企業首席信息安全官(CISO)每天都會考慮很多問題——從網絡犯罪到補丁管理,從董事會報告到數據丟失預防,這些問題似乎是無窮無盡的。但大多數首席信息安全官(CISO)處理的最緊迫的問題之一是人員配置策略和繼任計劃。
作者:EarlDuby來源:企業網D1Net|2021-01-1410:45收藏分享
企業首席信息安全官(CISO)每天都會考慮很多問題——從網絡犯罪到補丁管理,從董事會報告到數據丟失預防,這些問題似乎是無窮無盡的。但大多數首席信息安全官(CISO)處理的最緊迫的問題之一是人員配置策略和繼任計劃。
造成這種壓力和擔憂的是網絡安全工作市場面臨的兩個主要趨勢。首先是缺乏熟練的安全專業人員,無法填補全球各地的職位需求,根據ISC2公司的統計,在全球范圍內,空缺的職位超過400萬個,北美地區超過40萬個。首席信息安全官(CISO)面臨的更大問題是,他們現有團隊中真正有技能的專業人員數量較少,并且總是擔心他們會離職。首席信息安全官(CISO)的目標是避免失去這些關鍵員工,從而導致他們難以填補更多空缺職位。
首席信息安全官(CISO)面臨的第二個問題是其自身隊伍的人員流失問題。從某些方面來看,首席信息安全官(CISO)的平均任期在18到36個月,許多人任職的時間甚至更短。無論是為了獲得更高的薪酬,對組織預算的不滿或風險偏好,在高級的信息安全職位上都有大量的人員流失。高層人員的流失通常會導致業務不穩定和市場機會下降。一家公司提供的入職機會將會成為另一家公司的人員離職問題。人才流失是一個非常令人擔憂的問題。
面對這些不利因素,首席信息安全官(CISO)必須不斷關注自己的信息安全團隊的去向,并為保留專業人才而努力,并建立一個結構,以確保不斷受到網絡安全問題困擾的團隊的長期成功。以下是一些保留專業人才并幫助他們茁壯成長的建議:
1.培訓他們。首席信息安全官(CISO)要做的第一件事就是培訓團隊成員以利于其職業生涯發展,并為他們提供學習新技能和新技術的機會。雖然提供培訓的成本昂貴,但是為團隊成員的培訓支付費用是值得的。
2.吸引他們。首席信息安全官(CISO)需要花費時間陪伴團隊成員。不要只是給團隊成員發郵件,還要和他們面對面交流。雖然這很難,但沒有什么投資比對團隊成員的投資更重要。
3.挑戰他們。大多數優秀安全專業人員的主要特征是好奇心,即需要解開謎底。可以通過使人們擺脫孤島并進行交叉訓練來培養這種好奇心。這有很多好處,其中包括擴展單個團隊成員的技能,以加深其在任何給定領域的工作經驗。
4.領導他們。很多領導者關注團隊中的人才。信息安全技術很復雜,以至于首席信息安全官(CISO)并不能解決所有問題。因為團隊還有很多問題。正如StanleyMcChrystal在《團隊的團隊》(TeamofTeams)一書中所指出的那樣,信息安全是領導者難以預測、監控和控制能力的領域之一。因此可以分散責任(但要保持責任心),其他團隊成員將會尊重領導者。
5.指導他們。要真正制定可靠的繼任計劃并保留關鍵人才,首席信息安全官(CISO)必須在助手上投入更多的時間。采用關鍵和必要的指導。當首席信息安全官(CISO)與其團隊成員在一起的時候,需要為那些有能力接管其工作的人員投入更多的時間。
6.感謝他們。首席信息安全官(CISO)非常清楚地了解到,人才需要一些時間成長和成熟,需要感謝領導者提供的幫助,感謝他們所做的工作。
需要記住,首席信息安全官(CISO)只能控制導致員工離職的變量。有些人可能會離職,他們在其他公司也獲得了首席信息安全官(CISO)的職位。其他人可能由于其配偶在另一地點工作而離職。還有一些人可能會對企業新的政策感到不滿。首席信息安全官(CISO)可以控制自己所控制的事物,需要花時間把這些事情做好。
