信息化觀察網(wǎng)

網(wǎng)絡(luò)安全技能的差距如今仍然是一個(gè)現(xiàn)實(shí)問(wèn)題，但最終可能會(huì)解決。根據(jù)(ISC)²公司發(fā)布的2020年網(wǎng)絡(luò)安全勞動(dòng)力的研究報(bào)告，網(wǎng)絡(luò)安全技能差距正在縮小。

這項(xiàng)研究將技能差距定義為“組織需要保護(hù)其關(guān)鍵資產(chǎn)的熟練專業(yè)人員數(shù)量與實(shí)際從事這項(xiàng)工作的求職者數(shù)量之間的差距。這并不是對(duì)求職者可經(jīng)獲得的空缺職位的估計(jì)。”

好消息是，擁有合適技能的員工數(shù)量有所上升。去年增加了70多萬(wàn)名網(wǎng)絡(luò)防御專家，而提供的職位總數(shù)達(dá)到350萬(wàn)人。然而在這350萬(wàn)個(gè)職位中，仍有大約一半需要填補(bǔ)。

壞消息是由于冠狀病毒疫情帶來(lái)的不確定性，職位的數(shù)量減少了，但是人們需要知道如何尋求和招聘熟練的專業(yè)人員。

網(wǎng)絡(luò)安全技能差距的現(xiàn)狀

發(fā)生的這場(chǎng)疫情表明了組織擁有網(wǎng)絡(luò)安全團(tuán)隊(duì)的重要性，這些團(tuán)隊(duì)可以解決廣泛的問(wèn)題，例如讓員工建立虛擬專用網(wǎng)絡(luò)，并開(kāi)展培訓(xùn)進(jìn)修課程。報(bào)告指出，關(guān)鍵是要有組織內(nèi)部人員或值班人員來(lái)處理更精細(xì)、更具體的問(wèn)題(而在本例中是云安全性)。

很多組織在去年就面臨這樣的挑戰(zhàn)，需要將他們的員工從現(xiàn)場(chǎng)工作轉(zhuǎn)移到遠(yuǎn)程工作。在(ISC)²的2020年網(wǎng)絡(luò)安全勞動(dòng)力的研究活動(dòng)中，將近三分之一的受訪者表示，他們只有很短的時(shí)間進(jìn)行過(guò)渡，并確保為員工提供相同質(zhì)量的安全保護(hù)。當(dāng)然，IT專家也在家遠(yuǎn)程工作，不得不自己進(jìn)行調(diào)整。因此，在員工遠(yuǎn)程工作期間，18%的組織的網(wǎng)絡(luò)安全事件增加。

(ISC)²公司首席執(zhí)行官Clar Rosso在一份正式聲明中說(shuō)：“總體而言，網(wǎng)絡(luò)安全人員在這些新數(shù)據(jù)中看到了一些非常積極的趨勢(shì)。社區(qū)對(duì)冠狀病毒疫情的響應(yīng)及其在幾乎一夜之間將組織的IT系統(tǒng)安全地遷移到遠(yuǎn)程工作的能力，在很多方面都是前所未有的成功和最佳案例。網(wǎng)絡(luò)安全專業(yè)人士積極應(yīng)對(duì)挑戰(zhàn)，并鞏固了他們對(duì)組織的價(jià)值。”

網(wǎng)絡(luò)安全技能招聘的價(jià)值

出現(xiàn)這種問(wèn)題的部分原因是組織的招聘人員在招聘時(shí)并不知道需要尋找什么樣的求職者。他們傾向于將網(wǎng)絡(luò)安全技能視為千篇一律的需求。他們認(rèn)為，招聘的員工應(yīng)該能夠處理所有問(wèn)題。而組織的領(lǐng)導(dǎo)者還經(jīng)常將所有安全問(wèn)題視為大致相同的問(wèn)題。另一方面，熟練的專業(yè)人員知道數(shù)據(jù)泄露是通過(guò)許多不同的攻擊媒介發(fā)生的，并且有時(shí)看起來(lái)并不是數(shù)據(jù)泄露。

當(dāng)然，負(fù)責(zé)日常事務(wù)的人員總是扮演著同一個(gè)角色，而且總是需要新的團(tuán)隊(duì)成員來(lái)處理更艱巨的需求。但是，當(dāng)負(fù)責(zé)撰寫(xiě)工作說(shuō)明并完成招聘流程的人員(通常是人力資源部人員)并不了解其技術(shù)領(lǐng)域的各方面知識(shí)時(shí)，就難以招募合格的人員。實(shí)際上，根據(jù)ISACA公司發(fā)布的《2020年網(wǎng)絡(luò)安全狀況報(bào)告》，72%的網(wǎng)絡(luò)安全專業(yè)人士認(rèn)為人力資源工作人員并不了解組織的基本網(wǎng)絡(luò)安全技能需求。這會(huì)逐漸影響組織整體的最佳實(shí)踐和防御措施。

這種數(shù)字保護(hù)的傳統(tǒng)方法已經(jīng)過(guò)時(shí)?，F(xiàn)在是時(shí)候讓招聘人員意識(shí)到，他們必須招募了解當(dāng)今和未來(lái)威脅、工具以及網(wǎng)絡(luò)安全技能在工作中所起作用的員工。

