セキュリティエンジニアリングチームがますます重要になっているため、CISOはそれに応じて構造と開発を調整する必要があります。これらが重要な側面です。
写真:Lipik Stock Media – shutterstock.com
セキュリティチームは主に、運用とコンプライアンス規制およびポリシーの遵守を担当する従業員で構成されています。IT セキュリティエンジニアリングチーム(新しいドイツ語ではセキュリティエンジニアリングチーム)は、建築家です。彼らはサービスを開発し、プロセスを自動化し、導入を最適化して、中央 IT セキュリティチームとそのステークホルダーをサポートします。セキュリティエンジニアリングチームは通常、ソフトウェアおよびインフラストラクチャエンジニア、アーキテクト、プロダクトマネージャーで構成されています。
IT セキュリティエンジニアリング分野の技術スキル
セキュリティエンジニアリングは本質的に技術分野であるため、この役割の基本的な要素の1つは当然技術に根ざしています。これらは、CISOがセキュリティエンジニアリングチームで伝達および開発する必要がある本質的なスキルです。
技術環境の理解
技術環境を理解し、その中で作業することが重要であることは自明のように思われます。しかし、たとえば企業がKubernetesにサービスを展開していて、テクニカルチームがコンテナを使用した経験がない場合、これは問題です。IT環境全体の高度な技術的理解は、セキュリティチームに肯定的な影響を与えます。
これに対する反論は、スキル、問題解決の視点、および企業のさまざまな領域での経験レベルに関して多様なチームを育成することです。性別と民族性から教育背景、以前の職務経験、年齢に至るまで、チームでこの多様性を追求および促進する方法はもちろん多くあります。多様性は、アイデアが質問され、議論され、繰り返されるときに、チームの創造的エネルギーを大幅に増加させる可能性があります。
ただし、リーダーはさまざまな視点と経験を慎重に扱う必要があります。思考と協力プロセスのバリエーションと摩擦の過度な量は、望ましい効果の反対につながる可能性があります。多くの場合、分析パラリシスが発生し、チームが行動ではなく行動を考える状態に留まります。過度に異なるチームから生じる可能性のある同様の状態は、相互に関連するエラー条件を持つ相互に接続された結果の複雑なセットです。
スタック全体をマスターする
IT セキュリティエンジニアリングチームは、開発したサービスを構築および運用できる必要があります。グループ内のこの程度の所有権は、技術的能力の観点からも文化的観点からも非常に重要です。責任に関する基調を設定します。技術的には、サービスを自分で管理できるチームは、インフラストラクチャ、CI/CDツール、セキュリティツール、アプリケーションコード、デプロイメント、およびサービスから発生する運用テレメトリを熟練して管理します。さらに、チームによるサポートを支える能力は、企業内の他のグループをサポートするために高度に転送可能です。
開発者体験(DevX)を含める
開発者ツールDevXを理解し、採用し、最適化するセキュリティチームは、より良く協力する可能性があります。さらに、摩擦の除去に特別な焦点が当てられます。摩擦により、物事はより長くかかり、より多くのコストがかかり、学習サイクルが延長され、欲求不満が生じます。摩擦が少ないと、物事は一般的にはるかにうまく機能します。
しかし、摩擦が必要で望ましい場合もあります。一例は、マージされる前に重大なコードのコードレビューを強制することです。この中断、レビュー、マージが意識的な決定に基づいている場合、それは正当な、意識的な摩擦です。ITセキュリティチームが開発者のリリースプロセスで摩擦を求める場合、これは特定の要件(例えば、変更管理の一部として手動レビューを規定するコンプライアンスコントロール)に基づいている必要があります。これらのコントロールは軽率に適用されるべきではありません。開発者に発生する摩擦は、ITセキュリティチームが考慮した定義されていないリスクを上回る可能性のある欠点を表しています。
開発者の経験を最優先と考える IT セキュリティチームは、スタックのさまざまなレベルで高品質のソフトウェアを書くために必要なツールとワークフローを理解する必要があります。この開発者ファーストの思考方法を採用するには、インフラストラクチャまたはプラットフォームエンジニアリングの知識が必要になる場合があります。一方、IT セキュリティエンジニアリングチームの出力は、ワークフロー自動化、サービス相互接続、および本質的に成長する環境の全体的なインストルメンテーションに対処する他の人に影響を与える可能性があります。これらすべての作業により、開発者はより速く、摩擦が少なくなります。その結果、より大きな柔軟性とより迅速なデプロイメントが実現します。それはともあれ、これは特性とガイドであり、セキュリティエンジニアリングチームはその生産性から恩恵を受け、それが提供する人々への共感を育成および培養します。
セキュリティエンジニアリングのリーダーシップと協力スキル
