2018年8月8日
克服网络安全技能短缺
贡献者:Rob van der Meulen
根据对资讯科技保安人才日益增长的需求,采取“精简”的人手策略。
传统观点认为,网络安全威胁的增加需要更大的IT安全团队。Gartner研究员和研究副总裁汤姆Scholtz是时候换个角度思考了。"数字业务已经永久性地改变了风险格局,”Scholtz说。“即使在不太可能的情况下,没有资源限制,随着越来越多的威胁出现,扩大集中式网络安全功能也不一定是保护组织的最佳方式。”
“许多常规安全功能也可以由其他IT或业务功能执行”
那些考虑不同方法的人必须遵守原则数字商业安全:
- 发展安全团队从所有基础设施和数据的保护者变成整个组织中基于风险的决策的促进者。
- 完全集成安全实践进入组织结构,而不是通过集中的安全功能将它们拴在一起并强制执行。
- 分享责任保护业务流程、应用程序和数据所有者的企业资源-不再是安全团队的唯一责任。
肖尔茨说:“这些原则与建立一个不断壮大的安全团队来应对不断增长的威胁的想法背道而驰。”“事实上,许多常规安全功能可以由其他IT或业务功能执行,如果不是更好的话。”
确定可以下放到其他地方的安全功能
评估当前安全团队的有效性,以确定可以下放到业务或IT部门其他地方的功能或功能(例如用户意识通信)。确定哪些功能运行良好,因此不应该被中断,哪些功能执行得不理想,或者根本没有执行。
接下来,确定安全问题的根本原因。现有员工是否超负荷?业务部门之间是否存在政治或文化障碍?是否存在规模问题?由于这些原因而存在问题的职能可能是权力下放的候选。
如果没有专门的安全组织,这意味着IT人员和非IT人员目前都执行所有的安全功能,主要问题可能是由于缺乏协调。这种情况表明有可能建立精益治理功能。
对于安全功能不佳的人,找个新家吧
根据您的评估,确定业务或IT部门中资源不足或执行欠佳的安全功能的替代位置。替代方案应具备能力、资源、政治影响力和商业动机,以支持重新安置的职能。另一种可能是将它们外包给托管服务提供者。
“让安全决策更接近受影响的业务部门,也有助于推动更明智的决策。”
端点和网络的许多传统安全实践可以在IT基础设施和运营团队的专业人员那里找到新的归宿。应用程序安全功能可以重新分配给应用程序开发和DevOps团队。Scholtz说:“这种方法可能会导致设计出一个‘精益’的安全组织,由专门的安全领导者管理关键治理和运营活动的集中协调。”
精益方法的优点和缺点
数字安全的精益方法可以缓解网络安全领域的技能短缺。它还可以帮助在整个组织中建立对安全问题的广泛理解。考虑到所有员工都应该理解并能够管理其工作的安全影响,这是完全合适的。基于对底层流程和业务影响的更好理解,使安全决策更接近受影响的业务单元也有助于推动更明智的决策。
然而,一个关键的缺点可能是,在不同的报告线上分散安全角色和安全责任可能会破坏协调,特别是在地理上分散的组织中。但是Scholtz补充说:“明确的方向、强有力的治理和有效的项目管理应该足以将这种风险控制在可控范围内,并帮助实现精益安全组织的好处。”
体验信息技术会议
加入您的同行,在高德纳会议上揭开最新的见解。
为Gartner客户推荐的资源*:
*请注意,有些文档可能不是所有Gartner客户都能获得。
获取独家内容
订阅《最新洞察》
点击“继续”按钮,即表示您同意Gartner使用条款而且隐私政策。