21世纪什么最贵?人才!

资讯 作者:安在 2023-11-13 19:55:35 阅读:126





如果这个世界没有坏人,我们可能不再需要锁,不再需要任何安保措施。但就像寒暑是自然规律一样,坏人也是人类所拥有的自然规律,无法规避、无法消除,因此,所有的安全措施也像空调、暖气一般需要人类的重视和关注。


当下,金融、科技、互联网等行业的大部分企业面临着日趋严峻的安全挑战,这些挑战包括网络黑灰产的频繁攻击、外部监管带来的巨大压力、内部人员或配置错误带来的损失、职业羊毛党的“掠夺”以及人员的流失等等。这些挑战虽然十分严峻,但对于绝大部分企业来说都在可接受的范围内,企业只要对安全足够重视,完善安全架构的同时部署相应的解决方案,就足以应对上述大部分的挑战和风险。


与此同时,由于行业属性、企业配置及重视程度等方面的差别,企业在应对上述挑战时也有一定的差距。顶层的金融企业及互联网企业,他们的综合安全能力是非常强大的。这类企业不仅拥有集团层面的安全治理和管理能力,还有一定的自研基础和市场化能力,这相比于同行业或其他行业的SME,安全技能差异非常大。


通常来说,企业之间的安全技能差异是可以通过一定的手段解决的,但唯独在人才流失和人才能力差距方面,企业无法真正应对。因为这涉及产业发展进程与劳动力之间的巨大“鸿沟”,这不是一家企业、一个行业甚至一届政府就能够处理和解决的,它需要产业链中每个部分以及各个国家、地区、行业之间的配合,也需要足够时间来培育人才。



今年是我国第十个网络安全宣传周活动,在行业组织、人才机构、安全厂商的合作下,发布了《2023网络安全产业人才发展报告》(下称“报告”)。围绕这份报告,或许能够找到企业人才流失的解决办法以及解决安全技能的差距。




01
网络安全人才供需矛盾日益增加


























网络安全人才稀缺是一个老生常谈的话题。我国的网络安全起步并不算晚,在接入国际互联网之后的几年内,就有网安产业发展的足迹。然而,产业的高速发展并没有及时带动相关学科的起步,很长一段时间内,网安从业者都来自计算机与网络的相关专业。直到2015年,网络空间安全才被设置为一级学科,近年来才陆续有垂直专业的毕业生进入这个行业。

报告也体现了这一点。问卷调研结果显示,受访者中,63.8%的最高学历专业为计算机与网络相关专业,其次是网络安全相关专业,占比15.9%,可以看出六成以上网络安全从业者的业务领域与所学专业有所区分。一方面,网络安全一级学科和专业开设时间较晚,目前新一代科班毕业生刚刚进入网络安全产业,导致网络安全相关专业的从业者占比较低;另一方面,这也表明网络安全行业凭借行业优势及学科交叉特性,吸引了较多“跨专业”人才就业。

科班从业者的稀缺让跨专业人才有了更多选择的空间,相比于更具前景和“钱景”的开发等方向,网络安全并不是一个“香饽饽”。同时,由于我国安全产业以监管合规为主,大部分企业对于安全的需求并不高,“一个人的安全部门”比比皆是,岗位的稀少也让很多渴望就职安全的从业者不得不选择竞争压力更大的IT岗位和一线城市。

报告显示,网络安全企业是网络安全产业人才的主要聚集领域,占比31.4%,排名第一;其次是互联网、科技公司,占比30%;此外,政府、公安等事业单位,以及金融、运营商等大型企业,占比分别为12.6%、11%。可见,网络安全企业和IT行业是当前网络安全专业人才的主要汇聚地。从城市来看,一线城市对网络安全人才需求最大,2023年北京市招聘网络安全岗位数量占比为18%,排名各城市之首,数字安全产业正逐渐成为支撑首都数字经济发展的重要领域之一。其次是上海、深圳、成都,招聘职位数占比均超5%。

