知識星球來自FreeBuf.COM
*參考來源:McAfee, pwc, cpomagazine等
邁入2019年,網路安全風險加劇,網路安全人才缺口也不斷加大。根據普華永道的報告,2019年網路安全人才缺口可能達到150萬。如此龐大的數量對於企業而言已經不僅僅是挑戰,甚至快趕上災難了。但是除了焦慮,大家似乎也沒找到有效的方法來解決這個問題。人們往往覺得,人才缺口就是沒有合適的人才導致的。而事實也許並非完全如此。
網路安全人才發展現狀
參照邁克菲針對澳大利亞網路安全從業者的調研報告,當前網路安全人才的發展呈現出一定的特點和趨勢:
大多數受訪者對於優秀網路安全從業者應當具備的素質有著共識。例如:通俗易懂地解釋技術概念;分析能力;團隊協作能力;良好的溝通交流能力等。但是,27%的受訪者無法列舉出優秀網路安全從業者必備的某項具體技能。這表明,業內對於合格或優秀網路安全從業者的技能定義還不夠明確、對於真正多樣化且優秀的網路安全團隊也缺乏精準定義。這種狀況實際上會影響全面、高效的網路安全隊伍建設。
此外,大多數網路安全從業者(84%的受訪者)都具備中學以上的教育學歷(其中49%的人是工程或IT專業、通訊或網路安全專業;而49%的人完全沒有任何網路安全專業資質),僅16%的受訪者表示曾經在其他行業工作或者從事過與網路安全無關的工作。網路安全人才招聘僅限於行業內部並不利於行業的多樣性發展,在科技和行業都迅速發展的今天,這樣的招聘樣式可能也或帶來潛在的侷限性。
大多數網路安全從業者的工作內容是運營或管理,而涉及安全策略、安全教育或安全諮詢的從業者較少。這樣的結果其實也反映了國內網路安全從業人員現狀。《中國資訊保安從業人員現狀調查報告》(2017年度)顯示,當前網路安全領域最缺乏的就是戰略規劃、架構設計類人才。34%的受訪者認為自己花費了一半以上的時間處理網路安全工作;57%的管理者認為招聘員工很困難,其中安全運營的人才最難找。這些資料表明,很多從業者都曲解了網路安全職責,將其與其他工作內容混雜,甚至會自我設限,導致企業的應急響應受限。這同樣給企業敲響了警鐘:應當引進更多的自動化技術產品,將員工從技術和應急響應中解放出來,投入到策略性、整體性的工作中去。
當前形勢下,以網路安全為專業或者具備網路安全從業經驗的人員數量的確不足以填補缺口。但對於需求方而言,真正的人才不能僅僅靠經驗或專業、證書等條件來評判。網路安全企業在人才建設過程中,除了單純的招聘與團隊擴充,也可以考慮利用多種方式激發內部員工潛能,或讓其他行業有潛力的人才開啟網路安全職業生涯,為未來發展開闢更多道路。
緩解網路安全人才短缺問題
一、提升招聘成功率
1、擴充套件招聘渠道
對於企業而言,填補人才缺口的首要選擇就是加大招聘力度。但有時候,單純增加職位需求或增加薪酬福利並不能找到理想的人才。有時候,還需要擴充套件招聘渠道,尋找更多標的群體。除了計算機專業、科研院所的人才,還可以考慮其他專業或社群。通俗來說,也就是尋找業內所說的民間力量。很多白帽子或漏洞獵人通常利用業餘時間涉足網路安全。他們也許並非從事網路安全行業,專業或職業背景五花八門,但他們都對網路安全有濃厚興趣,且自我驅動力強、善於學習。如果能找到這樣一群人並將其轉化為專業人員,將為網路安全行業和企業帶來新的觀點、經驗與思路,為抵禦風險、打擊網路犯罪分子提供更多可能性。
2、合理描述職位需求
很多企業招聘時,對於一個崗位的要求太多太嚴格,會讓應聘者望而生畏。還有一些企業只註重要求而沒有展示企業能給員工帶來的成長與收穫,很容易會流失一些優秀種子。一般來說,可以找專業寫手撰寫招聘文章,好的文案就是成功招聘的一半。一般來說,職位名稱要準確、職位描述要精簡且突出重點,還要突出企業優勢與福利,才能吸引到人才。
3、建設包容性、多樣化的企業文化
曾有報告顯示,在網路安全從業者中,女性僅佔11%。此外,外行對於網路安全職業的不理解以及行業內部存在的一些種族不平等、學歷不對等、薪酬差距等問題,也是網路安全人才培養所面臨的一大挑戰。
當然,這些大環境因素的影響並非個別企業憑藉自身之力就能應對。但是,企業可以透過增加環境和文化的多樣性,來緩解短缺的問題:
A.與附近的高等教育機構合作推進培訓專案,引進新鮮血液;
B.設立內部政策,解決企業內部存在的問題;消除偏見、促進平等也很重要;
C.必要時候可以透過當地的招聘機構,專門從女性群體或少數群體中尋找人才;
D.在公司網站中專門設立頁面,展示公司的包容性與多樣性,例如成功的招聘案例、員工的發展與成長、公司為行業發展做出的貢獻等。
