揭露網路安全行業中人才及技能短缺的現狀
儘管很多企業首席信息安全官們(CISOs)如今已經找到了成功構建有效網路安全團隊的方法,但是大多數行業專家仍然認為,想要實現這一過程並非易事。其中,獲得抱怨最多的一個現狀就是,沒有豐富經驗、技能嫻熟的安全專業人員來填補現有的職位空缺。但是事實上,如果企業組織知道去哪裡尋找他們,其實是有足夠的人才供他們所用的。
儘管如此,以下數據仍然顯示這樣一個現實:市場對安全人才的限制是一個非常真實的因素,下面就是最新數據揭示的具體內容:
1.長期(Long-Term)職位空缺是常態
根據ISACA的調查數據結果顯示,如今,大多數的組織都在努力填補他們在網路安全職位方面的空缺。但是有大約一半的組織報告稱,「他們能在6個月內填補網路安全職位的空缺」。而只有不到十分之一的受訪組織表示,「他們可以在一個月內迅速填補職位空缺」。
2.崗位技能短缺現狀
根據Cyber Edge Group的一項年度調查報告顯示,網路安全技能短缺已經成為安全領導日益重視的問題。它已經從「第五大最緊迫的問題」轉移到了安全的首要障礙。在現有的人才中,最短缺的角色是通用型安全管理員以及SOC(安全運營中心)應急響應人員。
3.最急缺的安全技能組合
與此同時,Dark Reading(外媒網站)在一項針對網路安全專業人士的調查中發現,不僅僅是基於個體角色(如上述的通用型安全管理員以及SOC應急響應人員)的技能空缺難以填補,那些既具備相關技能,又對與特定組織相關的環境和行業所存在的固有風險有深刻認識的專業人士就更難尋找了。
4.技能短缺意味著什麼?
當組織無力填補網路安全職位空缺時,他們將面臨與風險相關的嚴峻挑戰。其中最明顯的是,組織中優秀的員工會產生職業倦怠(指個體在工作重壓下產生的身心疲勞與耗竭的狀態)的風險。接近三分之二的受訪組織表示,如果存在職位空缺,就意味著現有員工的工作量會大幅增加,而這通常會導致他們筋疲力盡。還有大約五分之二的受訪組織表示,如果現有員工都耗盡心力忙著填補因職位空缺產生的額外工作,這意味著他們不太可能在安全問題上進行戰略性的規劃和思考,同時,也不太可能將網路安全與企業業務結合起來,以及不太可能幫助企業從昂貴的安全支出中獲得最大收益。
5.面對網路安全職位空缺,我們說得太多做的太少
由Vanson Bourne代表McAfee進行的一項最新的網路安全技能調查發現,雖然有84%的組織報告稱,在聘請技能熟練的安全專業人員方面存在一定的困難,但事實上,其中的很多組織並沒有真正做些什麼來地吸引人才。那些抱怨無法聘請到優秀安全專業人員的組織,一般都不太可能提供培訓機會、靈活的工作時間或是接觸新技術的機會。
6.安全培訓:重要卻總被忽略
如果組織想要克服市場對安全技能的限制,最明顯有效的方式之一就是增加對培訓方面的投資。安全培訓不僅可以提高和保持現有團隊成員的技能水平,而且還是吸引那些最需要不斷提升自身技能的網路安全專業人員的一個重要招聘工具。不幸的是,根據Dark Reading進行的一項調查發現,只有不到四分之一的組織報告稱,「他們為其安全人員提供了最新的培訓內容」。
這通常是由於在培訓材料和專門用於完成培訓的工作時間方面的投資不足所致。根據Cybrary最近的一項調查結果顯示,只有大約15%的僱主承擔了他們所有的安全專業人員的培訓費用。
7.克服對安全培訓投資的恐懼
企業很多時候都不敢在員工培訓方面投入太多資金,因為他們擔心員工一旦掌握了新的技能,自身能力的提升後就可能會被一家新的公司挖走,如此一來,所有投入都付諸東流了。
根據相關調查顯示,近一半的安全專業人士報告稱,獵頭和招聘人員至少每周都會向他們諮詢一次「是否考慮嘗試新的工作機會」。但是,出於對新工作環境和技能培訓的恐懼,他們很多時候會選擇放棄。獵頭公司和其他招聘專家表示,組織必須努力改善自身的工作環境,增強自身吸引力。最明顯的是由於技能短缺所產生的薪水的增加,而且還意味著通過更好的培訓、靈活的工作時間、晉陞機會和合理的工作量來改善工作文化。
8.非常規智慧:招聘遊戲玩家
最後,對於面臨絕大人才缺失壓力的組織而言,不妨進行一些更具創造性的招聘工作。Vanson Bourne和McAfee最近的一個想法是考慮開發遊戲社區。近四分之三(72%)的招聘經理表示,他們認為僱傭有經驗的視頻遊戲玩家可能是創造性地填補安全技能空白的好方法,即使這些玩家沒有相關的網路安全知識。調查顯示,一個有經驗的遊戲玩家通常具備安全職業中的相關技能,這正是招聘經理正在尋找的目標人選。
邁克菲首席信息安全官Grant Bourzikas表示,McAfee每兩周就會為其員工舉辦一次桌面練習,而且每個月還會進行一次實戰演練(red exercises)。他表示,
我認為,遊戲化可以幫助人們更為直觀、深刻地認識他們的日常安全任務。網路安全新手希望能夠專註於新的威脅、攻擊以及攻擊媒介,但是大多數人並不喜歡(只是)做一些基本的操作。
遊戲訓練能夠為玩家提供洞察網路安全威脅所必需的經驗和關鍵技能,例如邏輯性、毅力,對網路犯罪分子所使用的手段的理解等等。而且,遊戲玩家還比傳統網路安全從業者更容易接納新鮮事物。Bourzikas表示,
遊戲可以激發玩家對問題的不同想法,讓他們能夠從錯誤中學習如何擊敗對手。
.
本文翻譯自:https://www.darkreading.com/stats-on-the-cybersecurity-skills-shortage-how-bad-is-it-really/d/d-id/1331504如若轉載,請註明原文地址: http://www.4hou.com/info/industry/11172.html 更多內容請關注「嘶吼專業版」——Pro4hou
推薦閱讀:
※Red Alert 2.0:可以阻止和記錄銀行來電的新型Android銀行木馬
※Linux 防火牆技術
※數據治理戰略將成為重要課題
※用漫畫告訴你黑客的攻擊是怎麼回事 | 泡泡白話
TAG:信息安全 |