会员登录
会员注册
话虽如此,Maley还是愿意招聘认证信息系统安全专家、认证信息系统审计师或者认证信息安全管理员――也就是说,前提是他有钱请得起他们。
Maley 说:“我好希望说自己在招聘CISSP,但我付不起足够高的薪水给这些人。”至于CISA或者CISM,Maley表示,CISSP通常持有这些证书,这表明了他所说的固有工作经验,即CISSP原本就具有他们的工作经验。他说:“除非对方拥有工作经验,否则还是别招为好。”
Maley提到请不起CISSP时表示,没钱去请条件合格的安全员工向来是自己为州政府负责网络安全工作面临的“最大的挑战之一”。实际上,Maley估计公共部门与私营部门付给安全员工的薪水相差20%到100%之间。
Maley说:“我手下有一名员工后来跑到了私营部门,薪水就翻了一番。如果让我来招安全专家,即便给了对方最高级别的薪水待遇,还是无法接近他们在私营部门所拿的薪水。”Maley也没有想到招进来的员工会长期留在自己身边。
为了避免身边的是没有经验的安全员工,他采取的对策就是招聘“没见过多大世面的人”――他们有时刚从大学毕业,不过又很有潜力。
吸引这些员工的地方在于有机会在大企业环境工作;在这种环境中,安全员工有机会发现露出苗头的网络攻击。举例说,在过去的六个月里,Maley领导的安全团队就发现了“风暴”特洛伊木马的三个变种,而其他地方没有发现这三个变种。考虑到赛门铁克公司在4月8日发布的那份安全威胁报告,这不足为怪。该报告提到,针对可能受到最终用户信任的网站的攻击出现了变化。
Maley 说:“我手下的团队有机会与这种木马作斗争,加以分析,而且在与坏人的较量中处在领先位置。”他表示,新进员工获得了重大、“激动人心”的项目方面的实际经验,其中有个项目涉及渗透测试,这种测试采用Core Security公司的技术,实现了局部自动化,应对病毒爆发带来的重复干扰。
Maley还指导招来的新手如何丰富履历。他知道,他们终究会离开公司;但如果他们在职期间能够丰富履历、能够快乐地学习,那么他们呆在公司的时间就会长得多――任何缺少收入的公司都可以充分运用这个方法。
面对技能有限的安全员工时,你一定要对他搞破坏的本事有所约制。这种方法被一些人称为“对他加以限制”,不过有一种更恰当的办法来对待这样的安全员工。一家知名安全公司的安全工程师Anthony Scalzitti表示,那就针对不大重要的系统为他们分配任务,比如调查可疑的日志活动或者入侵检测系统报告,从而限制可能会犯的错误。
另一种合适的安全角色不会让技能有限的员工陷入麻烦,那就是让他们出席其他业务小组参加的会议,确保安全部门知道哪些项目即将动工。派安全代表参与小组会议还有助于提醒同事们在设计阶段就要考虑到安全特性,而不是设计及开发完成后才把安全特性硬塞进去。
Scalzitti说:“派新来不久或者比较年轻的安全员工担任这个代表。就算他们没有太大的贡献,如果他们参加会议,别人会说‘哦,我们这里有安全人员。’他们觉得有义务考虑安全性。这个人可能没有太大的贡献,但安全小组中经验比较丰富的成员会告诉他下一步该怎么说。”
实际上,许多公司在为把安全作为一个质量要素集成到应用程序开发当中而努力,安全与项目进度、抗故障性、可扩展性以及满足业务要求的需要等方面一样重要。因而,公司有一名资历较深的安全员工不但有助于对安全新手进行教育、让他远离麻烦,还有助于让其他部门听到安全部门的心声。
Scalzitti说:“这些是重要的角色,那样即使出现了错误,一般也不至于影响公司业务。”
自命不凡的安全员工恰好与傻乎乎的安全员工形成了鲜明对照,不过与他们打交道同样不轻松。这些员工觉得花时间去处理某些小儿科任务是大材小用,比如审查日志或者活动警报、进行简单的配置审查,或者与其他业务小组开会。
对待这类自命不凡的员工时,Scalzitti派他们去研究媒体上曝光的安全事件,并且收得了成效。他表示,目的在于让这些安全精英明白这个道理:实际上80%的事件归咎于针对容易下手的目标的简单攻击。
他说:“在信息安全领域,企图攻击的黑客有好多机会来选择一家公司作为下手。除非他们对某一家公司怀恨在心,否则会把目光瞄准容易下手的目标,不是特别针对哪一家公司。说服自命不凡的员工去研究容易下手的目标,这可能得花一点时间,不过他们会逐步对攻击是如何发生的有一个基本认识。”
通过种种办法来对待安全部门里面的“烂苹果”是好事,不过预防远胜于治疗。许多公司对新来员工制订有90天试用期政策。一旦过了试用期,大多数州规定:如果没有正当理由,雇主就不得随便解雇员工。从中得到的教训是:在头90天内要牢牢盯着新来的安全雇员,以免被不够格的安全员工所牵累。