Technológia

A jövőbiztos kiberbiztonsági csapat felépítésének titka

Minden vállalkozás ma már digitális vállalkozás. Az Egyesült Királyság Kulturális, Média- és Sportminisztériuma (DCMS) szerint Az Egyesült Királyság vállalkozásainak 96% -a „valamilyen digitális expozícióval” rendelkeznek, és minden eddiginél több lehetőséget kínálnak a számítógépes bűnözőknek.

A látványos jogsértések közül, amelyek globális figyelmet vonzanak a mindennapi lejáratokra, a kiberbiztonsági fenyegetettség rohamosan fejlődik, a számítástechnikai bűnözők felbátorodnak, hogy szembeszálljanak egy olyan világgal, amely sietve alkalmazza a digitális technológiákat. ForgeRock’s 2021-es fogyasztói identitás megsértésének jelentése feltárta a felhasználónév és jelszó megsértésének 450% -os növekedését, ami átlagosan 8,64 millió dollárba került, részben ennek a növekedésnek tulajdonította a kiberbiztonsági felkészültség hiányát.

Szégyen is, mert a vezérigazgatók a pandémiát megelőzően keményen dolgoztak a kiberbiztonság előtérbe helyezésén. A DCMS szerint a vállalkozások mintegy 77% -a most fórumszintű prioritásként kezeli. De a világjárvány által kiváltott változások új kihívásokkal egyidőben mutatják be az üzleti és biztonsági vezetőket, ugyanakkor súlyosbítják a régieket. A kellően erős kiberbiztonsági testtartás elérésének talán legtartósabb akadálya maga a kiberbiztonsági csapatok felépítése, megtartása és méretezése.

Tehát a mai világjárvány utáni digitális világban, ahol a számítógépes bűnözők a lehetőségek ünnepét látják, mik a titkai egy világszínvonalú kiberbiztonsági funkció kiépítésének? Véleményem szerint a három kulcselem az attribútumok, a személyiségtípusok és az elvárások.

Bérlet tulajdonságokért, nem tapasztalat

A rendkívül technikai kiberbiztonsági ismeretekkel, például a biztonságos rendszertervezéssel rendelkező személyzet hiánya ezen a ponton jól dokumentált (lát itt és itt), de valami, amit a kiberbiztonsági vezetők gyakran figyelmen kívül hagynak, az a fontosság, hogy a lágy készségeket is alkalmazzák.

Ez egy olyan terület, ahol a közelmúltban javulás történt – a Tripwire felmérés megállapította, hogy a válaszadók 21% -a fontosabbnak értékelte a puha készségeket, mint a technikai készségeket.

Azonban továbbra is gyakori, hogy olyan vállalkozást találnak, amely megpróbálja felépíteni kiberbiztonsági csapatát egy 15 év tapasztalattal rendelkező megfoghatatlan egyszarvú üldözésével abban a pillanatban szükséges tartományban – például a DevSecOps vagy a behatolásfelismerés -, és nem veszi figyelembe a másikat készségekre, amelyekre hosszú távon szükségük lesz. Ők lehetnek a legtehetségesebb személyek ezen az egy területen, de elegendő munkára van szükségük ahhoz, hogy elfoglaltak és / vagy szenvedélyesek legyenek, ami nehéz a kiberbiztonság gyorsan változó világában.

A mai üzleti alkalmazás pedig nem egyenlő a holnapi sikerrel. Technológiai változások, fenyegetések fejlődnek, és a kiberbiztonsági technológiai bázis összhangban van. A mai technikai standardok hamarosan elavultak, ezért a legfontosabb tulajdonság az, hogy képesek legyenek megoldani a problémákat és alkalmazkodni, így képesek reagálni az új kihívásokra és leküzdeni azokat.

Hogyan tud valakit boldoggá tenni, ha inkább egy tulajdonságba illeszti, mintsem készség alakú lyukba? Alapozza meg alkalmazását egy három-öt éves ütemterven belül. Például, ha kiberbiztonsági diplomát vesz fel, az illető nem akar 10 évig ebben a szerepben lenni. Rajtad múlik, hogy készítsen-e tervet a szakmai növekedés érdekében.

Használnia kell azokat olyan projektekben, amelyek további tapasztalatokat és készségeket nyújtanak, miközben lehetőségeket keres arra, hogy meglévő technikai készségeit más projektekhez igazítsa. Például kérje meg őket, hogy árnyékolják a csapat többi tagját. Így megőrzi tehetségét: irányított ütemtervvel. És ha valóban szüksége van erre az egy szempontú technikai szakemberre, csak vállalkozót vegyen fel, nem pedig állandó alkalmazottat.

