新的云安全工作需要新老技能并进

为云服务供应商工作的网络安全执行官，将安全性构建在商业服务中，并与客户端的安全人员合作，保护系统安全，防止入侵者、危险的勒索软件和其他威胁，这个职位应该叫什么？

Scott Weller的答案是首席云安全官——一种新类型的CISO。这位移动营销初创公司SessionM的联合创始人兼CTO，正忙于撰写这个正空缺的云安全职位的描述。

Weller表示：“长期以来，很多CISO一直都是关注物理环境，”他们的公司运行一个基于云的平台，让企业可以为客户个性化营销信息。“我们正在寻找的这个职位，是与云相关的安全性，因为我们的企业是围绕云的。”

云供应商——从云基础设施巨头亚马逊和微软，到更小的软件即服务供应商——正在努力提高其服务的安全性。随着云实施的加速，监管机构也严格要求。前CISO和独立顾问Candy Alexander表示，客户也是如此。

她说：“越来越多的客户和顾客都在要求云供应商：‘你必须为我们提供安全性服务。’”

一些供应商，如SessionM，正在寻找首席云安全官这个职位——或者和其类似的职位，也许名称并不一样——进一步提升了已经需求很高的云安全技能。

云安全工作的职能

对于Weller来说，这种“独角兽”职位所需的技能是广泛的。他寻找的人选，“经历过传统的金属和电缆时代，”经历过迁移到云的过程，并已经运营云一段时间了。

他想要一位IT安全专业人士，既了解诸如云爆发这样的概念——当在内部私有云中运行的应用需求达到顶峰时转移到公有云——并拥有不同云工具的实践经验。

Weller给出了一个涉及Amazon Simple Storage Service（S3）的例子。

“每个S3 bucket是如何加密的？可以在不同亚马逊区域之间进行复制吗？”他指的是亚马逊数据中心服务的地理区域。将信息存储在多个区域的公司，可以在一个区域的服务器停机时，避免其网站的速度下降，就像2月份亚马逊的运行中断，使大部分互联网速度下降。

“这些类型的情况如果发生在云中，涉及的不仅仅是安全性的概念，还包括冗余和故障转移，”Weller说，“我知道要找到一个拥有所有技能的人很难，但是他们的确存在。”

CISO，重新设想

Alexander表示，该职位与CISO的职位相似，因为主要职责是制定一项计划，随着业务向前发展，确保IT资产得到保护。但是，传统的CISO关注自己的IT运营——应用安全保障措施、管理与技术供应商的关系，并与企业的其他业务部门合作，确保对安全性的制衡。

相比之下，新的云安全工作的主要职能，是首先确保云供应商的服务中包含安全性。Alexander说，然后讨论合同细节——理想的情况下，明确各自的职责，并维护客户关系。

她说：“在过去，这个也许由产品经理负责，或者由产品交付团队的一位安全性人员负责。”

但是，如今的网络安全是企业的关键组成部分——云已经成为企业IT运营的重要组成部分——这个职位是CISO级别的升级“使客户感到他们获得了一流的服务，”Alexander说。

技术还是业务？

寻找一个人来填补新的职位可能是一个挑战。CISO的技能很难获得，并且范围还很广泛。Alexander说，今天的许多企业都意识到，他们需要的IT安全官，不仅具备技术技能，还需要具备业务技能， 这样他或她才可以和其他高级执行官和董事会成员沟通关于网络安全投资的重要性。

“传统的CISO职位，我们已经看到约18个月的流失率，”她说，那是因为许多公司招聘的CISO“并不理解技术业务，他们认为他们需要一个技术性的CISO ——结果效果并不理想，所以双方都不满意。”

她表示，云特定供应商的CISO确实需要更加技术性，因为产品本身就是技术，他们将在云服务架构上工作。而现在，市场上有更多精通行话的IT安全人员，而不是单纯的技术人员。对于像SessionM这样的云供应商来说，这是个好消息。

Alexander说：“我不认为你会看到很大的流动率，因为这是大多数技术CISO需要担任的职位。”