很多企業(yè)都陷入網(wǎng)絡安全人員短缺的困境,這已經(jīng)不是什么秘密。幾年前就有消息稱,許多需要網(wǎng)絡安全技能的高薪職位空缺。
然而,公布網(wǎng)絡安全技能短缺數(shù)量還不足以增加網(wǎng)絡勞動力。事實上,根據(jù)美國信息系統(tǒng)安全協(xié)會和分析機構企業(yè)戰(zhàn)略集團進行的一項研究,絕大多數(shù)網(wǎng)絡專業(yè)人士(95%)認為,網(wǎng)絡安全技能短缺的情況在過去幾年里并沒有改善,近一半(44%)的網(wǎng)絡專業(yè)人士認為它變得更糟。
(資料圖)
那么這個網(wǎng)絡安全人員缺口有多大?根據(jù)Cyberseek公司發(fā)布的一份研究報告,美國約有110萬人從事網(wǎng)絡安全工作,但目前有超過70萬個職位空缺。網(wǎng)絡安全風險投資商Cybersecurity Ventures公司稱,全球網(wǎng)絡安全人才缺口約為350萬人。
了解網(wǎng)絡安全技能短缺及其影響與此同時,隨著企業(yè)之間相互競爭以獲得可用的稀缺人才,網(wǎng)絡安全人員的薪酬也在不斷上漲,這意味著企業(yè)無法雇傭更多的網(wǎng)絡安全人員。國際信息系統(tǒng)安全協(xié)會的研究發(fā)現(xiàn),現(xiàn)有的網(wǎng)絡安全團隊的員工被要求承擔更多的工作,這反過來又會導致工作倦怠。
其結果是,企業(yè)、政府機構、教育機構和其他組織的安全措施比應有的措施要薄弱得多,使所有員工、客戶和個人面臨數(shù)據(jù)泄露、隱私侵犯、金融欺詐和其他不利后果的風險增加。
彌合這一巨大缺口需要理解網(wǎng)絡安全技能短缺持續(xù)存在的原因。以下對這一原因進行了探討,并提出了IT領導者及其公司可以解決潛在問題的幾種方法。
網(wǎng)絡安全技能短缺的五個主要原因許多因素共同導致了網(wǎng)絡安全技能短缺。以下是五個主要原因:
(1)網(wǎng)絡安全人才需求持續(xù)增長。幾乎每個企業(yè)不僅變得完全依賴技術,而且技術也在繼續(xù)變得更加復雜。保護當今的系統(tǒng)、網(wǎng)絡和數(shù)據(jù)免受網(wǎng)絡攻擊比以往任何時候都更加困難,需要更多的安全技術和流程相互配合。因此,企業(yè)需要他們的網(wǎng)絡安全人員比以往任何時候都更強大,擁有更豐富和精深的技能。
(2)網(wǎng)絡安全人才缺乏多樣性。最近的一項勞動力研究顯示,全球只有約25%的網(wǎng)絡安全人員是女性。AspenI研究所進行的一項調(diào)查表明,美國19%的人口是西班牙裔,但只有4%的網(wǎng)絡安全人員是西班牙裔。美國原住民和黑人在網(wǎng)絡安全行業(yè)的代表性也明顯不足。
(3)企業(yè)雇主有不切實際的期望。網(wǎng)絡安全職位描述通常要求求職者擁有大學學位、多項認證以及在各種安全學科方面的多年經(jīng)驗。許多原本可以成為網(wǎng)絡安全人員的求職者沒有申請這些工作,因為他們認為難以達到這些要求。有些求職者確實申請了這些職位,但沒有得到回復,因為他們?nèi)狈ο鄳膶W位或足夠的實踐經(jīng)驗。