即便企业顺利招聘到安全从业者,也很难吸引和留住他们,特别是那些在安全运营中心(SOC)工作的人员。报告显示,从岗位来看,受访者中,从事网络安全管理工作的人才占比最高,达到23.7%;其次是网络安全运维人员,占比18.4%。有专家表示,这些岗位需求的高占比与其高流动性有一定的关系。事实表明,这些团队的人员紧张,面临倦怠,有超过65% 的 SOC 专业人员曾考虑过辞职。其他难以填补的安全重点职位包括云安全专家、网络安全架构师和渗透测试人员。

因此,在供需侧的双方,无论是企业还是从业者,对人才稀缺这件事似乎都没有足够解决的办法。从业者想就职,就只能在大厂里拼命内卷,企业提供的也都是那些“活多、钱少”的工作岗位。

鉴于网络安全人才短缺以及供需间的巨大矛盾,企业在招聘和挽留合格的专业人员时势必要采取创造性的策略。从拥抱未开发的人才库,到为专业人员找到建立和提高核心技术技能的方法,来解决企业同其他企业之间的网络安全技能差距。




02
从非“传统”的候选人中寻找人才


























当前,随着我国网络安全领域的政策规定不断完善,产业发展日渐清晰明确,人才培养速度加快,各行各业的组织和企业都在努力招聘合格的安全专业人员。因此,如何培养新的从业者和挽留原有的人员是企业高层及安全领导者需要面临的挑战。有专家表示,企业可以为团队成员提供高等级的培训及相关认证等机会,这不仅能够提升他们的能力,保持敏锐度,还能提升员工工作体验和满意度。人力资源管理协会(SHRM)研究所近期进行的研究也证实了这一点,86% 的受访HR表示,企业提供持续性培训有助于留住员工。

目前国内外有许多高质量的网络安全培训和认证项目。例如,国内的超级CSO研修班就是为甲方工作的CSO们提供由业内大咖亲身验证的安全能力和技能;国外的Fortinet 培训学院(Fortinet Training Institute)也是为安全从业者提供各种自定进度和教师指导的培训及多级认证计划。这些课程为学员提供了所需的安全、网络和 IT 知识,帮助他们在职业生涯的任何阶段、担任任何职务时都能取得进步。对于那些刚刚入行的人来说,这些课程提供了坚实的基础知识,为学员未来的成功奠定了基础。


由于网络安全人才缺口高达 340 万人,企业不能仅仅依靠“传统”的招聘方式来选择自己的候选人(大学本科及专科或具有相关工作经验的人),如何吸纳更多的人才加入安全领域才是当下解决安全人才不足及技能短缺的重要方式。对此,企业可以提供便捷的网络培训来招募那些期望转向安全领域的专业人士。这类似于我国的管培生制度,由企业出资来培养对安全感兴趣的潜在从业者,并在其能力达标后吸纳到企业中。

国外采用的退伍军人就是一个很好的例子。退伍军人的很多能力与安全所需的能力相匹配,如领导力、沟通能力、对细节的关注等等。因此,国外目前已经有将退伍军人转换至安全行业的培训机构和培训方式。Fortinet等国外培训机构会对退伍军人提供培训和认证机会,帮助其发展必要的技能、辅导和计划,并将其与招聘网络安全人员的机构或雇主合作,推动退伍军人转业成为安全人员。

此外,我国女性和男性的安全从业者占比是23:77。一方面,从专业学习来看,就读于网络安全相关理工科专业的男性比重更高,因而在后续就业中的占比也高于女性;另一方面也表明在当前的网络安全领域,男性仍是产业劳动力的主体。

然而,有大量数据和研究表明,企业建立多元化的安全团队会带来更多的优势。因此,对于那些希望在网络安全领域开始职业生涯的女性,或者那些已经在技术领域工作但有兴趣探索以安全为重点的职位的女性,转向安全行业有很大的机会。当前,有大量的资源帮助她们转型成为安全从业者。例如,国外的WiCyS 等组织为会员提供行业领先的培训和认证课程、网络和指导计划、实习和全职就业机会;SANS 研究所为有志于从事网络安全工作的女性提供了多项教育计划,如加速女性沉浸式学院计划和教授基础网络技能的 New2Cyber 课程。


