Skip to main content

Fujitsu

English | 日本語

China

存档内容

注意:该页面为存档页面,其内容可能已过时。

在内部培养安全工程师的关键因素

在许多私营和公共领域,常常被安全工程师的短缺的问题所困扰。然而,对此只是抱怨无法解决问题。找寻合适候选人的第一步是激发员工对于安全的兴趣。此后,关键的因素是建立一个体系,认证和/或培训具有安全工程师潜力的员工,提高其自我意识,强化动机,并且获得包括管理层在内整个公司的支持,。那么,为了开发人力资源,我们要如何建立这个积极的成长循环?

2016年再次充满了网络攻击带来的烦扰,公司和政府遭受重大损失。最近,勒索软件成为威胁,攻击者对你的数据进行加密或者锁定你的计算机,从而进行勒索。任何组织都必须立即加强安全措施。

我们需要保护自己。虽然越来越多的公司正在建立“计算机安全事故反应团队”(CSIRT),但是许多公司发现,很难找到能够胜任的安全人员履行职责。因此,CSIRT几乎都无法充分运行。

安全人员的短缺是一个严重的问题。根据信息技术促进署(IPA)发布的“IT/安全人力资源发展基本研究”(2014),目前缺乏22,000名安全工程师。加上技能不熟练的安全工程师,该数字增至140,000名。

在内部培训安全工程师并非易事。为安全工程师职业路径确定必要的技能并且创建发展结构比较容易,但是如果没有候选人这个非常重要的因素,则一切都无从谈起。

许多公司抱怨:在内部很难找到适合IT安全工作的人员。然而,如果提高其自我意识,强化动机,激发兴趣和潜力,则有机会扩展其整体技能,从而在各种岗位予以使用。富士通完善了这一模式,甚至对系统进行改进,详细安排安全人员。

首先,安全人员可视化

2014年1月,富士通启动“富士通安全方案”,这是认证网络安全工程师的初始系统,旨在发现具有安全技能的工程师,分析不同部门安全人员的技能水平,系统地开发这些人力资源。根据“美国NICE网络安全劳动力框架”和其它来源对理想的安全人员进行定义。

具有安全知识和兴趣的人员并非限于ICT部门,应当通过技能定义和认证系统在公司内的每个运营部门寻找候选人。安全人员遍布各个运营部门将会加强公司的安全性。

富士通将网络安全人员分为三类。第一类是现场专业人员,即熟悉安全事宜的一般系统工程师(SE),旨在提高公司提供的服务的安全性。最初的目标是在每50名员工中认证一名现场专业人员,现场专业人员的总数为560名。每个部门约有50名员工,因此每个部门将有自己的安全专业人员。

图1:按照公司规模估计IT安全人员(IPA调查)
来源:2014IPA报告,“IT/安全人力资源发展基本研究”

图2:专业人员概念

Masayuki OKUHARA
中心负责人
网络防御中心
网络安全业务战略单位
富士通有限公司

第二类是专家,即具有高级安全能力的工程师。该计划将认证100名专家。

最后一类是高级专家。他们是拥有极高能力的安全专家。富士通网络安全战略总部网络防御中心主任Masayuki Okuhara将这一群体描述为“拥有高超能力的人,如同超级黑客”。在其它公司,高级专家通常属于专家层,作为水平最高的专家,但是富士通的专家自行划分层次。“高级专家在远离部门的研讨会上发言,进行极具专业性的研究,他们的工作与一般专家完全不同。”(Okuhara)。他们的职责还包括广泛的基础研究,无论是否有助于业务的实施。作为领先的日本ICT公司,富士通准备找寻、培训和认证20名高级专家。

当我们开始在公司内寻找安全人员时,我们惊奇地发现人员超出了预期。我们认证的现场专业人员超过目标的两倍,达到1,300名;专家达到140名;发现了7名高级专家。

通过创建认证体系以及将分散于公司的人才可视化,作为一家公司我们能够再次认识到安全的重要性和员工的价值。

不仅拥有安全技能

富士通的安全工程师应当具有哪些技能?中心主任Okuhara指出:“很明显,他们应当具有安全资格所需的技术知识,但这并非全部。“如果缺乏在实际工作中使用的必要IT技能,例如架构、软件、网络、数据库方面的技能,他们就无法处理现场问题。

同样地,未来的安全工程师也必须拥有非IT技能。如果不能理解统计学,则无法充分应用安全方面的AI技术。根据所处领域,可能会需要法律和审计知识。而且,如果不能对社会有一个广泛的了解,则无法与上级管理层交流。

图3:安全人员技能图

除了发现和培训安全工程师,富士通还有另外一个目的,即创建自己的认证系统。“我们向大家宣传该系统,提高对于安全的认识,从而鼓励我们的员工成为安全工程师。”中心主任Okuhara表示。因此,富士通的方法旨在创建积极的成长循环,从发现人才开始,然后进行培训和认证,使其为企业作出贡献。

通过公司竞赛发现人才

发现对安全感兴趣的员工的一种方法是公司竞赛,在称为“网络靶场”的系统中进行。网络靶场是一个系统,在虚拟环境中模拟公司的系统。

网络靶场具有工作站屏幕,用于控制虚拟服务器和其它系统,网络靶场还有一个仪表盘屏幕,以具有CG效果的可视3D方式描述病毒攻击。

通过仪表盘屏幕,富士通对安全工程师进行培训,对一般员工安排安全竞赛。

安全竞赛一般每年举办一次,20-40名员工参加。仪表盘实时显示员工的分数。安全竞赛在公司创建的网络靶场系统上向员工提供独特的安全问题。

Okuhara表示:“我们力图使安全竞赛成为员工感兴趣并且愿意参加的活动。我们正在寻找新的超级明星,让他们闪耀光芒。”他继续解释:“虽然路还很长,但我们希望创建一个以安全工程师为荣的文化。我盼望着这一天的到来:当你问一个小学生长大后想从事什么工作,他们说想当安全工程师。”

对于安全人员短缺的公司来说,虽然发现、可视化和培训员工的过程可能是一项重大挑战,但也是提高公司风险应对能力的机会。这并非表示容易做到。你需要将该方案作为管理事宜精心制定,向全公司宣传,然后取得成果。这需要考虑很多事情,包括创建结构,规划具体措施,通过ICT建立系统。

这正是富士通的独到之处。我们希望向用户公司持续提供支持,基于我们发现和培训安全人员的多年经验,通过使用“富士通安全方案”和“网络靶场”等工具保持稳定的安全人员队伍。

我们提供全面的咨询服务,包括必须的认证知识和技术标准,找到未被发现的安全人员的项目,基于公司规模的安排方法。富士通学习媒体的培训服务向外部公司提供另一种选择,使用网络靶场举办研讨会。模拟的网络攻击向工程师提供论坛,展示他们的能力。参加者还会学到处理问题的首选方法以及如何在实际工作中应用。

在公司安全人员极其缺乏的情况下,使用我们的服务或采取措施和借鉴其它公司的方法可能是结构建设的捷径。

最重要的是,公司是否能够始终重视和确认培养和发现安全人员。

图4:网络靶场-模拟内部系统的虚拟环境

*2017年1月,本内容出现于TechTarget Japan。

页首top fo page