迈入2019年,网络安全风险加剧,网络安全人才缺口也不断加大。根据普华永道的报告,2019年网络安全人才缺口可能达到150万。如此庞大的数量对于企业而言已经不仅仅是挑战,甚至快赶上灾难了。但是除了焦虑,大家似乎也没找到有效的方法来解决这个问题。人们往往觉得,人才缺口就是没有合适的人才导致的。而事实也许并非完全如此。
网络安全人才发展现状
参照迈克菲针对澳大利亚网络安全从业者的调研报告,当前网络安全人才的发展呈现出一定的特点和趋势:
大多数受访者对于优秀网络安全从业者应当具备的素质有着共识。例如:通俗易懂地解释技术概念;分析能力;团队协作能力;良好的沟通交流能力等。但是,27%的受访者无法列举出优秀网络安全从业者必备的某项具体技能。这表明,业内对于合格或优秀网络安全从业者的技能定义还不够明确、对于真正多样化且优秀的网络安全团队也缺乏精准定义。这种状况实际上会影响全面、高效的网络安全队伍建设。
此外,大多数网络安全从业者(84%的受访者)都具备中学以上的教育学历(其中49%的人是工程或IT专业、通信或网络安全专业;而49%的人完全没有任何网络安全专业资质),仅16%的受访者表示曾经在其他行业工作或者从事过与网络安全无关的工作。网络安全人才招聘仅限于行业内部并不利于行业的多样性发展,在科技和行业都迅速发展的今天,这样的招聘模式可能也或带来潜在的局限性。
大多数网络安全从业者的工作内容是运营或管理,而涉及安全策略、安全教育或安全咨询的从业者较少。这样的结果其实也反映了国内网络安全从业人员现状。《中国信息安全从业人员现状调查报告》(2017年度)显示,当前网络安全领域最缺乏的就是战略规划、架构设计类人才。34%的受访者认为自己花费了一半以上的时间处理网络安全工作;57%的管理者认为招聘员工很困难,其中安全运营的人才最难找。这些数据表明,很多从业者都曲解了网络安全职责,将其与其他工作内容混杂,甚至会自我设限,导致企业的应急响应受限。这同样给企业敲响了警钟:应当引进更多的自动化技术产品,将员工从技术和应急响应中解放出来,投入到策略性、整体性的工作中去。
当前形势下,以网络安全为专业或者具备网络安全从业经验的人员数量的确不足以填补缺口。但对于需求方而言,真正的人才不能仅仅靠经验或专业、证书等条件来评判。网络安全企业在人才建设过程中,除了单纯的招聘与团队扩充,也可以考虑利用多种方式激发内部员工潜能,或让其他行业有潜力的人才开启网络安全职业生涯,为未来发展开辟更多道路。
缓解网络安全人才短缺问题
一、提升招聘成功率
1.扩展招聘渠道
对于企业而言,填补人才缺口的首要选择就是加大招聘力度。但有时候,单纯增加职位需求或增加薪酬福利并不能找到理想的人才。有时候,还需要扩展招聘渠道,寻找更多目标群体。除了计算机专业、科研院所的人才,还可以考虑其他专业或社群。通俗来说,也就是寻找业内所说的民间力量。很多白帽子或漏洞猎人通常利用业余时间涉足网络安全。他们也许并非从事网络安全行业,专业或职业背景五花八门,但他们都对网络安全有浓厚兴趣,且自我驱动力强、善于学习。如果能找到这样一群人并将其转化为专业人员,将为网络安全行业和企业带来新的观点、经验与思路,为抵御风险、打击网络犯罪分子提供更多可能性。
2.合理描述职位需求
很多企业招聘时,对于一个岗位的要求太多太严格,会让应聘者望而生畏。还有一些企业只注重要求而没有展示企业能给员工带来的成长与收获,很容易会流失一些优秀种子。一般来说,可以找专业写手撰写招聘文章,好的文案就是成功招聘的一半。一般来说,职位名称要准确、职位描述要精简且突出重点,还要突出企业优势与福利,才能吸引到人才。
3.建设包容性、多样化的企业文化
曾有报告显示,在网络安全从业者中,女性仅占11%。此外,外行对于网络安全职业的不理解以及行业内部存在的一些种族不平等、学历不对等、薪酬差距等问题,也是网络安全人才培养所面临的一大挑战。
当然,这些大环境因素的影响并非个别企业凭借自身之力就能应对。但是,企业可以通过增加环境和文化的多样性,来缓解短缺的问题:
A.与附近的高等教育机构合作推进培训项目,引进新鲜血液;
B.设立内部政策,解决企业内部存在的问题;消除偏见、促进平等也很重要;
C.必要时候可以通过当地的招聘机构,专门从女性群体或少数群体中寻找人才;
D.在公司网站中专门设立页面,展示公司的包容性与多样性,例如成功的招聘案例、员工的发展与成长、公司为行业发展做出的贡献等。
