這篇題為“信息安全變革:建立一支頂級(jí)拓展型團(tuán)隊(duì)”的最新報(bào)告指出,信息安全團(tuán)隊(duì)成員應(yīng)具備一些安全領(lǐng)域不常用的技能,如業(yè)務(wù)風(fēng)險(xiǎn)管理、法律、市場(chǎng)營(yíng)銷(xiāo)、數(shù)學(xué)和采購(gòu)。信息安全學(xué)科也須包含聯(lián)合問(wèn)責(zé)模式,確保企業(yè)的業(yè)務(wù)經(jīng)理和管理人員對(duì)信息安全負(fù)有共同責(zé)任,使其明白他們自己的網(wǎng)絡(luò)風(fēng)險(xiǎn)也是業(yè)務(wù)風(fēng)險(xiǎn)的一部分。安全團(tuán)隊(duì)要履行其延伸職責(zé),但缺乏先進(jìn)的技術(shù)和以業(yè)務(wù)為中心的技能,所以應(yīng)該制定人才培養(yǎng)及教育的全新策略,以及借助外部服務(wù)提供商專(zhuān)業(yè)知識(shí)的策略。
為了幫助企業(yè)建立頂級(jí)的安全拓展型團(tuán)隊(duì),該委員會(huì)在這份全新報(bào)告中提出七項(xiàng)建議。
1. 重新定義并強(qiáng)化核心競(jìng)爭(zhēng)力 - 核心團(tuán)隊(duì)要在四個(gè)主要方面有所提升:網(wǎng)絡(luò)風(fēng)險(xiǎn)智能與安全數(shù)據(jù)分析、安全數(shù)據(jù)管理、風(fēng)險(xiǎn)顧問(wèn)、設(shè)計(jì)控制與保證。
2. 分配日常運(yùn)營(yíng) - 將重復(fù)、已成形的安全流程分配給IT部門(mén)、業(yè)務(wù)部門(mén)、和/或外部服務(wù)提供商。
3. 借力專(zhuān)家 - 對(duì)于特殊專(zhuān)精領(lǐng)域,應(yīng)邀請(qǐng)企業(yè)內(nèi)外專(zhuān)家來(lái)擴(kuò)充核心團(tuán)隊(duì)的實(shí)力。
4. 指引管理風(fēng)險(xiǎn)責(zé)任 – 與業(yè)務(wù)部門(mén)聯(lián)手共同管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn),協(xié)調(diào)制定統(tǒng)一的應(yīng)對(duì)方法。為業(yè)務(wù)開(kāi)展提供便利,并明確責(zé)任分工。
5. 聘請(qǐng)流程優(yōu)化專(zhuān)家 – 聘請(qǐng)的專(zhuān)家應(yīng)具備質(zhì)量管理、項(xiàng)目管理、流程優(yōu)化和服務(wù)交付方面的經(jīng)驗(yàn)和資質(zhì)。
6. 建立重要關(guān)系 - 與重要的參與人員建立互信,樹(shù)立影響,如業(yè)務(wù)核心人員、中層管理人員和外包服務(wù)供應(yīng)商。
7. 為未來(lái)人才突破思維定式 - 由于缺乏現(xiàn)成的專(zhuān)業(yè)知識(shí),培養(yǎng)人才是大多數(shù)企業(yè)唯一真正的長(zhǎng)期解決方案。有價(jià)值的專(zhuān)業(yè)背景包括:軟件開(kāi)發(fā)、業(yè)務(wù)分析、財(cái)務(wù)管理、軍事情報(bào)、法律、數(shù)據(jù)保密、數(shù)據(jù)科學(xué)和復(fù)雜統(tǒng)計(jì)分析。
高管證言:
EMC公司執(zhí)行副總裁兼EMC信息安全事業(yè)部RSA執(zhí)行主席亞瑟•科維洛
“為保證轉(zhuǎn)型成功,必須將安全視為一項(xiàng)共同責(zé)任,在不斷變化的威脅環(huán)境中,利用積極的伙伴關(guān)系,管理業(yè)務(wù)中的固有風(fēng)險(xiǎn)。企業(yè)的當(dāng)務(wù)之急是建立一支可以運(yùn)用正確專(zhuān)業(yè)知識(shí),把工作做好的安全團(tuán)隊(duì)。”
匯豐控股有限公司基礎(chǔ)設(shè)施安全集團(tuán)主管,鮑勃•羅杰
“核心安全團(tuán)隊(duì)的專(zhuān)業(yè)知識(shí)應(yīng)主要用于為業(yè)務(wù)部門(mén)提供咨詢(xún)、提供指導(dǎo)、驅(qū)動(dòng)戰(zhàn)略、確定及闡明風(fēng)險(xiǎn)、了解威脅、推動(dòng)企業(yè)發(fā)展 - 而不應(yīng)被日常經(jīng)營(yíng)活動(dòng)所累。”
關(guān)于企業(yè)創(chuàng)新安全委員會(huì)
企業(yè)創(chuàng)新安全委員會(huì)由來(lái)自全球1000強(qiáng)企業(yè)的頂級(jí)安全領(lǐng)袖組成,致力于通過(guò)分享各自不同的專(zhuān)業(yè)經(jīng)驗(yàn)和真知灼見(jiàn),來(lái)推進(jìn)全球信息安全的發(fā)展。該委員會(huì)定期發(fā)布報(bào)告,探討信息安全在企業(yè)創(chuàng)新過(guò)程中的核心作用。
來(lái)自以下全球大型企業(yè)的18位安全領(lǐng)袖對(duì)本報(bào)告提供了寶貴的意見(jiàn)和建議:
荷蘭銀行 ADP公司 愛(ài)特爾
阿斯利康制藥 可口可樂(lè) EMC公司
聯(lián)邦快遞公司 富達(dá)投資 HDFC銀行有限公司
匯豐控股有限公司 英特爾 強(qiáng)生
摩根大通 諾基亞 思愛(ài)普(SAP)集團(tuán)
TELUS研科公司 T-Mobile美國(guó) 沃爾瑪