随着网络安全形势日益严峻,企业对网络安全专业人员的需求不断加大。未来的安全领导者一定是掌握丰富技能的安全专家,紧跟行业发展,拥有积极的影响力。
ISC2 新发布了安全白皮书探讨了与日益剧增的数字化相关的利益和风险,以及我们如何获得组织所需的技术和软技能,白皮书大致包括以下内容:
如何克服使企业处于危险之中的网络安全挑战;
如何产生积极和持久的影响力,优秀的网络安全专家都需要哪些软硬技能;
探讨网络安全行业成功的领导者必备的9个关键特质;
下边简单对白皮书中提到内容进行整理归总,具体内容如下:
优秀的网络安全专家所需技能
技术技能组合
- 对新兴技术的深入了解
- 对安全最佳实践的深刻认识
- 全面了解监管环境
软技能
- 领导力和沟通
- 对学习的热情
- 协作、团队协作
- 分析和批判性思维
- 项目管理
企业面临的网络挑战风险
- 威胁格局正在变化和扩大
- 个人数据、证书是主要GJ目标
- 钓鱼GJ是GJ者在企业网络中获得存在感的第一步
- 云计算安全问题备受关注
- 工业GJ正在增加
成功的网络安全专家的9个特点
像企业领导者一样思考
- 将网络安全从一个支持功能转变为提升企业声誉、收入、品牌资产和客户关系的业务推动者。
- 领导力的一部分是促进内部和外部的合作伙伴关系,确保始终满足业务需求,同时以更有效的方式管理相关的网络风险
建立和实践强有力的网络卫生
- 因为有效和持续地实施强有力的网络卫生可能会降低过去十年中大多数的网络GJ
保护对任务关键资产的访问
- 根据“最低特权”原则保护对任务关键资产的访问,同时,建立强大的身份和访问管理系统。
保护电子邮件,防止网络钓鱼
- 电子邮件是最有价值、使用最广泛的企业通信手段之一,但是根据Verizon的DBIR 2020报告,它是最常见的网络GJ载体。
采用零信任的方法来确保供应链安全
- 不要以为公司可以在其“安全”的企业网络周边内安然无样。
- 无边界零信任的方法将控制权置于数据资产周围,并提高了数据资产在整个数字商业生态系统中使用的可视性。
预防、监控和应对新出现的网络威胁
- 通过根据组织的业务环境制定一个强而有力的基于风险的方法,预防、监控和应对新出现的网络威胁。所实施的安全服务必须符合目的,并适合组织在人员、流程和技术方面的需求。
制定和实施全面的危机管理计划
- 在当今世界,危机管理是任何安全计划的重要组成部分。
- 及时沟通安全事件,与透明化、简单化一样重要,才能与客户形成稳固的信任关系。
建立一个强大的、量身定制的灾难恢复计划
- 建立一个强大的、量身定制的灾难恢复计划,以保护组织免受潜在的网络GJ,并指导如何应对数据泄露的情况,同时减少识别泄露和恢复关键服务所需的时间。
倡导网络安全文化
- 将用户置于第一道防线,并认可所有员工在组织安全中的关键作用。保证组织的安全是每个员工的责任
CISSP通用知识体系提供的8个知识域
- 安全和风险管理
- 资产安全
- 安全架构和工程
- 通信和网络安全
- 身份和访问管理
- 安全评估和测试
- 安全运营
- 软件开发安全
- 广泛安全知识的重要性