商界和政府的高级领导人应该注意到ISACA对2019年网络安全状况的研究,该研究详细介绍了一项全球网络安全专业人士调查的结果。
报告强调了许多我们网络安全专业人士长期以来痛苦意识到的问题:招募和留住精通技术的网络安全专业人士越来越困难;虽然性别多样化项目取得了积极成果,但对这些项目的支持可能正在减弱;网络安全专业人士担心,用于网络安全项目的预算正在持平或下降。
尽管大多数高层领导人已经对这些问题敏感,但这份报告应该会激发解决这些问题的紧迫感。我认为,解决这些问题的传统方法不足以弥补这一局势,我们需要寻求其他领导办法来填补这一空白。
由于网络安全专业人员的需求如此之高/密度如此之低,企业应该跳出常规思维,确保在正确的时间、正确的地点、正确的地点拥有正确的人员、正确的技能。他们需要寻找其他人才来源。举个例子,我非常喜欢再培训人员。Reskilling(再技能培训)指对现有员工进行新技能培训以填补空缺的情况。在美国空军服役期间,我看到这种技术得到了很大的应用,我们对中层安全部队人员进行了信息技术和网络安全技能培训。我认识的一些最好的网络安全专家是前空军警察。对员工进行再培训是高级领导人可以用来弥补差距的工具。
留住令人垂涎的网络安全人员总是困难重重,尤其是当公司承诺提供更好的薪酬和福利时。高级领导人应该认真审视网络安全人员的薪酬,他们中的大多数人都被低估了。当你考虑到网络安全专业人员保护的“风险价值”时,有充分的理由表明,在许多组织中,网络安全人员没有获得适当或有竞争力的补偿。
对于网络安全专业人士来说,薪酬不仅仅是赚钱那么简单。而是关于被重视。它意味着看到组织通过投资于正确的技术并确保其员工接受由组织支付的继续专业教育来展示其对员工(及其客户)的承诺。这意味着指派理解并欣赏技术在推动业务成功和公平分享回报方面的作用的领导者。我服务过的最好的组织确保员工培训在预算中,并且团队的每个成员都知道我们作为一个组织,在他们身上投资了什么。事实上,由于我的组织的承诺,我通过ISACA获得了CISM认证。在挽留员工方面,领导力很重要。
同样,在培养一个重视每个人贡献的环境方面,领导力也很重要。我知道多元化给组织带来的价值,当我看到多元化项目被视为在走下坡路时,我也会注意到这一点。ISACA 2019年的网络安全调查结果应该会促使你的组织进行内部调查。你的多元化计划是否步入正轨,并达到你目前和未来的目标?你是否有合适的人员来确保你的经验、思想、文化和观点的多样性?你的多元化培训计划是否达到了你所需要的效果?如果以上任何一个问题的答案都是否定的,那么现在是领导人站出来的时候了。
要解决本报告强调的问题,需要有效和知情的领导。让我们都发挥领导作用,让事情变得更好。
来源:Gregory J. Touhill