网络安全专家比以往任何时候都更受欢迎,这不是什么秘密,但如果你的选择是内部招聘或外包,那么哪种方法更好呢?
根据定义,网络安全是指保护任何连接到互联网的系统、软件或数据免受未经授权的访问、攻击或与黑客、网络钓鱼、恶意软件和勒索软件攻击相关的威胁的实践。该游戏的目的是确保敏感信息和系统的机密性、完整性和可用性,并最大限度地减少安全漏洞带来的任何潜在损害。
虽然这看起来相对简单,雇佣网络安全专家不是。来自Checkpoint的新数据发现,与去年同期相比,全球网络攻击增加了38%在美国,仅美国就激增了57%。
鉴于网络安全的复杂性质,许多组织都在争先恐后地寻找合适的人来保护他们的数字资产——他们知道需要解决这个问题,但不太确定如何进行。如果这在你的组织中引起了共鸣,听起来太熟悉了,那么第一步就是确定是外包还是内部雇佣。
网络安全在组织中扮演什么角色?
虽然我们大多数人似乎都明白网络安全在商业企业中的重要性,但很少有人能够确定网络安全专家的日常生活到底是什么样的。
在最简单的形式中,网络安全领域涉及保护系统、网络和敏感信息免受未经授权的访问、盗窃或损坏。尽管这一概念仍然适用于个人,但在越来越多的事件、威胁和攻击之后,世界各地的公司都理所当然地优先考虑网络安全。
在商业协议中,网络安全专家负责识别和减轻潜在的安全风险,应对安全事件,并采取措施防止未来事件的发生。其他主要职责领域包括:
1.风险评估
网络安全专家将定期运行报告,以确定可能受到网络攻击影响的信息资产,如硬件、系统、笔记本电脑、客户数据和知识产权。风险评估对于评估组织当前的安全级别和识别潜在的安全风险(如系统或流程中的漏洞)至关重要。
2.事件响应
事件响应是一个术语,用于描述组织处理数据泄露或网络攻击的过程,包括组织试图管理攻击或破坏后果的方式。网络安全专家不仅负责防止任何数字威胁,而且是确保更广泛的团队在发生网络攻击时知道下一步该怎么做的关键。
3.安全监视
不管你喜不喜欢,网络安全不是一个可以用“设定并忘记”的心态来对待的领域。随着技术的快速发展,漏洞、威胁或攻击的性质也在迅速发展。需要网络安全专家收集和分析组织面临的新的和正在出现的威胁信息,持续监控系统和网络的安全事件和异常情况。
4.数据保护
任何网络安全专家的关键职责是确保敏感数据得到保护和安全存储,此外还要采取措施防止潜在的数据丢失或被盗。这通常包括量身定制的访问控制措施,旨在确保只有获得授权的个人才能访问敏感信息和系统。
5.培训和合规
网络安全专家通常会就保护组织的最佳实践对员工进行培训。虽然这似乎是常识,但员工培训是确保组织符合相关安全标准的一个组成部分,例如支付卡行业数据安全标准(PCI DSS)或通用数据保护条例(GDPR)。
为什么在2023年比以往任何时候都更需要网络安全专家
近年来,网络犯罪越来越多地占据着新闻头条,没有任何组织或行业能够幸免于潜在的入侵。平均而言,它需要197天去发现,69天去控制网络犯罪事件,但网络攻击的真实成本,如诉讼、保险费率上涨、刑事调查和负面报道,很容易对公司造成无法弥补的损失,并需要数年时间才能恢复。
根据“2021年网络安全弹性状况埃森哲的一份报告显示,数据泄露的成本将从每年约3万亿美元上升到2024年的5万亿美元以上。值得庆幸的是,对抗潜在威胁、保护数字资产并避免成为另一个统计数据的关键策略之一是寻求合格的网络安全专家的帮助。
不幸的是,这通常是第一个痛点。雇佣一名网络安全专家并不容易,尤其是如果你自己在这个领域不是特别熟练的话。很难将顶级人才与那些自称是顶级人才的人区分开来,尤其是当我们面临一场危机的时候网络安全技能短缺世界各地。
尽管去年已有46.4万个内部网络安全职位空缺,网络安全人才缺口的增长是劳动力缺口的两倍,同比增长26.2%。因此,许多公司认为解决劳动力危机的方法是外包,这也就不足为奇了——但事实真的如此吗?
公司应该外包网络安全还是内部雇佣员工?