Legyen érzékeny a személyiségtípusokra

Egy másik tulajdonság, amelyet gyakran figyelmen kívül hagynak, az érzelmi intelligencia és a személyiségtípusok. Ez változik – az idei F-Secure felmérés az információbiztonsági főtisztek (CISO) vezetői megállapították, hogy kétharmada megértette az érzelmi intelligencia egyre fontosabb szerepét az üzleti életben való eligazodásban. Ez a mentalitás alkalmazható és kell, hogy érvényesüljön a kiberbiztonsági csapatban, mivel ez alapvetően megváltoztathatja kohézióját.

Ha összetartó csoportot alkot, biztosíthatja, hogy a csapattagok jól működjenek másokkal. Még akkor is, ha a legimpozánsabb önéletrajzzal rendelkezik, munkamódszere ellentmond a csapatnak, és felboríthatja a csapat egyensúlyát. Semmiféle szakértelem nem képes pótolni ezt a kárt, ezért a megfelelő megítélés meghozatala arról, hogy a jelölt miként illeszkedik be a meglévő ökoszisztémába az elején, ugyanolyan fontos, mint a képesítések összegyűjtése a hatásos csapat felépítésében.

Itt az önéletrajzok és sok interjú súlyos hiányosságokat mutat. Nulla betekintést nyerhet valaki személyiségének olvasásába egy fertőtlenített tapasztalatok listáján keresztül, vagy kikérheti véleményét egy biztonsági keretről. Tehát használja az interjúkat a fátyol mögé, szokatlan kérdések feltevésével, amelyekre a jelöltek valószínűleg nem gyakoroltak választ, hogy betekintést nyerjenek abba, hogy kik is ők. Gyakran kérdezem: “Mi a véleményed egy jó hétvégéről?” megtudni, hogyan helyezik előtérbe az élet dolgait – és hajlandóságuk a kérdések őszinte megválaszolására.

Legyen reális az elvárásokkal kapcsolatban

Sok diplomát felfújt ötletekkel láttak el a kiberbiztonsági munkaerőpiacról, ami az elvárások és a valóság eltérésének kockázatát jelentette. Ennek eredményeként a vezetők felvételén múlik, hogy tisztában legyenek-e a karrier valójában – egyidejűleg megteremtve azokat a jövőbeli fejlődési lehetőségeket, amelyek elősegítik az új alkalmazottak karrierjét.

Az irreális elvárások legjobb ellenszere a teljes átláthatóság. Az alkalmazottaknak nagyon világos képet kell festeniük a jelölt számára arról, hogy mi a valóság az új alkalmazottak számára, ideértve a fizetést az álláshirdetésre. Kaliforniában a vállalatoknak meg kell mondaniuk a pályázóknak a szerep fizetés sávját, ha kérdezik, de nem látom értelmét a várakozásnak.

Győződjön meg arról, hogy ezek összhangban vannak-e a földrajzával és a szerep idősebbségével, használja Radford kompenzációs referenciaértékei kellő gondosságra. Ügyeljen arra, hogy a toborzási folyamat elején megbeszélje a fizetési követelményeket – ez az egyik leggyakoribb buktató, ezért ne halogassa. És ötvözze ezt a korai átrendeződést a hosszú távú előmenetel iránti elkötelezettség mellett, így még akkor is, ha a diplomások nem kapják meg azt a csillogást, amelyet korán hamisan ígértek nekik, tudják, hogy vannak lehetőségek a növekedésre.

A vállalkozások nem engedhetik meg maguknak, hogy ebben az éghajlatban hatástalan szakemberekből álló kiberbiztonsági csapat legyen – kudarcot vallanak, mielőtt még nekilátnak. Nyilvánvalónak tűnhet, de a kiberbiztonsági csapat és tehetség növelése és megerősítése alapvető fontosságú, hogy még mindig sok vállalkozás téved.

De ha lágy készségeket vesznek fel, nem pedig tapasztalatokat, érzékenyek a személyiségtípusokra és előre reagálnak a szerep elvárásaira, a vállalkozások fokozott védekezéssel támogathatják védekezésüket, és felkészíthetik csapataikat a jövőre való alkalmazkodásra.


Russ Kirby a CISO ForgeRock.