會發(fā)生更多的數(shù)據(jù)泄漏事件。這些數(shù)據(jù)不僅將會由黑客泄漏出來,而且還有可能從公司前雇員和承包商那里泄漏出來,因為這些內(nèi)部人員可以在離職之前利用自己的職權(quán)來收集企業(yè)的內(nèi)部信息(代碼庫和重要文件等)和人才數(shù)據(jù)(員工身份證信息、信用卡數(shù)據(jù)和社保號等等),并利用這些數(shù)據(jù)來為自己謀利。
中小企業(yè)紛紛投向安全托管服務(wù)提供商(MSSP)的懷抱
WatchGuard Technologies的首席技術(shù)官Corey Nachreiner在接受采訪時表示:
“為了圖方便,很多小型企業(yè)會將自身服務(wù)托管在云端,并依靠管理服務(wù)提供商(MSP)來滿足他們的IT需求。近年來,越來越對的中小型企業(yè)開始逐漸意識到了信息安全的重要性,所以他們同樣希望這些MSP可以幫他們解決信息安全方面的問題。因此,很多MSP也開始將安全保護服務(wù)添加進了他們的服務(wù)清單中,由此便衍生出了安全托管服務(wù)提供商(MSSP)這個概念。明年,我們預(yù)計會有至少四分之一的小型企業(yè)需要依賴于MSSP所提供的安全服務(wù)來滿足自身的安全需求,而且這個比例還會逐年增加。”
時代需要CISO和CSO
Citrix公司的首席安全官Stan Black認(rèn)為:
“也許很多公司都已經(jīng)開始意識到了,弱勢這些公司身處金融或醫(yī)療行業(yè),但如果他們想要在這個信息時代更好地運作下去,就必須將自己視作一個IT企業(yè)。實際上,如果你想要在這個時代生存下去,并且保持自身的競爭優(yōu)勢,那么你就必須接受這個事實,并且聘請專業(yè)的IT技術(shù)人員。其實,任何行業(yè)中的公司都應(yīng)該聘請安全專家來解決企業(yè)的安全問題,尤其是醫(yī)療部門和金融機構(gòu)?!?/span>
“首席身份官”(CIdO)這個職位將會在2017年出現(xiàn)
當(dāng)企業(yè)需要管理員工、客戶、以及第三方合作伙伴的身份識別信息時,CIdO這個角色將成為企業(yè)唯一一個可信任的源。
CIdO需要負責(zé)維護客戶信息,并監(jiān)控員工的訪問行為,然后將所有內(nèi)容及時上報給CEO。這也就意味著,CIdO為了能夠保證組織內(nèi)部身份驗證機制的完整性,他們的工作將需要覆蓋整個組織的每一步運作環(huán)節(jié)。因此,CIdO將會成為企業(yè)中的一個非常重要的關(guān)鍵角色,他們手中握有訪問特權(quán)系統(tǒng)的密鑰,并管理著企業(yè)中各種信息的交互。
新來的跟老員工之間的差距更大
一般情況下,新加入的安全技術(shù)人員有九個月的時間來熟悉企業(yè)的情況,也就是說,新來的一般要花九個月左右的時間來變成一個“經(jīng)驗豐富的老員工”。而在目前的全球市場中,這種經(jīng)驗豐富的安全技術(shù)人員其身價已經(jīng)增長了一倍之多,企業(yè)如果想要聘請這些人,那么就需要提供更有競爭力的薪水和更高的職位。
時間應(yīng)該花在刀刃上
與過去相比,信息技術(shù)的日趨復(fù)雜會讓我們在保護企業(yè)網(wǎng)絡(luò)安全的時候遇到更多的困難。再加上安全技能方面的差距以及人才的短缺,我們遇到的問題會變得更加嚴(yán)重。除此之外,很多技術(shù)人員將寶貴的時間花在了那些可以通過設(shè)備自動完成的任務(wù)上。因此,在即將到來的2017年,我們希望可以通過自動化來解決一些需要手動進行的繁瑣任務(wù),并且?guī)椭鶬T專家去完成一些固定任務(wù),以此來保證他們可以將注意力放在真正需要他們的地方。
總結(jié)
信息和數(shù)據(jù)是社會發(fā)展的重要資源。全球范圍內(nèi)圍繞信息的獲取、使用和控制的斗爭正在愈演愈烈,所以信息安全成為了維護國家安全和社會穩(wěn)定的一個重要因素。網(wǎng)絡(luò)安全已成為亟待解決、影響國家大局和長遠利益的重大關(guān)鍵問題,它不但是發(fā)揮信息革命所帶來的高效率和高效益的有力保證,而且還是抵御黑客入侵的重要屏障。
總之,在網(wǎng)絡(luò)信息技術(shù)高速發(fā)展的今天,信息安全已變得至關(guān)重要。目前,我國在信息安全技術(shù)方面的起點還較低,國內(nèi)只有極少數(shù)高等院校開設(shè)“信息安全”專業(yè),信息安全技術(shù)人才奇缺。我們應(yīng)充分認(rèn)識信息安全在網(wǎng)絡(luò)信息時代的重要性和其具有的極其廣闊的市場前景,所以在文章的最后喝一口雞湯:適應(yīng)時代,抓住機遇!