在DevSecOps大肆宣传的时代,人们常说安全是每个人的责任。但是,未经培训和缺乏动力的员工(尤其是那些不从事IT工作的员工)在安全方面能够做的事情是有限的,难以使他们所在的公司更安全地抵御网络威胁。
例如在现实世界中,繁忙的机场候机大厅中有一个无人看管的旅行包放在可疑的地方,而在场的旅客都会感到有责任向安全部门报告。然而,他们没有接受过检查旅行包以证实威胁的训练,也没有被授权自行采取任何行动。而在企业让每个员工都意识到网络安全是一回事,教育他们在自己的角色范围内使企业更加安全,或者使用他们已经拥有的防御工具来应对威胁和消除漏洞是另一回事。
为此,企业需要投资于提高员工的网络安全技能。与尝试从外部招聘新人相比,投资培训企业内部具有才能并且忠诚的员工要好得多,而且通常也更容易。但即便如此,将这些学习资源放在最好的地方,以获得所需的结果是关键。
开发人员已经了解IT技术,因为他们为企业使用的程序编写了大量代码。他们通常已经准备好并且愿意提高网络安全技能,以帮助他们在工作中更加出色。优秀的首席信息安全官正在利用这种热情,为开发人员提供他们想要和需要的培训方式,其回报是减少常见漏洞,同时减少应用程序安全人员过度工作的压力。
确保开发人员获得正确技能的提升和支持
优秀的首席信息安全官知道提升员工技能是成功的关键,但是并不是所有的培训都可以成功,特别是对于已经对IT有很好的基本理解的开发社区来说。有些培训并不会提供太多的投资回报,而且可能会让开发人员感到沮丧,导致性能不佳,并且不愿意与安全团队合作。
同样,任何阻碍他们工作流程的解决方案、无法保持企业安全目标的敏捷性、或者不能在正确的时间以易于理解的格式交付正确的培训方案,都不太可能提高安全意识或技能。
优秀首席信息安全官的其他秘密
优秀的首席信息安全官还能够消除传统上困扰网络安全项目的其他关键痛点,例如开发人员和应用程序安全团队之间的关系,或者其他高级管理人员和董事会如何看待网络安全。
对于与应用程序安全团队的关系,优秀的首席信息安全官意识到开发人员支持有助于将安全性进一步左移,并更接近软件的起源。在应用程序投放到生产环境之前修复缺陷是很重要的,这比先构建代码并在最后一分钟通过应用程序安全团队运行代码的传统方法要好得多,这样可以避免那些令人烦恼的修补程序和交付延迟,但它无法单独解决应用程序安全的所有问题。有些漏洞可能要等到应用程序投入生产后才会出现,因此依靠孤立地向左移动来捕获所有漏洞是不切实际的,而且代价高昂。
企业还需要在生产环境中进行持续的测试和监控,有时应用程序甚至在部署之后还需要发送给开发人员。涉足开发和安全的优秀首席信息安全官可以理顺这些关系,让团队中的每个人都发挥自己的作用。
让其他高级管理人员具备更好的网络安全意识可能是一项更加艰巨的挑战,因为首席信息安全官和首席信息官以外的领导层通常首先考虑的是业务目标和利润。为了解决这个问题,作为超级明星的优秀首席信息安全官知道如何展示更好、更成熟的网络安全与增加收入之间的直接联系,以及如何在竞争中提供竞争优势。
如今的首席信息安全官的工作肯定比历史上任何时候都更具挑战性。但是,那些在逆境中获得成功的首席信息安全官正在成为他们公司和社区中真正的超级明星。他们熟练地利用敏捷开发人员的技能,倡导安全文化,简化开发和应用程序安全团队之间的传统竞争对手之间的关系,并鼓励企业领导层从上到下采用安全优先的方法。