セキュリティエンジニアリングチームは、その範囲とプロジェクト負荷に関係なく、真空内では機能しません。他の側で、他の人に奉仕して作業することは、その使命の重要な部分です。それは全体の必要な部分であり、他の人が成功した結果を達成するのを支援します。
通信と協力
セキュリティエンジニアリングチームのメンバーは、互いに、またグループの外のステークホルダーと通信できる必要があります。さらに、彼らは共通の目標を達成するために効果的に協力する能力を持つべきです。セキュリティ志向の開発の問題、摩擦点、制限、および機会を理解します。最終的には、単に効率的に作業するよりも、正しいことを行うことがより重要です。
これらのすべての質問は、対象を絞ったコミュニケーションと協力を通じて探索する必要があります。これは、人間中心の設計原則、マトリックスベースのリソース、またはチームトポロジーに基づいた配置に現れる可能性があります。もちろん、チーム内および間でのコミュニケーションと協力に対する万能な公式はありません。アプローチに関係なく、信頼構築、共感、共通の目標への関心、ミッションのための誇りを脇に置く意欲がその基礎です。
リーダーと他の人に影響を与える
ベストセラー著者でマーケティングの専門家であるセスゴディンは、誰もがリーダーになることができるという見方を支持しています。これは決定であり、タイトルではありません。それはアイデアの出会い、方向の隙間、そして関与する動機が十分な人についてです。
セキュリティエンジニアリングチームの成功は、他のサイバーセキュリティ領域と同様に、他の人に依存しています。ただし、チームのパフォーマンスに関係なく独立しています。言い換えれば、何かを構築して立ち去ることはできません。他の人の話を聞き、彼らを関与させ、採用に移動させるなど、さらに多くのことをしなければなりません。
すべてこれは、リーダーシップが必要です。より正確には、権限のないリーダーシップです。高性能チームのメンバーは、IT セキュリティエンジニアリングチーム自体をリードし、グループの外に影響力を構築および使用できる必要があります。これは他のステークホルダーまたはサービスの内部顧客と共に行うことができます。権限のないリーダーシップがチームを成功に近づけます。強力な関係、組織の知識とコンテキスト、および技術的な専門知識は、他の人に影響を与えるために一緒に持ち込む必要があります。
セキュリティエンジニアのソフトスキル
セキュリティエンジニアとチーム全体のスキルは、コミュニケーションと協力を超える必要があります。この文脈では、「ソフトスキル」という用語は、内向きである多くの非技術的スキルを指し、技術的スキルを補完します。
時間と優先順位管理
セキュリティエンジニアは常にやることがたくさんあります。技術的なスキルにより、環境のソフトウェアを作成、硬化、パッチ、または一般的に干渉するリクエストが頻繁に受け取られます。時間はすべてのチームに対する普遍的な制限です。このため、個人とチームの両方が優先順位付けをより効果的に行う必要があります。効率的であるが間違ったことをしていることは、進歩をもたらしません。作業に優先順位を付け、価値と複雑さを比較検討し、顧客満足度に焦点を当てるか、さまざまな要因を重み付けするための多くの技術があります。顧客およびコンプライアンスの要件は、多くの場合、チームの優先順位の背後にある推進力です。優先順位付けの方法は、優先順位の執拗な遵守と、より多くの貴重な時間を消費するリクエストの終わりのない大波からの保護ほど重要ではありません。
適応性
セキュリティエンジニアリングチームは、変わった要件、テクノロジー、および状況に適応できる必要があります。適応性は、あるタスクを別のタスクより優先すること以上を意味します。意思決定は、ステークホルダーのニーズに基づいて問題へのアプローチを調整しています。IT セキュリティエンジニアリングチームは、チームの成長と利害関係者のニーズの変化に基づく所有権に適応し、問題解決プロセスに多様な声グループを意識的に含める必要があります。利害関係者と IT セキュリティ組織全体への利益は、敏捷性と柔軟性にあります。敏捷なチームは、より耐性があるチームです。
継続的な学習
現在のペースの速い世界では、新しいスキル、組織の文脈、ポリシー、および方法を継続的に学ぶことができるチームは、絶対に必須です。したがって、セキュリティエンジニアリングチームのメンバーは、継続的に進化し、自分自身を更新し、既存のメンタルモデルと経験の上に構築する必要があります。このメンタルモデル構造を使用すると、人々は以前に取り組んだことと同様の特性を持つ状況に入ることができ、貢献、探索、実行を開始できます。
継続的な学習は、組織内の文化にも影響を与える可能性があります。知識は交換につながり、交換は議論につながり、新しいことについての議論は関心と会話を目覚めさせます。企業全体を渡す精神モデルのこの集合的な発展、および IT セキュリティに対処する方法は、協力の文化を前進させます。
この高度に専門化された分野での作業は、高性能なチームが技術のみに焦点を当てることができることを意味しません。人、問題の調査、関係の構築、優先順位の設定はすべて、高性能なセキュリティエンジニアリングチームの重要な部分です。チームを構築する場合は、これらの要素に投資および維持することを確認してください。(jm)
