IT運(yùn)營安全(ITOps)可能是一門難以學(xué)習(xí)的語言，但是為了獲得最佳的安全性能、準(zhǔn)確性和協(xié)調(diào)性，企業(yè)應(yīng)該投資于對ITOps團(tuán)隊(duì)的培訓(xùn)。

ITOps團(tuán)隊(duì)在安全方面越熟練，在部署IT安全概念和工具時(shí)遇到的障礙就越少。在本文中，我們將探討為什么ITOps中存在IT安全缺陷、技能差距在哪里以及如何使企業(yè)的IT支持人員與時(shí)俱進(jìn)。

[[319397]]

我最近與Open Commons Consortium的首席信息安全官Plamen Martinov談到了ITOps安全流暢性缺陷，該組織支持醫(yī)學(xué)和科學(xué)界的云計(jì)算舉措。他已經(jīng)多次目睹了這個(gè)問題。他說，通常情況下，安全事件只會(huì)引起一線IT員工的注意，由于缺乏了解或無效且孤立的通信渠道而導(dǎo)致處理不當(dāng)。對于ITOps人員技能水平的錯(cuò)誤假設(shè)是一個(gè)促成因素，特別是因?yàn)榕c其他人相比，ITOps是一個(gè)相對較新的領(lǐng)域。

營銷、會(huì)計(jì)和金融等都是穩(wěn)定的職業(yè)，這些職業(yè)都需要接受很多前期培訓(xùn)和持續(xù)培訓(xùn)，為工作人員取得成功提供必不可少的基礎(chǔ)。根據(jù)Martinov的說法，與其他組織角色相比，IT是一個(gè)非常新的概念，他們得到不同的對待，并且ITOps專業(yè)人員沒有接受相同的培訓(xùn)。人們通常認(rèn)為IT領(lǐng)域的每個(gè)人都精通IT安全流程和程序，但Martinov表示，事實(shí)并非如此。

ITOps員工需要通用安全語言和工具

盡管ITOps員工不需要成為IT安全專家，但Martinov表示，了解企業(yè)安全策略并傳達(dá)基本知識很重要。因此，通用語言對于在團(tuán)隊(duì)之間成功交換信息至關(guān)重要。例如，如果正確實(shí)施，NIST網(wǎng)絡(luò)安全框架可以為不同IT部門的員工提供一種易于理解的語言進(jìn)行溝通、協(xié)調(diào)和協(xié)作。

另一個(gè)IT運(yùn)營安全培訓(xùn)的差距圍繞著保護(hù)和監(jiān)控公司基礎(chǔ)架構(gòu)的工具。很多企業(yè)僅允許安全團(tuán)隊(duì)訪問這些工具。因此，只有IT安全管理員獲得培訓(xùn)，只有他們才能正確讀取工具生成的警報(bào)并對警報(bào)做出反應(yīng)-這使其他前線工作人員陷入困境。此外，ITOps團(tuán)隊(duì)通常會(huì)部署自己的安全監(jiān)視工具，而不是共享已經(jīng)存在的現(xiàn)有監(jiān)視工具。這會(huì)造成不必要的重疊，并最終在IT部門內(nèi)造成工具混亂。

Martinov的建議：應(yīng)允許ITOps訪問安全程序的技術(shù)，使企業(yè)內(nèi)部的安全性更加開放，以及充分培訓(xùn)員工正確使用這些工具。他說，在某些情況下，供應(yīng)商為IT運(yùn)營人員創(chuàng)建專門的安全工具儀表板和功能，幫助他們完成繁重的工作。他強(qiáng)調(diào)，如果ITOps團(tuán)隊(duì)可以獲得并查看安全團(tuán)隊(duì)相同安全信息，他們將能夠利用他們的知識和經(jīng)驗(yàn)做出正確的安全決策。

ITOps安全需要文化變革

實(shí)現(xiàn)ITOps安全需要從內(nèi)部進(jìn)行文化變革。企業(yè)領(lǐng)導(dǎo)者必須重新評估他們愿意承受的IT安全風(fēng)險(xiǎn)級別?，F(xiàn)在人們越來越擔(dān)心企業(yè)中的數(shù)據(jù)失竊和丟失，因此業(yè)務(wù)主管對風(fēng)險(xiǎn)的容忍度可能會(huì)比以前想象的要小。如果是這樣的話，那么，根據(jù)Martinov的說法，談?wù)搶踩旁谑孜缓桶踩旁谑孜粚⑹莾苫厥隆?/p>

他建議，首先業(yè)務(wù)領(lǐng)導(dǎo)者應(yīng)關(guān)注企業(yè)的形象。他們必須確定對于網(wǎng)絡(luò)安全企業(yè)希望成為什么樣的公司，并且必須清楚地了解該形象。然后，他們可以開始進(jìn)行組織性和文化變革以實(shí)現(xiàn)該形象。在Martinov看來，積極成果是短暫的，除非良好的安全習(xí)慣成為企業(yè)形象的一部分，而這只能通過持續(xù)不斷的培訓(xùn)來實(shí)現(xiàn)。