曾几何时,外包部分业务运营的概念会让人感到震惊和恐惧。这个概念立即与离岸呼叫中心联系在一起,或与那些根本不了解或不关心他们所代表或合作的业务的第三方联系在一起。
今天,情况完全不同了。在2019冠状病毒病之后,许多企业被迫为老问题考虑新的解决方案,例如劳动力短缺或获得可能不住在你所在城市的合适类型的行业专家。
虽然数字革命使外包比以往任何时候都容易,但这不是一个案例可以网络安全应该外包,而不是应该网络安全外包?此外,外包it安全是否安全?虽然这些都是在为您的组织做出最佳选择之前应该探索的有效主题,但现实是没有一个适用于所有问题的解决方案。
尽管人们相信选择外包网络安全更容易、更便宜,但真正的成本是多少?糟糕的外包决策导致了近三分之二的数据泄露安全公司Trustwave在过去一年的调查中发现,63%与IT系统管理的第三方网络安全组件故障有关。
Trustwave欧洲主管约翰•杨(John Yeo)表示,被入侵的组织通常不够勤奋,无法确定他们希望合作的第三方是否会像他们自己一样认真对待数据安全。
“企业太急于通过外包节省成本,但却没有真正认识到外包可能带来的安全风险。第三方评估过程往往集中在成本和服务水平协议(sla)上,而不是真正考虑安全性。”
虽然外包网络安全不应该被视为本质上的坏事,但这些类型的入侵确实突出了内部拥有自己团队的一个关键好处:控制。
有了网络安全专家,管理层可以控制哪些人直接在他们的业务网络内工作,以及他们可以访问哪些类型的信息。他们可以监控他们的网络安全专家在做什么,并确保他们接受组织文化。
内部团队还可以了解机密的业务计划,并深入了解他们所工作的组织。他们不仅知道网络硬件和软件,还知道面孔、名字和日常活动。
就像最好的数据备份系统在不同的媒体上有多个副本一样,许多企业既选择内部团队成员,也选择外包网络安全专家。从成本的角度来看,这意味着他们可以拥有一个规模较小的内部团队,并具备扩大规模的能力对网络安全事件的响应.
虽然理想的路径将取决于您的组织的性质,但任何超过几百名员工且没有内部网络安全专家的组织可能已经忽略了内部的潜在威胁。
如何自信地聘请网络安全专家
ISACA的《2022年网络安全状况》报告指出62%的组织感觉他们在网络安全专业人员方面人手不足。雪上加霜的是,该研究发现,60%的企业难以留住合格的网络安全员工。
同一项调查显示,网络安全人员离职的主要原因是他们被其他公司招聘。调查显示,员工离职的其他主要原因是工作压力大和缺乏管理层支持。
从根本上说,网络安全招聘需要改变这些行业专业人士敏锐地意识到他们的技能有多么抢手。如果你的公司能够提供灵活性,实际的工作量,以及候选人在你的组织中期望的预览,那么你已经领先了竞争对手一步——但是你如何实现这些基准呢?
自信地雇佣网络安全专家的关键是工作模拟。网络安全专业人员的经验和技能不是可以通过标准面试来衡量的,然而,无数公司继续使用不切实际的方法过时的招聘方法来吸引这类人才。
工作模拟不依赖于简历、学位甚至面试,而是将候选人置于网络模拟中,以验证他们的网络安全技能。除了基础知识外,招聘经理还能够根据网络安全专家在工作中可能遇到的工作类型定制模拟。
当工作模拟的结果最终确定时,公司不仅可以很好地了解申请人的技术知识,还可以了解他们管理利益相关者和跨部门工作的能力。
对于求职者来说,工作模拟也为他们提供了在公司工作期间预计会遇到的工作类型的预览,这对于减少人员流失来说是革命性的这通常是由于工作与预期不同造成的.
作为一家公司,Vervoe渴望在技术允许的情况下尽可能模拟角色的任务。工作模拟,比如我们新的网络安全模拟在面试中,你可以完全按照求职者在工作中遇到的情况来模拟任务,让招聘人员在面试中了解他们的表现。
作为未来的招聘工具,工作模拟正迅速成为确定高技能职位理想候选人的关键,尤其是在网络安全领域。
见见网络安全招聘专家
Vervoe是一个端到端人工智能解决方案它通过技能测试、工作模拟和机器学习招聘.Vervoe允许企业根据职位的具体要求量身定制评估,通过展示每个候选人的才能的工作模拟来预测业绩。
通过技能评估来评估申请人履行职位的能力,我们的工作模拟关注的是工作,而不是人。看到人们在得到工作之前就做好工作,预订演示让我们经验丰富的团队为您介绍Vervoe的全套现成和量身定制的解决方案。