Spiceworks公司研究发现,尽管80%的企业在2015年遭遇了“安全事件”,但只有29%的企业IT部门有网络安全专家,只有7%在管理团队有网络安全专家。而大部分(55%)称其企业没有任何IT安全专家,大多数企业还报告称他们在未来一年没有机会雇佣安全专家。
而与此同时,IBM研究发现,数据泄露事故平均总成本约为400万美元,每个丢失或被盗的机密文件价格约为154美元。这些数据应该引起企业领导的关注,这意味着网络安全专家将为企业节省成本。但虽然73%的CIO和高级IT领导称他们将网络安全视为2016年的优先事项,但只有56%的CTO、54%的CEO以及30%的CMO也这么认为。
AvePoint公司产品战略副总裁John Hodges表示:“对于每次新的攻击和网络犯罪攻击,越来越多的公司意识到他们也容易受到攻击。然而,网络安全技能短缺让企业更难以快速解决网络安全问题。企业应该开始集中网络安全力量围绕IT安全创建流程,应对外部威胁。”
等待网络安全专业毕业生
寻找网络安全专业人员的问题之一是,这是相对较新的技能,需要受过高等教育和认证。根据Hodges表示,这意味着劳动力发现对这种技能的需求以及潜在候选人完成相关学位、获得认证以及获得培训或经验之间存在时间差。
CTG公司战略人员配置招聘主管Judson Van Allen称,对于无法找到网络安全人才或者无法等待候选人毕业的企业,应该考虑使用第三方服务。对于小型企业特别是如此,他们可能无法在招聘战争中与大型企业相竞争。
采用第三方安全提供商可帮助减轻IT部门的负担,还可让企业继续等待网络安全候选人毕业。在几年后,当更多具有合格资历的候选人进入就业市场时,企业就可以开始建立内部团队。
缺乏内部培训
同时,你还可以在现有的团队培训未来的安全专家。但根据Spiceworks的数据显示,事实并不一定是这样。当被问及在2016年他们计划投入多少到IT培训时,57%称他们有些计划,但还需要一些推动力,而只有6%称他们已经在投资IT培训。
DarkLight Cyber公司联合创始人兼首席技术官Ryan Hohimer称:“在你自己队伍中的人才有着巨大的优势,他们已经非常了解企业。通过培训内部人员,你可节省让他们了解企业的时间。”
除了培训自己的IT安全专业人员,Hodges还建议教育员工,因为他们通常也是最大内部风险之一。他建议专注于建立安全卫华,包括强调“数据隐私第一”的态度,鼓励只收集必要的数据,并确保他们了解如何摆脱不必要的数据。
这可能需要一些说服来让企业将预算放在内部员工培训,但Skillsoft公司首席技术官Apratim Purakayastha成,这应该被视为一种投资,而不是成本。通过投资于培训,你将打造一支内部员工团队,帮助你在数据泄露事故时避免重大利益损失。
网络安全是全职工作
在网络安全员工培训方面的一个忠告是,网络安全是全职工作。你不能指望你的IT人员同时处理网络、服务器、硬件、软件和网络安全工作。网络安全专业人员需要花费大量时间来确定可能攻击企业的每种潜在方式。
这意味着你需要给网络安全专业人员时间、预算以及资源,以帮助他们制定防御战略。毕竟你不会想依靠严格的响应性解决方案,制定防御战略需要对网络安全的“整体视图”,特别是未来几年威胁将变得更加复杂。
减少成本
如果你犹豫是聘请网络安全专家还是培养内部人才,你可能已经在浪费钱。Hodges称,数据泄露事故应该是企业成本的一部分,企业应该进行计划并最终达到预期;而避免在数据泄露事故花费数百万美元的方法是做好准备。
Purakayastha称,对于正在努力向高管展现成本效益的IT领导来说,他们可考虑列出网络安全的法律影响。例如,当企业遭受攻击时,根据法律和合规问题,他们可能需要证明他们已经尽一切努力来防止这种攻击。如果成本节约无法打动高管团队,那么网络安全的法律影响可能会改变这一局面。
本文转自d1net(转载)