由于政府数据保护的重要性和复杂性增强,导致信息安全的影响和范围不断扩大。大多数联邦信息安全的领导者关注的重点由安全操作转到降低风险。
最大的进步是现在不再试图消除信息的风险。相反采取风险管理方法,其特点是:识别并传达业务领域的风险,向风险业主提供有用的风险权衡方法并支持业主的对风险的处理决定。
然而,大多数的信息安全团队不具备管理这些风险的技能。 CEB研究发现,78%首席信息安全官认为,信息安全的客户并不认为在制定关键业务决策时信息安全团队是值得信赖的合作伙伴。近三分之二的安全官认为,信息安全客户不容易找到可开展工作的伙伴。此外,近三分之二的首席信息安全官表示,在过去三年其增加了对人才管理的时间,20%的首席信息安全官每周花一天时间进行人才管理活动,如训练与开发,绩效管理和人才规划。
尽管进行了显著的投资,首席信息安全官担忧三个方面的挑战:
采购挑战。很难达到IT技术人员与雇佣的平衡。一旦领导找到优秀的员工,很难留住他们。研究表明,37%高水平的信息安全专业人员打算在一年之内的寻找新工作。
结构性挑战。信息安全团队规模和复杂性不断壮大,即兴的人才管理方式不能持续进行。新技术迅速发展,需要新的技能,如业务接口技术,风险评估和高级威胁防御。
性能的挑战。根据我们的基准测试,三分之一现有员工不符合业绩预期。安全专业人士不具备所需要的“软”技能,技术人员并没有掌握最新技术。
由于信息安全团队需要承担真正的风险管理,因此其寻求可与业务伙伴进行合作的员工。考虑到找到相关人员存在困难,领导者必须采取多管齐下的方式来发展自己的团队:
采用基于能力的人才管理方法。竞争力比经验和认证资格能更好的预测员工。领导者应为团队定义能力,并利用其来驱动聘用,发展和规划。
建立和促进有效的雇佣价值主张吸引顶尖人才。招聘工作可以让领导者深入渗透到劳动力市场,吸引高端人才。
客户参与整个人才生命周期。每周客户至少一次与85%的安全员工互动,招聘经理必须从客户的角度出发做决策。
在战略性人才管理活动投入更多的时间。注重人才战略对结果的影响是管理每天任务对结果影响的2.25倍。将部分活动优先处理,如在创建可持续团队过程中,建立劳动力战略计划。
如果联邦领导人对信息安全挑战和威胁进行评估并做出有效的反应,他们需要建立,发展和保留不同种类的信息安全团队。