对比国内外网络安全行业的企业官网,可以看出国内外网络安全企业在文化层面以及行业发展层面都存在一些不同。一方面,国外企业普遍注重企业文化建设,在官网通常都会专门设置页面展示企业文化、员工发展建设活动与案例,以促进人才招聘与培养,树立良好的企业形象。很多网络安全公司也是如此。而国内只有部分大企业注意到了这一点。另一方面,与国外相比,国内网络安全公司起步与发展都较晚,较为注重技术、产品等核心业务,尚无暇体系化地建设企业文化、树立企业形象。这一步通常要在企业发展成熟之后考虑,但如果日常业务中有意识地逐步建设,则有助于吸引人才、培养人才。而随着网络安全行业不断发展成熟,整个行业的包容性与多样性(包括减少歧视、促进平等)也会不断增强。
二、加强网络安全教育与培训
普通企业的安全需求一般分为网络安全、终端安全、恶意软件分析、加密等四大类。此外还有威胁溯源、应急响应(包括网络流量分析、恶意软件逆向、终端检测等)等多种技能要求。这些技能并非一朝一夕可以掌握,但在院校多年培养的专业人才数量不足的情况下,普通员工通过项目培训、考证以及在职工作积累和学习,也能逐渐胜任一些基础的网络安全工作。
具体说来,可以从以下三个方面加强网络安全教育与培训,缓解网络安全人才短缺问题:
1.校企合作加强网络安全人才教育
企业可以与高等院校合作,结合实际情况,参与课程设置,建立实践基地,进行项目合作、培训认证、学习实践、培训及推广交流等。从多个方面培养具备理论知识和实践经验的网络安全人才。
2.培训与认证
如今网络安全相关的网站、文章、课程等层出不穷,为网络安全知识的培训与普及提供了丰富资源。At&T、安永、普华永道以及国内的一些网络安全公司都提供安全培训和服务。此外,CISSP、CISP等证书认证考试也有完善的教育和培训过程。这些都有助于培养网络安全从业人员。
3.安全意识培训
对于普通的员工的安全意识培训也不可或缺。让员工意识到数据安全的重要性,让员工在密码设置、访问认证、内外网连接、邮件收发、移动办公等过程中遵守规则、合理操作,形成企业内良好的安全氛围,有助于降低安全风险,减轻安全人员的压力。这部分具体的内容,我们在另一篇文章中曾有提及,感兴趣的读者可以点击查看。卡巴斯基近期推出了一款安全意识培训平台,主打自动化和灵活性,很适合小企业使用,也可作为一个参考。
通过合适的培训,甚至还可以将其他行业的人才发展为网络安全人才,如刑侦警察、游戏玩家等……这跟前文提到的扩展招聘渠道可以同步实践。
网络安全人才招聘与培养四问四答
本文的最后,以网络安全人才招聘与培养四问作结。
1.我们究竟需要什么样的人才?
根据《中国信息安全从业人员现状调查报告》(2017年度),我国网络安全行业最紧缺的是战略规划、架构设计类人才。根据《2017 年全球信息安全人员研究报告》,全球网络安全行业最紧缺的是运行和安全管理和事件/威胁管理以及取证类人才。
而总体来说,除了具备网络安全知识、技能,能够应对安全问题的人才外,有全局观、能给出企业级安全解决方案的专家级人才,是整个行业最渴求的。
2.如何为行业输送人才?
在高校的网络安全教育中,高校教师既要做讲师和教练,还做领航者。在学生学习过程的不同阶段,为学生梳理在不同阶段需要学习的知识点,同时因材施教。对于网络安全专业的学生,可以以需求为导向,支持多层次的竞赛工作,以赛促练。同时,还要注重学生与普通民众的安全通识教育。
企业在安全岗位建设中,以市场需求为导向,合理设置网络安全保障工作内容,明确各岗位的能力要求。设置不同从业资质的指标,建立从业标准,并与学校或培训机构合作,参考资质要求和标准,共同培养具备相应能力的人才。
3.如何让整个行业变得更具有吸引力?
当前形势下,整个网络安全行业前景大好,政府、企业、全民对网络 安全的重视程度提高,也在一定程度上促进了整个行业的影响力。提升企业内部以及整个行业对网络安全的重视程度,才能让从业者感受到工作的价值与意义。同时,让网络安全员工合理地参与到公司的业务流程,了解业务策略、IT架构以及安全架构,有助于安全工作有效进展。此外,尊重在职网络安全人才的发展与成长,提供培训、提供继续教育支持、提供明确晋升通道和良好工作、学习氛围等,不仅能提升员工能力和积极性,也能更好地应对不断出现的安全威胁。当然,合理的薪酬福利也是提升吸引力的关键。
4.是否找对了人?是否用对了人?
在网络安全行业,威胁评估、风险管理、运营、分析等不同的工作对应着不同的岗位,也有着不同的技能要求。想找到合适的人才,就要明确各个岗位的职责和要求。例如,要想让安全运营中心良好运转,就要找既懂技术也懂应急响应的员工,而不能找只懂风险的员工。因为他们不仅要知道风险的阈值,还要知道可以缓解或增加风险因素,还要知道如何从技术层面控制风险。也就是说,企业一定要明确自身对网络安全的具体需求,明确所招聘人才的角色定位,同时在单位内部建立完善的网络安全管理制度,才能用对人,用好人。