對比國內外網路安全行業的企業官網,可以看出國內外網路安全企業在文化層面以及行業發展層面都存在一些不同。一方面,國外企業普遍註重企業文化建設,在官網通常都會專門設定頁面展示企業文化、員工發展建設活動與案例,以促進人才招聘與培養,樹立良好的企業形象。很多網路安全公司也是如此。而國內只有部分大企業註意到了這一點。另一方面,與國外相比,國內網路安全公司起步與發展都較晚,較為註重技術、產品等核心業務,尚無暇體系化地建設企業文化、樹立企業形象。這一步通常要在企業發展成熟之後考慮,但如果日常業務中有意識地逐步建設,則有助於吸引人才、培養人才。而隨著網路安全行業不斷發展成熟,整個行業的包容性與多樣性(包括減少歧視、促進平等)也會不斷增強。
二、加強網路安全教育與培訓
普通企業的安全需求一般分為網路安全、終端安全、惡意軟體分析、加密等四大類。此外還有威脅溯源、應急響應(包括網路流量分析、惡意軟體逆向、終端檢測等)等多種技能要求。這些技能並非一朝一夕可以掌握,但在院校多年培養的專業人才數量不足的情況下,普通員工透過專案培訓、考證以及在職工作積累和學習,也能逐漸勝任一些基礎的網路安全工作。
具體說來,可以從以下三個方面加強網路安全教育與培訓,緩解網路安全人才短缺問題:
1、校企合作加強網路安全人才教育
企業可以與高等院校合作,結合實際情況,參與課程設定,建立實踐基地,進行專案合作、培訓認證、學習實踐、培訓及推廣交流等。從多個方面培養具備理論知識和實踐經驗的網路安全人才。
2、培訓與認證
如今網路安全相關的網站、文章、課程等層出不窮,為網路安全知識的培訓與普及提供了豐富資源。At&T;、安永、普華永道以及國內的一些網路安全公司都提供安全培訓和服務。此外,CISSP、CISP等證書認證考試也有完善的教育和培訓過程。這些都有助於培養網路安全從業人員。
3、安全意識培訓
對於普通的員工的安全意識培訓也不可或缺。讓員工意識到資料安全的重要性,讓員工在密碼設定、訪問認證、內外網連線、郵件收發、移動辦公等過程中遵守規則、合理操作,形成企業內良好的安全氛圍,有助於降低安全風險,減輕安全人員的壓力。這部分具體的內容,我們在另一篇文章中曾有提及,感興趣的讀者可以點選檢視。卡巴斯基近期推出了一款安全意識培訓平臺,主打自動化和靈活性,很適合小企業使用,也可作為一個參考。
透過合適的培訓,甚至還可以將其他行業的人才發展為網路安全人才,如刑偵警察、遊戲玩家等……這跟前文提到的擴充套件招聘渠道可以同步實踐。
網路安全人才招聘與培養四問四答
本文的最後,以網路安全人才招聘與培養四問作結。
1、我們究竟需要什麼樣的人才?
根據《中國資訊保安從業人員現狀調查報告》(2017年度),我國網路安全行業最緊缺的是戰略規劃、架構設計類人才。根據《2017 年全球資訊保安人員研究報告》,全球網路安全行業最緊缺的是執行和安全管理和事件/威脅管理以及取證類人才。
而總體來說,除了具備網路安全知識、技能,能夠應對安全問題的人才外,有全域性觀、能給出企業級安全解決方案的專家級人才,是整個行業最渴求的。
2、如何為行業輸送人才?
在高校的網路安全教育中,高校教師既要做講師和教練,還做領航者。在學生學習過程的不同階段,為學生梳理在不同階段需要學習的知識點,同時因材施教。對於網路安全專業的學生,可以以需求為導向,支援多層次的競賽工作,以賽促練。同時,還要註重學生與普通民眾的安全通識教育。
企業在安全崗位建設中,以市場需求為導向,合理設定網路安全保障工作內容,明確各崗位的能力要求。設定不同從業資質的指標,建立從業標準,並與學校或培訓機構合作,參考資質要求和標準,共同培養具備相應能力的人才。
3、如何讓整個行業變得更具有吸引力?
當前形勢下,整個網路安全行業前景大好,政府、企業、全民對網路 安全的重視程度提高,也在一定程度上促進了整個行業的影響力。提升企業內部以及整個行業對網路安全的重視程度,才能讓從業者感受到工作的價值與意義。同時,讓網路安全員工合理地參與到公司的業務流程,瞭解業務策略、IT架構以及安全架構,有助於安全工作有效進展。此外,尊重在職網路安全人才的發展與成長,提供培訓、提供繼續教育支援、提供明確晉升通道和良好工作、學習氛圍等,不僅能提升員工能力和積極性,也能更好地應對不斷出現的安全威脅。當然,合理的薪酬福利也是提升吸引力的關鍵。
4、是否找對了人?是否用對了人?
在網路安全行業,威脅評估、風險管理、運營、分析等不同的工作對應著不同的崗位,也有著不同的技能要求。想找到合適的人才,就要明確各個崗位的職責和要求。例如,要想讓安全運營中心良好運轉,就要找既懂技術也懂應急響應的員工,而不能找只懂風險的員工。因為他們不僅要知道風險的閾值,還要知道可以緩解或增加風險因素,還要知道如何從技術層面控制風險。也就是說,企業一定要明確自身對網路安全的具體需求,明確所招聘人才的角色定位,同時在單位內部建立完善的網路安全管理制度,才能用對人,用好人。
