企业机密数据防护 由安全管理员控制入手

核心提示： Maley表示，招聘管理人员时，企业机密数据防护 由安全管理员控制入手(3)，拥有较多资格证书的人确实能够让人印象深刻，并且能够轻松通过面试，给他们提供挑战机会，但是对于那些真正的不可教的安全人员又完全不是这么回事了，但面试官们应该认真阅读面试人员的简历，并核对其经验与资格证书是否相符

Maley表示，招聘管理人员时，拥有较多资格证书的人确实能够让人印象深刻，并且能够轻松通过面试。但面试官们应该认真阅读面试人员的简历，并核对其经验与资格证书是否相符。

如今琳琅满目的认证中，CISSP(认证信息系统安全专业人员)、CISA(认证信息系统审计人员)以及CISM(认证信息安全管理人员)认证是具有巨大的竞争优势的。

专家表示，拥有CISSP的人通常能够反应出他所谓的“内在经验”，因为如果持证者没有相关经验的话，是不可能获得认证证书的。

经验的重要性

对于企业安全而言，组建一个勤奋而具有开拓性的安全团队是十分必要的。然而对于如何获取这些安全团队的成员，每家公司的认知并不相同，Maley建议，“雇佣那些有前途的新手，对于他们来说，能够有机会积累网络攻击经验是很重要的事情。”

对于新手来说，能够在一些重大事件或项目中获取宝贵的经验是很开心的事情，Maley补充说。

Anthony Scalzitti，某主要安全软件公司的安全工程师有着相反的看法，“很多安全公司都坚持雇佣技术不熟练的员工或者安全新手，如果你的公司正是这种情况，那么你就应该限制这些安全人员可能搞砸整个公司的能力，可以让他们在不太重要的系统工作称。例如，你可以让这些人员调查可疑的日志记录或者入侵检测系统报告。”

通常情况下，会有一些安全初学者认为类似工作是浪费他们的时间，例如审查日志记录或者行为预警，做简单的配置审查或者与其他业务部门开会等。

Scalzitti表示，他已经成功地让那些安全新手着手研究出现在媒体中的安全事件，实现这个目的的关键在于让安全专家们发现80%的安全事故都是由于简单的机会主义攻击造成的。

“在信息安全中，我们给黑客们提供了各种攻击的机会，他们一般会攻击容易下手的公司。让你的安全新手们去检查那些容易被攻击的漏洞，这可能需要花费一些时间，但是他们会认识到细节将决定成败，简单的错误可能导致巨大的安全威胁。”Scalzitti补充道。

结语

最后，我们回到最开始的话题，你可以训练那些安全新手，对他们进行督导，给他们提供挑战机会，但是对于那些真正的不可教的安全人员又完全不是这么回事了，唯一的解决办法就是最开始的时候就不要雇佣他。