(4)員工的技能沒有跟上時代的發(fā)展。隨著時間的推移,企業(yè)雇主需要應對的挑戰(zhàn)也在不斷變化,例如越來越依賴云安全,以及針對數(shù)據(jù)和系統(tǒng)的不斷變化的威脅。但很多員工面臨工作壓力,往往沒有機會學習新技能、參加培訓、參加在線課程或獲得新證書。不僅僅需要技術技能,還需要溝通等軟技能。
(5)網(wǎng)絡安全專家正在轉型或離職。令人擔憂的是,Trellix公司最近委托進行的一項調(diào)查發(fā)現(xiàn),三分之一以上的網(wǎng)絡安全人員正計劃轉行或離職。這是在留住員工方面的主要問題,在很大程度上是由于持續(xù)的人員短缺和許多網(wǎng)絡安全工作的巨大壓力。隨著越來越多的員工離開這一領域,人員短缺的情況變得更加嚴重。
以下是企業(yè)解決網(wǎng)絡安全技能短缺持續(xù)擴大這一問題的三種方法。
企業(yè)解決網(wǎng)絡安全技能短缺問題的3種方法雖然沒有辦法在一夜之間彌補網(wǎng)絡安全技能短缺的差距,但企業(yè)可以通過做以下三件事取得進展:
(1)考慮招聘弱勢群體。優(yōu)先向婦女、少數(shù)放裔和其他被忽視的群體進行宣傳。讓他們知道這些群體成員了解網(wǎng)絡安全領域具有令人難以置信的各種機會,并向他們展示如何加入。確保企業(yè)的招聘將多樣性考慮在內(nèi),并考慮提供帶薪實習的機會。
(2)主要在企業(yè)內(nèi)部培養(yǎng)技能,而不是雇傭外部人員。如果企業(yè)降低工作要求,轉而在內(nèi)部培養(yǎng)員工以提高網(wǎng)絡安全技能,為新員工提供培訓、教育和認證支持,幫助他們跟上網(wǎng)絡安全的發(fā)展,就可以獲得更多的人才儲備。讓大學畢業(yè)生、退伍軍人、從其他職業(yè)轉型的人員,以及那些對網(wǎng)絡安全感興趣和有能力的人學習和成長。這是因為在大多數(shù)網(wǎng)絡安全職位上,擁有大學學位、證書和幾年的經(jīng)驗根本不是獲得成功的必要條件。
(3)為現(xiàn)有的人才提供支持。如今,職業(yè)倦怠在許多企業(yè)都很普遍。特別是在技術人才如此短缺的情況下,任何面臨巨大壓力或心懷不滿的員工都很容易離職,并在其他公司那里尋找更好的入職機會。然而,企業(yè)也有一些關鍵的網(wǎng)絡安全需求必須得到滿足。以下是一些支持現(xiàn)有員工的策略,這樣他們就不太可能離職:
在可行的情況下,將日常工作實現(xiàn)自動化——尤其是那些重復性、無聊或壓力大的工作。這將有助于減少企業(yè)的勞動力需求,讓員工完成有趣的并且壓力小的工作??紤]使用托管安全服務,特別是在非工作時間進行監(jiān)控、分析和事件響應。小型企業(yè)可能希望將大部分安全服務全部外包,以減少對專門網(wǎng)絡安全人員的需求,轉而培訓IT人員處理一些偶發(fā)的網(wǎng)絡安全任務。對于壓力特別大或要求特別高的職位,要考慮輪換工作的可能性。例如在12或18個月后將網(wǎng)絡安全人員輪換到其他崗位。這可以防止他們出現(xiàn)職業(yè)倦怠,也可以讓他們獲得額外的技能,對企業(yè)更有價值。當企業(yè)的員工休假、請病假或以其他方式請假時,讓他們放松休息。每個人都需要在工作之余休息,而期望員工在休假時繼續(xù)工作,尤其是隨時待命或提供運營支持,這對他們不公平,而且會引起他們的抱怨。對于員工來說,讓他們休假可能是一個重大的企業(yè)文化改變,但對于留住現(xiàn)有員工和吸引新員工的企業(yè)來說,這種做法可能是非常值得的。標簽: