经济压力、裁员失业...网络安全可以成为避风港吗?
中国宏观经济论坛(CMF)在所发布的季度报告(2022年中期)中指出,2022年是国际国内超预期事件高发的一年。需求收缩、供给冲击、预期转弱“三重压力”叠加疫情复发、地缘政治“两大超预期冲击”,使得上半年中国宏观经济运行严重偏离正常增长轨道,呈现“快速探底”、“压力加剧”的特征。新旧两方面因素叠加不仅导致各类宏观经济指标纷纷突破底线,而且形成了新的趋势性变化,一、二季度经济增速持续回落。
与此同时,伴随全球范围内通胀情况进一步恶化,持续时间和强度大超预期,高通胀对消费者信心的打击和加息对利率敏感领域的压抑都将对经济增长产生负面影响。另一方面,新冠疫情反复、通胀高企、俄乌局势等事件频发,全球经济复苏遇挫,甚至加剧了经济压力的强度。受此背景影响,中国的经济发展也在一定程度上受到了制约和阻碍。
那在这样经济压力较大的时代里,对心态积极、仍旧向往美好的人群而言,什么职位是比较好的去处呢?可以通过抓住时代的特征来判别,比如“数字化转型时代”,比如近年来相继出台了《个保法》和《数安法》,比如疫情之下混合办公模式的兴起,比如俄乌战争所揭示的“兵马未动,网战先行”,比如智能化、万物联网、元宇宙等划时代的新名词正日增月益。可见,“网络安全”四字倒是很符合新时代的特征,哪怕压力增大。
同时,国家对十四五规划和2035年远景目标建设数字化中国和打造网络强国做出了重要部署,网络安全成为国民经济和社会发展的重要风向标,这也意味着未来若干年,需要依托网络安全领域的不断创新来促进网络安全市场的持续发展和增长。可再添一句,国家、各行各业对安全人才的需求都非常之巨大!
国外的技术会议上,VMware 总裁 Sumit Dhawan 与 CIO 的每一次谈话都会涉及到经济压力剧增的时代里员工的就职问题,并反复强调“人才短缺已是当务之急”。 虽然这不是网络安全行业的新痛点,但它在国外仍然特别严重,和国内如出一辙。
事实上,据美国商务部统计,网络安全对于技能型的人才需求正在逐步扩大。根据 Cyber security Ventures 的报告显示,2021 年 12 月约有600,000 个职位空缺,比2020 年底的465,000个职位空缺增长了 29%。这意味着公司不仅需要更多的安全专业人员,同时短缺所带来的后果是它会给现有的员工带来更大的压力。
Trellix 首席执行官 Bryan Palma 说:“人才未引进,员工却又承受不住压力辞职,这可能是目前安全行业里的头号问题,这对一些非安全行业的公司来说可能更糟。有些公司可能会制造飞机、制造汽水、制造各种工具,并提供在线市场,但他们本质上并不是一家安全公司,而安全行业里优秀的人才更希望自己能在一家安全公司工作,因此其他行业的公司往往损失一整个安全部门。”
随着企业将工作负载转移到了云端,办公模式便更多地偏向了远程办公,因此安全团队的任务便成了在越来越严峻的威胁环境下保护分布在全球的远程员工。这样的趋势使得一些安全人员离开了这个行业,他们情愿降低薪酬去接受其他的职位。
与往年相比,近几年还发生了另一个重大转变,勒索软件和其他网络威胁的诞生促使更多的网络安全团队需要在周末和节假日里加班。
而以上这些内容和国内相比,无非是在早已“习以为常”的工作环境里多了些时尚和福利,但相较于枯燥、机械化的办公过程,和黑客、不法分子进行网络攻防战或许会更为有趣,再者,通过科技职业走在时代的最前端,感受一下未来科技的发展趋势,从不同程度上都算是为生活增添了色彩。
Palo Alto Networks副总裁 John Morello说:“人才竞争更加激烈,优胜劣汰之下,那些筋疲力尽或说无非胜任工作的人将会被淘汰。”
他补充道:“拿 DevSecOps和自动化举例,我司《2022 年云安全状况报告》中 发现,投资这些技术不仅可以加强组织的安全状况,还可以提供相应的员工福利,二者相加就等同于提高了生产力和效率。可以这么理解,当下环境里的技术发展或说环境趋势的改变,不但在运营上帮助了企业,同时也为我们创建了一个更好的平台来培养安全人才,所有的人员流动最后都会变成稳固的模式,因为优秀是互相吸引的。”
最近的一项 SANS 调查发现,62% 的组织因配备不齐相应的网络安全角色而苦苦挣扎,大多数 (57%) 组织提到了网络安全复杂性方面的挑战,超过 50% 的受访者则表示问题出在成本方面。
而国内安在新媒体所发布的《中国网络安全产品用户调查报告》显示,由于新冠疫情导致的经济不景气,企业对网络安全的用人需求下降明显,虽然有35.86%的企业增加了岗位,51.51%的企业保持的岗位,仅有12.63%的企业进行了裁员。但这一数据相较于上一年度,人员增加企业同比下降了22.56%,同时减少岗位企业的占比,同比增长了12.63%。表现出企业用人谨慎地迹象。
从整体来看,调查显示我国企业在配备网络安全专职人员时,人员数量占IT总员工比重仍然较低。300人以下的小型企业中,企业网络安全专职人员的中位数为0-2人,其占公司IT人员的比重约为10%-20%;在300人至1000人的中型企业中,企业网络安全专职人员的中位数为1-4人,其占公司IT人员的比重约为5%-8%;在员工超过1000人的大型企业中,企业网络安全专职人员的中位数为3-10人,其占公司IT人员的比重约为1%-3%。这便又一次的证明了,我国安全行业对于人才的需求是很高的,安全人才始终是巨大的缺口。
在企业给予的预算方面,调查显示2022年度企业用户安全预算占比IT预算的占比中位数约为4.79%;在具体预算数字上,预算在30万以下的企业占33.33%;预算在30万至100万之间的企业占24.74%;预算在100万至300万的企业占9.26%;预算在300万至500万的企业占14.14%;预算在500万至1000万的企业占比为10.61%;预算在1000万以上的企业占比为8.92%。相较于2021年,企业预算调整分化明显,预算在10万以下企业占比激增,预算在10万至300万区间的企业占比下降明显。而超过300万至1000万预算投入的企业则明显增多。
“两头大中间小”的预算投入,表明了大企业对人才的需求更为迫切,这源于大企业更普遍的会受到监管的要求,这是一个客观的现实。并且网安法的出台,以及近几年因为合规导致的案例,都起到了很大的警示作用,所以大企业在安全上的投入会连续上涨,对安全职位的扩展会不断增多。
回到国外。ESG 高级首席分析师Oltsik 说:“CISO们也受到了经济压力的影响,从积极的角度来看,安全主管们可以在其他更大的公司找到更有利可图的工作;而从消极的角度来看,一些普遍的因素会增加各级安全专业人员的离职,比如工作量的增加,这是最容易让安全从业人员放弃工作的。通常安全人员不会直接离开这个行业,除了一小部分已经精疲力尽的人员,大多数人只是想找到更好的工作,或者拿更高的薪水。”
此外,Oltsik还表示一些组织在容纳远程安全团队方面做得不好:“这同样会导致辞职人数增加。一些有所改进的公司告诉我,他们正在考虑重新设计他们的安全团队,目的是为了使其对远程工作更为友好。”这样的做法会使现有员工受益,并且还开辟了在特定区域之外雇用安全专业人员的可能性。Oltsik认为这是目前最佳的做法,但并非所有公司都这样。
随着大环境的经济压力增大,网络安全岗位是否是一个好的去处?国内安全专家如此建议。
某A+H股上市公司信息安全负责人孙琦认为:“我们讨论一个行业是否值得去拥抱的时候,更多的是要看宏观层面,当前经济压力增大的趋势呈现,企业必然是以生存为第一要务。同样的网络安全岗位,在金融、新能源、汽车等行业依然有很强的需求和不错的pay,但反观传统制造、互联网等行业,或因本身的实际需求不旺盛、或因本身能力溢出等等原因,并不是一个非常好的选择了。因此,结合自己的能力再去看行业,这是双向的选择,契合度非常重要。”
同时,孙琦结合自己的经历提出以下观点:“当经济周期开启变化的时候,我们需要接受现实。传统行业的安全如履薄冰,在未来的3年里不会有太大的提升,稳字当先,安全要稳,企业更要稳。一般一个中等经济周期也就8-10年左右,行业如果能过挺过去完成浴火重生,安全必然大有可为,但现在,短期内,我们必须学会活下来。”
而某科技公司安全总监则表示,长远来看,企业的根本是盈利,如果大环境导致企业亏损,那么覆巢之下无完卵。但是不同行业的影响程度不一样,对于把安全当成影响企业生命线因素的一些行业,例如金融,会把安全岗位视为核心岗位;但是一些把安全当成额外成本的行业,安全就会成为被优化的首选,例如某奶茶裁员时就把整个安全部门整体砍掉。
“今年的大环境导致我们也一直在降本,预算砍了两轮,每次都砍到骨头。安全也不例外,现在基本上只保留了必做的项目,新增项目一律砍掉。人力优化方面,做创新和增值类业务的部门已经开始优化了,基础架构(安全)方面还在酝酿中,目前来看不太乐观。预计未来三年日子都不会太好过。”
另一方面,某金融科技企业安全专家胡恺健认为,全球经济因俄乌战争和大国竞争而出现了较大的周期性调整,全球经济形势不容乐观。从宏观来看,中国经济受冲击的影响比欧美地区要小,但也不乏大量互联网和科技公司员工被“毕业”。胡恺健指出,在经济压力增大的情况下,企业优先保住核心业务,降低边缘业务的发展预期是合理的。
“而从国家的网络安全政策来看,网络安全、数据安全、隐私保护等重点领域的法律法规和配套规范、标准、指南不断加码,我认为安全依然是企业核心业务发展的重要要素,企业的业务发展离不开网络安全资源的持续投入。网络安全人才是网络安全战略的重要资源,是企业网络安全规划、建设、运营必不可少的重要生产力,在市面上优质安全人才短缺的形势来看,网络安全岗位依然火爆。”
胡恺健表示,自己在行业交流时发现一个有趣的现象,一方面是市场人才短缺招工难,另一方面又是安全人员难以找到合适的岗位。他认为这是网络安全资源匹配错位,薪酬认知差异以及劣币驱逐良币的问题所引起的。对此他做了详细的解读。
出现错位现象的因素有很多,胡恺健认为首先有可能是企业本身关于网络安全人才梯队建设缺位,导致企业对市场安全人才的期待是“专家级”,实际需求可能是“初级”。高校网络安全专业也是近几年才开始大量输出毕业生,要求每个都是“专家”显然与实际情况不相符。
其次,网络安全细分领域非常多,企业本身招聘期望是“通才”还是“专才”的定位不明确,导致招聘回来的员工可能无法很好地匹配企业需求。
第三,企业安全成熟度的不同阶段对于人才的需求有很大差异,有人精通于“从0到1”的安全建设,但未接触过成熟企业由“1到100”的安全运营或持续优化阶段,人才要重新适应需要一定的时间,反之亦然。
第四,企业HR与猎头普遍在安全领域扎根深度有限。前几年熟悉安全行业的HR和猎头屈指可数,最近情况有所好转,但对于安全细分领域、成熟度与岗位的匹配能力、企业文化的适配程度等方面,依然有较大的提升空间。好的企业HR和猎头,如果不扎根于安全领域,基本很难做到有效推荐。目前安全HRBP或者TAP通常是比较好的扎根安全的方法。
薪酬方面,胡恺健认为,首先应聘者对自身能力定位认识存在偏差。不少毕业三、五年的应聘者以专家自称向企业漫天要价,但实际能帮企业解决问题的能力却有限,自然造成了资源错位。这与现在市场人才短缺,安全人才浮躁的社会普遍现象有不少的关系。另一种是“名校毕业生”,难以找到预期薪酬水平的公司,造成高不成低不就的资源错配。
另外,互联网和科技企业在资本的疯狂带动下能给更高的薪酬,安全人才获取相对容易。但传统国有企业、金融行业有固定的薪酬机制和学历要求,不太可能突破限制,从而获取人才的速度和质量上存在劣势。
“有些企业,优秀的人纷纷跳槽,能力不强的人无路可走选择留下,熬出头就成了企业的管理者。这个现象很多时候代表了很多企业的现状,而这其实就是企业人才的‘劣币驱逐良币’,与原本的优胜劣汰恰恰相反。这是很多公司老板不愿看到的事情,等到意识到这个问题的时候往往为时已晚。这需要企业本身要在人才激励机制、公平竞争机制、能级对应机制上下功夫,才能避免发生这种现象。”
将以上问题总结完毕后,胡恺健表示,安全行业依然是一个好的选择,但需要全社会共同努力才能避免出现以上资源、薪酬、能力错配的情况。对此他有几点建议:
第一,希望国家继续持续加大对与网络安全的政策法规。在人才培养方面,除了高校教育以外,网络安全攻防实操的职业学校也应该加大投入。毕竟目前观察到的安全攻防实战人才,不少属于专科级别,但实战能力和动手能力却比本、硕、博更强。
第二,应聘者应加强自身安全专业能力的学习,并且在企业需要的解决问题的方法理论上也要持续投入,项目管理、IT、运维、研发、合规、法律等基础知识短板应该及时补齐。可以多通过考取认证来系统性学习相关知识,但不要把通过考试作为唯一目标,学习知识,形成自己的实践理论才是根本。
第三,企业要加强自身安全人才梯队建设,安全团队领域要切分,并且选择与公司企业文化相适应的人才加入到公司。过程中要提供适当的业务目标和行动计划,提供充分的培训学习资源,使员工与企业共同成长。
第四,在社会力量方面,可以通过安全行业协会、安全媒体企业发布招聘信息,组织行业交流等形式完成企业和人才之间的撮合,提升人才透明度和匹配度。同时,在关于安全人才短缺的渲染上应该适度和理性,避免给安全从业人员带来“安全行业一片繁荣”的虚假景象。
通常而言,安全从业人员只要有两到三年的工作时间,他们就会明白自己之后要走的道路,是在甲方公司“保家护国”,还是在乙方公司提供各种安全服务,就看自己更适合怎样的工作方式了。对安全从业人员来说,创造力和思维非常重要,因此才建议道:安全人员在做出每个决定时要考虑自身技能短缺的问题。
国外安全专家帕尔马表示,虽然培训专业人员并不能弥补安全行业的人才漏洞,但可以为安全人员赋能,使他们更好的面对安全事件。同时他还提出:“我们所做的事情是崇高的,它有一个伟大的目标,就是为了让世界更安全!这是我们作为安全人员的使命!”
因此,当经济压力更多的来临时,当越来越多的员工辞职时,安全行业需要宣传这一使命,以此来吸引更多的新鲜血液:难道你们不想成为推动伟大目标的一部分吗?!
帕尔马说:“我们需要招募这些员工并告诉他们,如果你担心世界会越来越败坏,如果你想活得有意义,那么你就来从事网络安全,我们会教你如何对抗全人类的敌人!”
最后说下怎样才能成为“安全从业人员”。对此安在新媒体提供了比较全面的从业人员培训计划,对了,无论怎样的岗位,培训总是必要的,它和学校里所教授的理论知识不同,而是能高屋建瓴地教你如何在岗位上进行适当的操作。
《Can Cybersecurity Offer Greener Pastures in the Great Resignation?》
推荐阅读
当网络犯罪成为一种生意,我们该怎么办?
齐心抗疫 与你同在
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- 算力增强很容易,内存提升却愈来愈难
- Android漏洞之战——整体加壳原理和脱壳技巧详解
- 中赫集团、中国移动和高通计划利用5G赋能无界XR,共同探索“智慧工体”建设新路径
- 售价9999元起,华为Mate Xs2折叠屏手机发布;马斯克回应要买下可口可乐;AI文学中男主比女主多四倍|极客头条
- 征题倒计时!2021 KCTF 春季赛 等你来挑战!
- 手机画面越来越美,秘密在这里
- 像 C 一样快,Ruby 般丝滑的 Crystal 发布 1.0 版本,你看好吗?
- 高通公司推出高通Snapdragon Sound,重新定义无线音频体验
- 国内网络靶场的现状是什么样的?
- 最令人讨厌的编程语言:C++ Java 上榜
- Sectigo和Comodo SSL证书有什么关系
- SSL证书对企业网站有什么帮助?企业是否需要SSL证书?