為什么組織需要具備云計(jì)算網(wǎng)絡(luò)安全技能的人員

根據(jù)Burning Glass公司的調(diào)查，云安全是增長(zhǎng)最快的網(wǎng)絡(luò)安全工作技能之一。在未來(lái)五年中，對(duì)這一特定技能的需求預(yù)計(jì)將增長(zhǎng)115%。對(duì)于擁有云計(jì)算技能的人來(lái)說(shuō)有很多工作機(jī)會(huì)，如今空缺將近2萬(wàn)個(gè)職位。雖然與其他新興的安全工作職位相比，這種技能的職位空缺較少，但擁有云計(jì)算專業(yè)知識(shí)和技能的人員的薪酬最高。

與其他類似職位相比，云計(jì)算保護(hù)需要不同的技能，例如了解云計(jì)算架構(gòu)背后的技術(shù)、系統(tǒng)配置、身份管理、虛擬化以及有關(guān)使用云計(jì)算安全工具的基本知識(shí)。

例如，許多云安全工具最大的挑戰(zhàn)之一是正確配置和管理它們所需的時(shí)間和技能，更不用說(shuō)調(diào)整這些配置以消除誤報(bào)，或確保它們不會(huì)錯(cuò)過(guò)關(guān)鍵事件或丟棄合法流量。

超越IT

盡管DevOps一直對(duì)IT和業(yè)務(wù)非常重要，但組織的IT安全團(tuán)隊(duì)并不總是具備處理DevOps流程中發(fā)生的錯(cuò)誤配置和數(shù)據(jù)泄漏的技能。

云計(jì)算網(wǎng)絡(luò)安全技能需要超越對(duì)技術(shù)的了解。該領(lǐng)域的專家還必須精通規(guī)則和法規(guī)。他們必須了解最常見(jiàn)的框架，例如美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)的框架，以及組織的特定行業(yè)標(biāo)準(zhǔn)。他們的工作還包括遵守?cái)?shù)據(jù)隱私法，保護(hù)云平臺(tái)中的數(shù)據(jù)，保持合規(guī)性，并圍繞數(shù)據(jù)和數(shù)據(jù)訪問(wèn)建立保障措施。

如何尋找云計(jì)算安全專家

需要將具有云計(jì)算網(wǎng)絡(luò)安全技能的人員添加到組織的團(tuán)隊(duì)中。云計(jì)算安全技能具有很高的溢價(jià)，這不僅是因?yàn)槠湓谝栽朴?jì)算為中心的行業(yè)中的價(jià)值，還因?yàn)樵谝呀?jīng)存在網(wǎng)絡(luò)安全技能嚴(yán)重短缺的就業(yè)市場(chǎng)上，擁有這些技能的人員很難找到。

是怎么做到的?

首先，組織可以在內(nèi)部尋求具有這些技能的人員。正如從組織內(nèi)部招聘其最新的安全團(tuán)隊(duì)成員一樣，也可以從當(dāng)前的IT或安全團(tuán)隊(duì)內(nèi)部找到并培養(yǎng)云計(jì)算安全專家。

如果組織內(nèi)部人員不能勝任這個(gè)職位，需要從外部尋求人才。例如參加會(huì)議以更好地了解云計(jì)算安全專家所需的技能，并與可以推薦熟練工作人員的人員進(jìn)行交流。雇用大學(xué)實(shí)習(xí)生，為他們提供所需的培訓(xùn)。招募退役軍人和執(zhí)法人員(那些了解風(fēng)險(xiǎn)評(píng)估并且可能具有IT背景的人)是尋找潛在員工的一種很好的方法。組織可能現(xiàn)在無(wú)法找到具有所需技能的人員。但是，盡管網(wǎng)絡(luò)安全技能存在差距，但擁有云安全專家仍然很重要，組織愿意為開(kāi)展培訓(xùn)付出努力，并將發(fā)揮他們的價(jià)值。

從內(nèi)部外包或雇傭外部員工

另一個(gè)選擇是求助于托管安全服務(wù)提供商(MSSP)。這樣可以為組織的云計(jì)算服務(wù)提供全天候的覆蓋率，并減輕了人們對(duì)云計(jì)算安全的負(fù)擔(dān)。但是，它也會(huì)給組織帶來(lái)更少的控制權(quán)。對(duì)于大量使用云計(jì)算的小型企業(yè)來(lái)說(shuō)，另一種選擇可能尤其有效，它是與其他組織聯(lián)合起來(lái)并共享資源。

最后，招聘人員在搜索求職者時(shí)，需要忽略其在簡(jiǎn)歷上提到的擔(dān)任的職位。與其相反，需要了解其實(shí)際的工作職責(zé)和技能。因?yàn)槁毼徊⒉豢偸呛芎玫乇砻髑舐氄叩膶?shí)際工作能力。有些人雖然有“安全運(yùn)營(yíng)經(jīng)理”的頭銜，但并不是真的在從事云安全工作。人力資源部或組織高管不要只是因?yàn)檫@些頭銜或職位描述就決定招聘哪些求職者。

在(ISC)²公司的這份研究活動(dòng)中，40%的受訪者表示，云安全是組織和網(wǎng)絡(luò)安全團(tuán)隊(duì)中最需要的技能，這是因?yàn)樵朴?jì)算在當(dāng)今的業(yè)務(wù)中已經(jīng)扮演了重要角色。

擁有適合組織的網(wǎng)絡(luò)安全技能的人員就在那里，組織只需要靈活和更具創(chuàng)造力就可以找到他們。