邁入2019年,網(wǎng)絡(luò)安全風(fēng)險加劇,網(wǎng)絡(luò)安全人才缺口也不斷加大。根據(jù)普華永道的報告,2019年網(wǎng)絡(luò)安全人才缺口可能達到150萬。如此龐大的數(shù)量對于企業(yè)而言已經(jīng)不僅僅是挑戰(zhàn),甚至快趕上災(zāi)難了。但是除了焦慮,大家似乎也沒找到有效的方法來解決這個問題。人們往往覺得,人才缺口就是沒有合適的人才導(dǎo)致的。而事實也許并非完全如此。 網(wǎng)絡(luò)安全人才發(fā)展現(xiàn)狀參照邁克菲針對澳大利亞網(wǎng)絡(luò)安全從業(yè)者的調(diào)研報告,當(dāng)前網(wǎng)絡(luò)安全人才的發(fā)展呈現(xiàn)出一定的特點和趨勢: 大多數(shù)受訪者對于優(yōu)秀網(wǎng)絡(luò)安全從業(yè)者應(yīng)當(dāng)具備的素質(zhì)有著共識。例如:通俗易懂地解釋技術(shù)概念;分析能力;團隊協(xié)作能力;良好的溝通交流能力等。但是,27%的受訪者無法列舉出優(yōu)秀網(wǎng)絡(luò)安全從業(yè)者必備的某項具體技能。這表明,業(yè)內(nèi)對于合格或優(yōu)秀網(wǎng)絡(luò)安全從業(yè)者的技能定義還不夠明確、對于真正多樣化且優(yōu)秀的網(wǎng)絡(luò)安全團隊也缺乏精準(zhǔn)定義。這種狀況實際上會影響全面、高效的網(wǎng)絡(luò)安全隊伍建設(shè)。 此外,大多數(shù)網(wǎng)絡(luò)安全從業(yè)者(84%的受訪者)都具備中學(xué)以上的教育學(xué)歷(其中49%的人是工程或IT專業(yè)、通信或網(wǎng)絡(luò)安全專業(yè);而49%的人完全沒有任何網(wǎng)絡(luò)安全專業(yè)資質(zhì)),僅16%的受訪者表示曾經(jīng)在其他行業(yè)工作或者從事過與網(wǎng)絡(luò)安全無關(guān)的工作。網(wǎng)絡(luò)安全人才招聘僅限于行業(yè)內(nèi)部并不利于行業(yè)的多樣性發(fā)展,在科技和行業(yè)都迅速發(fā)展的今天,這樣的招聘模式可能也或帶來潛在的局限性。 大多數(shù)網(wǎng)絡(luò)安全從業(yè)者的工作內(nèi)容是運營或管理,而涉及安全策略、安全教育或安全咨詢的從業(yè)者較少。這樣的結(jié)果其實也反映了國內(nèi)網(wǎng)絡(luò)安全從業(yè)人員現(xiàn)狀?!吨袊畔踩珡臉I(yè)人員現(xiàn)狀調(diào)查報告》(2017年度)顯示,當(dāng)前網(wǎng)絡(luò)安全領(lǐng)域最缺乏的就是戰(zhàn)略規(guī)劃、架構(gòu)設(shè)計類人才。34%的受訪者認(rèn)為自己花費了一半以上的時間處理網(wǎng)絡(luò)安全工作;57%的管理者認(rèn)為招聘員工很困難,其中安全運營的人才最難找。這些數(shù)據(jù)表明,很多從業(yè)者都曲解了網(wǎng)絡(luò)安全職責(zé),將其與其他工作內(nèi)容混雜,甚至?xí)晕以O(shè)限,導(dǎo)致企業(yè)的應(yīng)急響應(yīng)受限。這同樣給企業(yè)敲響了警鐘:應(yīng)當(dāng)引進更多的自動化技術(shù)產(chǎn)品,將員工從技術(shù)和應(yīng)急響應(yīng)中解放出來,投入到策略性、整體性的工作中去。 