這篇題為“信息安全變革:建立一支頂級拓展型團隊”的最新報告指出,信息安全團隊成員應具備一些安全領域不常用的技能,如業務風險管理、法律、市場營銷、數學和采購。信息安全學科也須包含聯合問責模式,確保企業的業務經理和管理人員對信息安全負有共同責任,使其明白他們自己的網絡風險也是業務風險的一部分。安全團隊要履行其延伸職責,但缺乏先進的技術和以業務為中心的技能,所以應該制定人才培養及教育的全新策略,以及借助外部服務提供商專業知識的策略。
為了幫助企業建立頂級的安全拓展型團隊,該委員會在這份全新報告中提出七項建議。
1. 重新定義并強化核心競爭力 - 核心團隊要在四個主要方面有所提升:網絡風險智能與安全數據分析、安全數據管理、風險顧問、設計控制與保證。
2. 分配日常運營 - 將重復、已成形的安全流程分配給IT部門、業務部門、和/或外部服務提供商。
3. 借力專家 - 對于特殊專精領域,應邀請企業內外專家來擴充核心團隊的實力。
4. 指引管理風險責任 – 與業務部門聯手共同管理網絡安全風險,協調制定統一的應對方法。為業務開展提供便利,并明確責任分工。
5. 聘請流程優化專家 – 聘請的專家應具備質量管理、項目管理、流程優化和服務交付方面的經驗和資質。
6. 建立重要關系 - 與重要的參與人員建立互信,樹立影響,如業務核心人員、中層管理人員和外包服務供應商。
7. 為未來人才突破思維定式 - 由于缺乏現成的專業知識,培養人才是大多數企業唯一真正的長期解決方案。有價值的專業背景包括:軟件開發、業務分析、財務管理、軍事情報、法律、數據保密、數據科學和復雜統計分析。
高管證言:
EMC公司執行副總裁兼EMC信息安全事業部RSA執行主席亞瑟•科維洛
“為保證轉型成功,必須將安全視為一項共同責任,在不斷變化的威脅環境中,利用積極的伙伴關系,管理業務中的固有風險。企業的當務之急是建立一支可以運用正確專業知識,把工作做好的安全團隊。”
匯豐控股有限公司基礎設施安全集團主管,鮑勃•羅杰
“核心安全團隊的專業知識應主要用于為業務部門提供咨詢、提供指導、驅動戰略、確定及闡明風險、了解威脅、推動企業發展 - 而不應被日常經營活動所累。”
關于企業創新安全委員會
企業創新安全委員會由來自全球1000強企業的頂級安全領袖組成,致力于通過分享各自不同的專業經驗和真知灼見,來推進全球信息安全的發展。該委員會定期發布報告,探討信息安全在企業創新過程中的核心作用。
來自以下全球大型企業的18位安全領袖對本報告提供了寶貴的意見和建議:
荷蘭銀行 ADP公司 愛特爾
阿斯利康制藥 可口可樂 EMC公司
聯邦快遞公司 富達投資 HDFC銀行有限公司
匯豐控股有限公司 英特爾 強生
摩根大通 諾基亞 思愛普(SAP)集團
TELUS研科公司 T-Mobile美國 沃爾瑪