很多企业都陷入网络安全人员短缺的困境,这已经不是什么秘密。几年前就有消息称,许多需要网络安全技能的高薪职位空缺。
(资料图片仅供参考)
然而,公布网络安全技能短缺数量还不足以增加网络劳动力。事实上,根据美国信息系统安全协会和分析机构企业战略集团进行的一项研究,绝大多数网络专业人士(95%)认为,网络安全技能短缺的情况在过去几年里并没有改善,近一半(44%)的网络专业人士认为它变得更糟。
那么这个网络安全人员缺口有多大?根据Cyberseek公司发布的一份研究报告,美国约有110万人从事网络安全工作,但目前有超过70万个职位空缺。网络安全风险投资商Cybersecurity Ventures公司称,全球网络安全人才缺口约为350万人。
了解网络安全技能短缺及其影响与此同时,随着企业之间相互竞争以获得可用的稀缺人才,网络安全人员的薪酬也在不断上涨,这意味着企业无法雇佣更多的网络安全人员。国际信息系统安全协会的研究发现,现有的网络安全团队的员工被要求承担更多的工作,这反过来又会导致工作倦怠。
其结果是,企业、政府机构、教育机构和其他组织的安全措施比应有的措施要薄弱得多,使所有员工、客户和个人面临数据泄露、隐私侵犯、金融欺诈和其他不利后果的风险增加。
弥合这一巨大缺口需要理解网络安全技能短缺持续存在的原因。以下对这一原因进行了探讨,并提出了IT领导者及其公司可以解决潜在问题的几种方法。
网络安全技能短缺的五个主要原因许多因素共同导致了网络安全技能短缺。以下是五个主要原因:
(1)网络安全人才需求持续增长。几乎每个企业不仅变得完全依赖技术,而且技术也在继续变得更加复杂。保护当今的系统、网络和数据免受网络攻击比以往任何时候都更加困难,需要更多的安全技术和流程相互配合。因此,企业需要他们的网络安全人员比以往任何时候都更强大,拥有更丰富和精深的技能。
(2)网络安全人才缺乏多样性。最近的一项劳动力研究显示,全球只有约25%的网络安全人员是女性。AspenI研究所进行的一项调查表明,美国19%的人口是西班牙裔,但只有4%的网络安全人员是西班牙裔。美国原住民和黑人在网络安全行业的代表性也明显不足。
(3)企业雇主有不切实际的期望。网络安全职位描述通常要求求职者拥有大学学位、多项认证以及在各种安全学科方面的多年经验。许多原本可以成为网络安全人员的求职者没有申请这些工作,因为他们认为难以达到这些要求。有些求职者确实申请了这些职位,但没有得到回复,因为他们缺乏相应的学位或足够的实践经验。
(4)员工的技能没有跟上时代的发展。随着时间的推移,企业雇主需要应对的挑战也在不断变化,例如越来越依赖云安全,以及针对数据和系统的不断变化的威胁。但很多员工面临工作压力,往往没有机会学习新技能、参加培训、参加在线课程或获得新证书。不仅仅需要技术技能,还需要沟通等软技能。
(5)网络安全专家正在转型或离职。令人担忧的是,Trellix公司最近委托进行的一项调查发现,三分之一以上的网络安全人员正计划转行或离职。这是在留住员工方面的主要问题,在很大程度上是由于持续的人员短缺和许多网络安全工作的巨大压力。随着越来越多的员工离开这一领域,人员短缺的情况变得更加严重。
以下是企业解决网络安全技能短缺持续扩大这一问题的三种方法。
企业解决网络安全技能短缺问题的3种方法虽然没有办法在一夜之间弥补网络安全技能短缺的差距,但企业可以通过做以下三件事取得进展:
(1)考虑招聘弱势群体。优先向妇女、少数放裔和其他被忽视的群体进行宣传。让他们知道这些群体成员了解网络安全领域具有令人难以置信的各种机会,并向他们展示如何加入。确保企业的招聘将多样性考虑在内,并考虑提供带薪实习的机会。
(2)主要在企业内部培养技能,而不是雇佣外部人员。如果企业降低工作要求,转而在内部培养员工以提高网络安全技能,为新员工提供培训、教育和认证支持,帮助他们跟上网络安全的发展,就可以获得更多的人才储备。让大学毕业生、退伍军人、从其他职业转型的人员,以及那些对网络安全感兴趣和有能力的人学习和成长。这是因为在大多数网络安全职位上,拥有大学学位、证书和几年的经验根本不是获得成功的必要条件。
(3)为现有的人才提供支持。如今,职业倦怠在许多企业都很普遍。特别是在技术人才如此短缺的情况下,任何面临巨大压力或心怀不满的员工都很容易离职,并在其他公司那里寻找更好的入职机会。然而,企业也有一些关键的网络安全需求必须得到满足。以下是一些支持现有员工的策略,这样他们就不太可能离职:
在可行的情况下,将日常工作实现自动化——尤其是那些重复性、无聊或压力大的工作。这将有助于减少企业的劳动力需求,让员工完成有趣的并且压力小的工作。考虑使用托管安全服务,特别是在非工作时间进行监控、分析和事件响应。小型企业可能希望将大部分安全服务全部外包,以减少对专门网络安全人员的需求,转而培训IT人员处理一些偶发的网络安全任务。对于压力特别大或要求特别高的职位,要考虑轮换工作的可能性。例如在12或18个月后将网络安全人员轮换到其他岗位。这可以防止他们出现职业倦怠,也可以让他们获得额外的技能,对企业更有价值。当企业的员工休假、请病假或以其他方式请假时,让他们放松休息。每个人都需要在工作之余休息,而期望员工在休假时继续工作,尤其是随时待命或提供运营支持,这对他们不公平,而且会引起他们的抱怨。对于员工来说,让他们休假可能是一个重大的企业文化改变,但对于留住现有员工和吸引新员工的企业来说,这种做法可能是非常值得的。