當(dāng)前形勢下,以網(wǎng)絡(luò)安全為專業(yè)或者具備網(wǎng)絡(luò)安全從業(yè)經(jīng)驗的人員數(shù)量的確不足以填補缺口。但對于需求方而言,真正的人才不能僅僅靠經(jīng)驗或?qū)I(yè)、證書等條件來評判。網(wǎng)絡(luò)安全企業(yè)在人才建設(shè)過程中,除了單純的招聘與團隊擴充,也可以考慮利用多種方式激發(fā)內(nèi)部員工潛能,或讓其他行業(yè)有潛力的人才開啟網(wǎng)絡(luò)安全職業(yè)生涯,為未來發(fā)展開辟更多道路。 緩解網(wǎng)絡(luò)安全人才短缺問題一、提升招聘成功率1.擴展招聘渠道 對于企業(yè)而言,填補人才缺口的首要選擇就是加大招聘力度。但有時候,單純增加職位需求或增加薪酬福利并不能找到理想的人才。有時候,還需要擴展招聘渠道,尋找更多目標(biāo)群體。除了計算機專業(yè)、科研院所的人才,還可以考慮其他專業(yè)或社群。通俗來說,也就是尋找業(yè)內(nèi)所說的民間力量。很多白帽子或漏洞獵人通常利用業(yè)余時間涉足網(wǎng)絡(luò)安全。他們也許并非從事網(wǎng)絡(luò)安全行業(yè),專業(yè)或職業(yè)背景五花八門,但他們都對網(wǎng)絡(luò)安全有濃厚興趣,且自我驅(qū)動力強、善于學(xué)習(xí)。如果能找到這樣一群人并將其轉(zhuǎn)化為專業(yè)人員,將為網(wǎng)絡(luò)安全行業(yè)和企業(yè)帶來新的觀點、經(jīng)驗與思路,為抵御風(fēng)險、打擊網(wǎng)絡(luò)犯罪分子提供更多可能性。 2.合理描述職位需求 很多企業(yè)招聘時,對于一個崗位的要求太多太嚴(yán)格,會讓應(yīng)聘者望而生畏。還有一些企業(yè)只注重要求而沒有展示企業(yè)能給員工帶來的成長與收獲,很容易會流失一些優(yōu)秀種子。一般來說,可以找專業(yè)寫手撰寫招聘文章,好的文案就是成功招聘的一半。一般來說,職位名稱要準(zhǔn)確、職位描述要精簡且突出重點,還要突出企業(yè)優(yōu)勢與福利,才能吸引到人才。 3.建設(shè)包容性、多樣化的企業(yè)文化 曾有報告顯示,在網(wǎng)絡(luò)安全從業(yè)者中,女性僅占11%。此外,外行對于網(wǎng)絡(luò)安全職業(yè)的不理解以及行業(yè)內(nèi)部存在的一些種族不平等、學(xué)歷不對等、薪酬差距等問題,也是網(wǎng)絡(luò)安全人才培養(yǎng)所面臨的一大挑戰(zhàn)。 當(dāng)然,這些大環(huán)境因素的影響并非個別企業(yè)憑借自身之力就能應(yīng)對。但是,企業(yè)可以通過增加環(huán)境和文化的多樣性,來緩解短缺的問題:
對比國內(nèi)外網(wǎng)絡(luò)安全行業(yè)的企業(yè)官網(wǎng),可以看出國內(nèi)外網(wǎng)絡(luò)安全企業(yè)在文化層面以及行業(yè)發(fā)展層面都存在一些不同。一方面,國外企業(yè)普遍注重企業(yè)文化建設(shè),在官網(wǎng)通常都會專門設(shè)置頁面展示企業(yè)文化、員工發(fā)展建設(shè)活動與案例,以促進人才招聘與培養(yǎng),樹立良好的企業(yè)形象。很多網(wǎng)絡(luò)安全公司也是如此。而國內(nèi)只有部分大企業(yè)注意到了這一點。另一方面,與國外相比,國內(nèi)網(wǎng)絡(luò)安全公司起步與發(fā)展都較晚,較為注重技術(shù)、產(chǎn)品等核心業(yè)務(wù),尚無暇體系化地建設(shè)企業(yè)文化、樹立企業(yè)形象。這一步通常要在企業(yè)發(fā)展成熟之后考慮,但如果日常業(yè)務(wù)中有意識地逐步建設(shè),則有助于吸引人才、培養(yǎng)人才。而隨著網(wǎng)絡(luò)安全行業(yè)不斷發(fā)展成熟,整個行業(yè)的包容性與多樣性(包括減少歧視、促進平等)也會不斷增強。 二、加強網(wǎng)絡(luò)安全教育與培訓(xùn)普通企業(yè)的安全需求一般分為網(wǎng)絡(luò)安全、終端安全、惡意軟件分析、加密等四大類。此外還有威脅溯源、應(yīng)急響應(yīng)(包括網(wǎng)絡(luò)流量分析、惡意軟件逆向、終端檢測等)等多種技能要求。這些技能并非一朝一夕可以掌握,但在院校多年培養(yǎng)的專業(yè)人才數(shù)量不足的情況下,普通員工通過項目培訓(xùn)、考證以及在職工作積累和學(xué)習(xí),也能逐漸勝任一些基礎(chǔ)的網(wǎng)絡(luò)安全工作。 具體說來,可以從以下三個方面加強網(wǎng)絡(luò)安全教育與培訓(xùn),緩解網(wǎng)絡(luò)安全人才短缺問題: 1.校企合作加強網(wǎng)絡(luò)安全人才教育 企業(yè)可以與高等院校合作,結(jié)合實際情況,參與課程設(shè)置,建立實踐基地,進行項目合作、培訓(xùn)認(rèn)證、學(xué)習(xí)實踐、培訓(xùn)及推廣交流等。從多個方面培養(yǎng)具備理論知識和實踐經(jīng)驗的網(wǎng)絡(luò)安全人才。 2.培訓(xùn)與認(rèn)證 如今網(wǎng)絡(luò)安全相關(guān)的網(wǎng)站、文章、課程等層出不窮,為網(wǎng)絡(luò)安全知識的培訓(xùn)與普及提供了豐富資源。At&T、安永、普華永道以及國內(nèi)的一些網(wǎng)絡(luò)安全公司都提供安全培訓(xùn)和服務(wù)。此外,CISSP、CISP等證書認(rèn)證考試也有完善的教育和培訓(xùn)過程。這些都有助于培養(yǎng)網(wǎng)絡(luò)安全從業(yè)人員。 3.安全意識培訓(xùn) 對于普通的員工的安全意識培訓(xùn)也不可或缺。讓員工意識到數(shù)據(jù)安全的重要性,讓員工在密碼設(shè)置、訪問認(rèn)證、內(nèi)外網(wǎng)連接、郵件收發(fā)、移動辦公等過程中遵守規(guī)則、合理操作,形成企業(yè)內(nèi)良好的安全氛圍,有助于降低安全風(fēng)險,減輕安全人員的壓力。這部分具體的內(nèi)容,我們在另一篇文章中曾有提及,感興趣的讀者可以點擊查看。卡巴斯基近期推出了一款安全意識培訓(xùn)平臺,主打自動化和靈活性,很適合小企業(yè)使用,也可作為一個參考。 通過合適的培訓(xùn),甚至還可以將其他行業(yè)的人才發(fā)展為網(wǎng)絡(luò)安全人才,如刑偵警察、游戲玩家等……這跟前文提到的擴展招聘渠道可以同步實踐。 網(wǎng)絡(luò)安全人才招聘與培養(yǎng)四問四答本文的最后,以網(wǎng)絡(luò)安全人才招聘與培養(yǎng)四問作結(jié)。 1.我們究竟需要什么樣的人才?根據(jù)《中國信息安全從業(yè)人員現(xiàn)狀調(diào)查報告》(2017年度),我國網(wǎng)絡(luò)安全行業(yè)最緊缺的是戰(zhàn)略規(guī)劃、架構(gòu)設(shè)計類人才。根據(jù)《2017 年全球信息安全人員研究報告》,全球網(wǎng)絡(luò)安全行業(yè)最緊缺的是運行和安全管理和事件/威脅管理以及取證類人才。 而總體來說,除了具備網(wǎng)絡(luò)安全知識、技能,能夠應(yīng)對安全問題的人才外,有全局觀、能給出企業(yè)級安全解決方案的專家級人才,是整個行業(yè)最渴求的。 2.如何為行業(yè)輸送人才?在高校的網(wǎng)絡(luò)安全教育中,高校教師既要做講師和教練,還做領(lǐng)航者。在學(xué)生學(xué)習(xí)過程的不同階段,為學(xué)生梳理在不同階段需要學(xué)習(xí)的知識點,同時因材施教。對于網(wǎng)絡(luò)安全專業(yè)的學(xué)生,可以以需求為導(dǎo)向,支持多層次的競賽工作,以賽促練。同時,還要注重學(xué)生與普通民眾的安全通識教育。 企業(yè)在安全崗位建設(shè)中,以市場需求為導(dǎo)向,合理設(shè)置網(wǎng)絡(luò)安全保障工作內(nèi)容,明確各崗位的能力要求。設(shè)置不同從業(yè)資質(zhì)的指標(biāo),建立從業(yè)標(biāo)準(zhǔn),并與學(xué)?;蚺嘤?xùn)機構(gòu)合作,參考資質(zhì)要求和標(biāo)準(zhǔn),共同培養(yǎng)具備相應(yīng)能力的人才。 3.如何讓整個行業(yè)變得更具有吸引力?當(dāng)前形勢下,整個網(wǎng)絡(luò)安全行業(yè)前景大好,政府、企業(yè)、全民對網(wǎng)絡(luò) 安全的重視程度提高,也在一定程度上促進了整個行業(yè)的影響力。提升企業(yè)內(nèi)部以及整個行業(yè)對網(wǎng)絡(luò)安全的重視程度,才能讓從業(yè)者感受到工作的價值與意義。同時,讓網(wǎng)絡(luò)安全員工合理地參與到公司的業(yè)務(wù)流程,了解業(yè)務(wù)策略、IT架構(gòu)以及安全架構(gòu),有助于安全工作有效進展。此外,尊重在職網(wǎng)絡(luò)安全人才的發(fā)展與成長,提供培訓(xùn)、提供繼續(xù)教育支持、提供明確晉升通道和良好工作、學(xué)習(xí)氛圍等,不僅能提升員工能力和積極性,也能更好地應(yīng)對不斷出現(xiàn)的安全威脅。當(dāng)然,合理的薪酬福利也是提升吸引力的關(guān)鍵。 4.是否找對了人?是否用對了人?在網(wǎng)絡(luò)安全行業(yè),威脅評估、風(fēng)險管理、運營、分析等不同的工作對應(yīng)著不同的崗位,也有著不同的技能要求。想找到合適的人才,就要明確各個崗位的職責(zé)和要求。例如,要想讓安全運營中心良好運轉(zhuǎn),就要找既懂技術(shù)也懂應(yīng)急響應(yīng)的員工,而不能找只懂風(fēng)險的員工。因為他們不僅要知道風(fēng)險的閾值,還要知道可以緩解或增加風(fēng)險因素,還要知道如何從技術(shù)層面控制風(fēng)險。也就是說,企業(yè)一定要明確自身對網(wǎng)絡(luò)安全的具體需求,明確所招聘人才的角色定位,同時在單位內(nèi)部建立完善的網(wǎng)絡(luò)安全管理制度,才能用對人,用好人。 (內(nèi)容來源:FreeBuf.COM) |
|