03
与高等教育机构合作


























随着网络攻击的数量和复杂程度不断增加,安全技能短缺问题持续困扰着安全团队,许多高等院校正在投入更多资源来创建或扩展以网络安全为重点的学位课程。如今,已有近 400 所高等教育机构获得了美国国家安全局颁发的“国家网络安全卓越学术中心”称号,这与 2010的12所形成了鲜明对比。

国内目前也在加大力度推动产研结合。报告显示,44.4%的在校生认为实践实习经历是未来求职的竞争力。高校应当实施产教融合,与各地园区建立实习实训基地,在助力在校生迅速成长的同时,也为网络安全行业储备人才。高校应与企业加强合作,搭建网络安全产教协同创新平台,推动网络安全“新工科”应用型人才培养,促进网络安全教育资源协同整合,为国家网络强国建设提供人才支撑。


公共和私营部门组织在这方面也可以发挥作用,前提是与教育机构合作,共同打造未来的网络安全人才队伍。例如,Fortinet学术合作伙伴计划与全球500多所高校合作,将屡获殊荣的Fortinet网络安全专家(NSE)培训和认证课程纳入现有课程。国内也有大量安全实验室及安全大赛同高校合作,例如GeekCon与清华大学、上海交通大学、浙江大学等高校达成技术合作等等。这些举措有助于学生在开始求职之前就有机会获得行业认可的认证,从而为成功做好准备。


04
专家观点

























某互联网行业安全从业者表示,当前企业安全建设水平较高,与业内企业的平均安全水平基本持平。不足之处在于其内部的专业人员不足,业务与员工的安全教育不够。因此,对于如何提升企业安全水平和缩短与其他企业安全技能差距方面,该从业者表示,首当其冲是进行企业内部全方位的安全意识教育和专业人员培训,在提高整体安全素质的同时,以培训的方式来增强安全技能,缩小安全差距。

另一位互联网安全从业者表示,其企业的安全建设水平称得上是行业领先,具有完善的制度流程和组织架构,配备了相对应的安全团队和专业人才,能够依据企业自身发展需要进行痛点分析研究,依据典型经验沉淀形成适合企业的自研创新安全产品,有效赋能业务发展。

同时,随着数字化转型的发展,企业在网络安全建设方面的投入也在持续加大,专业化和体系化能力都不断升级,能够保障企业业务发展健康稳定。但因企业市场化和开放程度不高,导致一些创新性流程化的能力不能串联,存在相对数据孤立或者流程碎片化的问题,一定程度上影响安全预防、检测、响应效率。

与其他企业的安全差距主要围绕在企业的业务特点,因早期的合规建设思路,产生了大量的安全产品,而由于兼容性等问题使这些安全产品无法快速联动,能力无法融合也导致能力不能最大化发挥,还处于单打独斗的救火阶段。在资源和资金投入上,虽然近两年因疫情有缩减,但管理层对安全的重视程度并没有降低,对网络安全建设水平的要求没有降低,企业在网络安全建设方面的发展一直在持续向前。

在提升安全水平方面,该从业者表示,首先还是依据国家政策,在合规的要求下把安全基线把控好,可以避免80%的安全问题。要想确保安全建设的有效性和可持续性,需要构建符合企业特点的体系架构,从投入少、易实现等方面先行着手,其间可以参考行业优秀案例和典型经验,如果场景有好的适应性,可以直接拿来解决当下问题。

安全工作的开展没有捷径,还得夯实底座,从基础工作做起,不管是网络、应用还是数据,都需要建立清晰可靠的资产台账,再建立威胁、漏洞、业务等方面的关联关系,运用新技术提高分析准确性和效率。需要建立目标、充分规划、有效执行,最终达到想要的安全成效。


05
结语

























网络犯罪分子的行动不会放缓,对网络安全人才的需求只会有增无减,各组织对合格专业人才的竞争也将更加激烈。网络安全行业可以通过多种方式来保障人才、缩小差距,从而填补重要岗位、扩大团队,并最终保护我们的组织免受日益增长的网络威胁。



参考文献:

Here’s how we can collectively shrink the cybersecurity skills gap

END








点【在看】的人最好看

在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接