Gartner：未来的IT安全工作将关注风险管理策略

信息安全威胁和技术在将来会变成什么样？这些变化对IT或IT安全公司里的人员会带来什么影响？如果正如Gartner信息安全峰会中的专家所说的，那么IT安全工作中将会更少涉及到安全技术、更多地关注风险管理策略，方案中安全隐患部分的或者减少，或者会变得更加复杂。但总的来说，安全工作都将发生变化。
　　的确，对于彻头彻尾的技术人员来说，工作的趣味性也随之变淡了。他们表示，技术和服务的发展成熟需要大量保护企业这样一系列艰苦的工作，技术熟练程度较低的技术人员很大程度上只能去填补价格低廉的劳动力市场。

　　在一系列关键谈话中，发言人深入阐述了他的观点：IT安全专家逐渐回扮演风险管理策略高级业务管理咨询师的角色。

　　Gartner分析师F. Christian Byrnes说：“你能将公司目前所有或至少是IT范围内的风险有效地报告给你的IT高管吗？可能他们会要求你这么做。”

　　Byrnes表示，如果安全技术人员希望发展的话，他们就需要掌握一些与业务相关的学科：风险管理、关系管理和程序管理。了解了业务（这也是激励CIO们的一些咒语），也就为成为首席安全信息官作好了充分的准备。安全主管需要笔头和口头上的一些技巧将信息风险表达成业务管理能够抓住并最终进行处理的紧急事宜。

　　　有关2016年两种安全意见和风险管理策略

　　Byrnes所表述的未来的状况就是需要新技术来防御的新威胁比率在2013年减少，到2016年在线安全技术人员的需求会全面减少。

　　“这是什么意思？对拥有表面级（surface-level）安全技术知识的职员需求会增多，但会对深层技术人员的需求会减少。至少是对目前存在的一些技术来说是这样。” Byrnes说。需求比率增长最大的可能是工资低的那些外包人员。

　　Gartner分析师John Pescatore,表示：另外一种情况就是推断到2016年，信息安全威胁还和现在一样复杂，或者更加复杂。在将来，内部用户使用难控制的技术时就很可能遇到最大的风险。从云计算到众包（crowdsourcing），这些都让企业很容易受到攻击或威胁。也反过来会促进安全专家出台更多的规范。

　　Pescatore表示，但是在这第二种情况中，信息安全的工作方式会有所改变。

　　　信息安全工作会逐渐衰退

　　所以，哪一项IT安全任务会留下，哪些又会衰退呢？据Pescatore表示，一些职位的确会被外包，或已经适用于反映IT状态或业务流程。到2016年研究人员的弱点就会被弱点即服务（Vulnerability as a Service）所替代。

　　防火墙/干扰预防专家也会被通信研究主管替代，主要负责企业所有的通信安全，不仅仅是网络。突发事件报表即服务（Incident Reporting as a Service）会代替事件监控人员。参透测试将变成业务流程安全测试。公司将要求采取对敏感数据监控而不是进行数据分类。到2015年对安全架构师的需求将会达到巅峰，架构师这一职位也会随之迁移到企业架构团队中来。

　　参与本次会谈的Hogan & Hartson LLP律师事务所安全工程师Ben Greenberg对他所从事职业的发展方向很没有信息。

　　Greenberg说：“我是一名‘网虫’，以后可能也是这样。我发现现在更多的人都正转向成为经理、更少的人为工程师。”

　　安全工程师的实际工作已经转而变成了研究解决方案并告诉其他人应该做什么了。例如，Greenberg和同事Wesley Hinkle，他也是一名安全工程师，最近就在为公司的二十四个办公室分析入侵防御系统及其实施。事实上，这项工作被指定外包给安全供应商了。

　　成为风险业务达成最有吸引力的地方在哪里？Greenberg说：“主要是工资吸引我，其他东西我都觉得挺讨厌的。”