近日,全球著名网络安全公司迈克菲(McAfee)在培训内部网络安全专业人士方面分享了其第一手经验,并发布了有关其他企业组织如何填补网络安全职位空缺的新数据。
迈克菲首席信息安全官Grant Bourzikas表示,“游戏化”是培养和保留网络安全人才的关键方式之一。这是他自己的公司在从英特尔剥离出来后建立其安全运营中心时所采用的战略,而且由Vanson Bourne代表McAfee进行的一项研究数据发现,约3/4(72%)的受访组织认为,将经验丰富的电子游戏玩家招入IT部门,是填补网络安全领域技能差距的一个好办法。所以,为了打击网络犯罪分子,企业可以考虑招聘游戏玩家从事与网络安全相关的工作。
根据这项针对多家大型公司(在美国、英国、德国、法国、新加坡、澳大利亚和日本拥有500名或以上员工)的300名高级安全经理和650名网络安全从业者进行了问卷调查结果显示,对于一个稳定且成功的安全运营中心而言,人员方面所存在的最大挑战就是“留住人才”,只有这些人才工作的越开心,技能越熟练,才能更好地完成操作并且留下来的时间也会越长。
大约54%的安全专家表示他们对自己的工作“非常满意”,并且每年会参与一次或多次“夺旗”游戏;而只有14%的安全专家对于参与这种游戏演练表示“不开心”。
Bourzikas说,McAfee每两周就会为其员工举办一次桌面练习,而且每个月还会进行一次实战演练。
我认为,游戏化可以帮助人们更为直观、深刻地认识他们的日常安全任务。网络安全新手希望能够专注于新的威胁、攻击以及攻击媒介,但是大多数人并不喜欢(只是)做一些基本的操作。
游戏训练能够为玩家提供洞察网络安全威胁所必需的经验和关键技能,例如逻辑性、毅力,对网络犯罪分子所使用的手段的理解等等。而且,游戏玩家还比传统网络安全从业者更容易接纳新鲜事物。Bourzikas表示,“游戏可以激发玩家对问题的不同想法,让他们能够从错误中学习如何击败对手。”
作为迈克菲桌面练习的一部分,参与者可以学习理解违规行为的类型,以及如何处理这些违规行为。他说,“这种练习可以帮助员工思考网络现状并提出应对这些威胁情境的新方法。桌面练习的目的是让我们明白如何理解和应对我们今天所做出的威胁预设。”
大约52%的受访组织表示,他们每年都是经历大规模的员工流失。近85%的受访组织表示,很难寻找到自己需要的人才,但有31%的受访者表示,他们并没有积极地去吸收新鲜血液。
我的观点是,目前的挑战更多的是技能短缺而不是人员短缺。因此,制定能够吸引、留住和发展人才的人才战略就显得至关重要了。如何为那些步入职业道路的人才提供合适的奖励,并让他们能够感觉到这是组织对其的补偿和照顾是一门很深的学问。
迈克菲的最新研究结果显示,近90%的安全专业人士表示,他们会考虑离开目前的工作岗位,并去寻找其他具备合理激励措施的企业;而只有35%的人表示他们“非常满意”目前的工作并会坚持下去。
根据Dark Reading网站去年发布的《信息安全技能短缺调查》报告显示,超过一半的组织声称拥有一些高技能的员工,但也有一些员工“需要接受更多培训”。报告还指出,只有不到四分之一的受访者表示,他们的团队训练有素,并掌握最新的技术和威胁场景。
自动化
当然,自动化对于处理日常的安全运营工作和其他安全任务而言,是提升效率和节省人力的利器。超过80%的受访者表示,自动化能够使安全防御更好地发挥作用。1/4的受访者表示,自动化能够让他们腾出时间,专注于创新和增值工作。Bourzikas指出,机器学习、神经网络、人工智能以及人机交互等自动化技术是解放人力、保障组织安全的关键所在。他说:“如果能够自动化处理我们面对的这些日常安全任务,那么我们就可以节省出时间用来专注其余更重要的部分。”
McAfee网络安全运营部门的信息安全总监Bill Woods表示,目前还没有完全安全的系统。
“你必须接受这样一个现实,即你永远无法拥有坚不可破的网络系统。它就像是一盘棋局,无论你如何部署,对手总会找到一些破绽,吃掉你的其中一些棋子。网络攻防是一场永不停歇的战斗,当然这也是网络工作能够保持新鲜感的原因所在。毕竟,谁也无法预料明天会出现什么新技术、新威胁;以及明天又会是谁遭殃!”
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
