ITOps安全应注意培训

IT运营安全(ITOps)可能是一门难以学习的语言，但是为了获得最佳的安全性能、准确性和协调性，企业应该投资于对ITOps团队的培训。

ITOps团队在安全方面越熟练，在部署IT安全概念和工具时遇到的障碍就越少。在本文中，我们将探讨为什么ITOps中存在IT安全缺陷、技能差距在哪里以及如何使企业的IT支持人员与时俱进。

我最近与Open Commons Consortium的首席信息安全官Plamen Martinov谈到了ITOps安全流畅性缺陷，该组织支持医学和科学界的云计算举措。他已经多次目睹了这个问题。他说，通常情况下，安全事件只会引起一线IT员工的注意，由于缺乏了解或无效且孤立的通信渠道而导致处理不当。对于ITOps人员技能水平的错误假设是一个促成因素，特别是因为与其他人相比，ITOps是一个相对较新的领域。

营销、会计和金融等都是稳定的职业，这些职业都需要接受很多前期培训和持续培训，为工作人员取得成功提供必不可少的基础。根据Martinov的说法，与其他组织角色相比，IT是一个非常新的概念，他们得到不同的对待，并且ITOps专业人员没有接受相同的培训。人们通常认为IT领域的每个人都精通IT安全流程和程序，但Martinov表示，事实并非如此。

ITOps员工需要通用安全语言和工具

尽管ITOps员工不需要成为IT安全专家，但Martinov表示，了解企业安全策略并传达基本知识很重要。因此，通用语言对于在团队之间成功交换信息至关重要。例如，如果正确实施，NIST网络安全框架可以为不同IT部门的员工提供一种易于理解的语言进行沟通、协调和协作。

另一个IT运营安全培训的差距围绕着保护和监控公司基础架构的工具。很多企业仅允许安全团队访问这些工具。因此，只有IT安全管理员获得培训，只有他们才能正确读取工具生成的警报并对警报做出反应-这使其他前线工作人员陷入困境。此外，ITOps团队通常会部署自己的安全监视工具，而不是共享已经存在的现有监视工具。这会造成不必要的重叠，并最终在IT部门内造成工具混乱。

Martinov的建议：应允许ITOps访问安全程序的技术，使企业内部的安全性更加开放，以及充分培训员工正确使用这些工具。他说，在某些情况下，供应商为IT运营人员创建专门的安全工具仪表板和功能，帮助他们完成繁重的工作。他强调，如果ITOps团队可以获得并查看安全团队相同安全信息，他们将能够利用他们的知识和经验做出正确的安全决策。

ITOps安全需要文化变革

实现ITOps安全需要从内部进行文化变革。企业领导者必须重新评估他们愿意承受的IT安全风险级别。现在人们越来越担心企业中的数据失窃和丢失，因此业务主管对风险的容忍度可能会比以前想象的要小。如果是这样的话，那么，根据Martinov的说法，谈论将安全放在首位和安全放在首位将是两回事。

他建议，首先业务领导者应关注企业的形象。他们必须确定对于网络安全企业希望成为什么样的公司，并且必须清楚地了解该形象。然后，他们可以开始进行组织性和文化变革以实现该形象。在Martinov看来，积极成果是短暂的，除非良好的安全习惯成为企业形象的一部分，而这只能通过持续不断的培训来实现。