进入2019年,网络安全风险加剧,网络安全人才缺口也越来越大。据普华永道报告,2019年网络安全人才缺口可能达到150万,如此庞大的数字对企业来说不仅是挑战,甚至接近灾难。但除了焦虑之外,大家似乎还没有找到解决这个问题的有效方法。人们通常认为人才缺口是没有合适的人才造成的。而事实可能根本不是这样。网络安全人才发展现状参考McAfee对澳大利亚网络安全从业者的研究报告,当前网络安全人才发展呈现出一定的特点和趋势:大多数受访者对优秀的网络安全从业者应具备的素质达成共识。例如:通俗易懂的技术概念讲解;分析能力;团队协作技巧;良好的沟通技巧等。但是,27%的受访者无法说出成为优秀网络安全从业者的特定技能组合。这表明业界对合格或优秀的网络安全从业人员技能的定义还不够明确,也缺乏对真正多元化、优秀的网络安全团队的准确定义。这种情况实际上会影响到全面高效的网络安全团队建设。此外,大多数网络安全从业者(84%的受访者)接受过高等教育(49%是工程或IT专业、通信或网络安全专业;而49%没有网络安全所有安全专业资格),只有16%受访者表示,他们曾从事过其他行业或从事过与网络安全无关的工作。网络安全人才招聘仅限于行业,不利于行业多元化发展。在科技和行业高速发展的今天,这样的招聘模式也可能带来潜在的局限性。大多数网络安全从业人员从事运营或管理工作,涉及安全策略、安全教育或安全咨询的从业人员较少。这样的结果其实反映了国内网络安全从业者的现状。《中国信息安全从业人员现状调查报告》(2017)表明,战略规划和架构设计人才是当前网络安全领域最缺乏的人才。34%的受访者认为他们将一半以上的时间花在处理网络安全工作上;57%的管理者认为招人难,其中安全运营人才最难找。这些数据表明,不少从业人员误解了网络安全职责,将其与其他工作内容混为一谈,甚至给自己设限,限制了企业的应急响应。这也给企业敲响了警钟:应该引入更多的自动化技术产品,将员工从技术和应急响应中解放出来,投入到战略性、整体性的工作中。在目前的情况下,网络安全专业或有网络安全经验的人数确实不足以填补缺口。但对于需求方来说,真正的人才不能仅凭经验或专业资格、证书等条件来判断。网络安全企业在人才培养过程中,除了简单的招聘、扩充团队外,可以考虑通过多种方式激发内部员工的潜能,或者让其他行业的有潜力的人才投身网络安全领域,开拓更多的空间。未来发展的更多途径。.缓解网络安全人才紧缺1.提高招聘成功率1.拓宽招聘渠道对于企业来说,填补人才缺口的首选是加大招聘力度。但有时,单纯增加工作需求或增加薪资福利并不能找到理想的人才。有时,还需要拓宽招聘渠道,寻找更多的目标群体。除了计算机和科研院所的人才,其他专业或社区也可以考虑。通俗地说,就是找业内所谓的民用电源。许多白帽或漏洞猎手通常在业余时间涉猎网络安全。他们可能不从事网络安全行业,专业或专业背景各不相同,但都对网络安全有着浓厚的兴趣,并且有自我驱动力,善于学习。如果能找到这样一批人,并将其转化为经验丰富的人才,将为网络安全行业和企业带来新的视角、经验和思路,为抵御风险提供更多可能。2、合理描述职位要求很多公司在招聘的时候,对一个职位的要求太多太严,会让应聘者望而生畏。也有一些企业只注重要求,没有表现出企业能给员工带来的成长和收获,很容易丢失一些优秀的种子。一般来说,你可以找专业的写手写招聘文章。好的文案是招聘成功的一半。一般来说,职位名称要准确,职位描述要简明扼要,突出公司的优势和效益,才能吸引人才。3、打造包容多元的企业文化据报道,网络安全从业人员中女性仅占11%。此外,外行对网络安全专业的无知,以及行业内一些种族不平等、教育背景不平等、薪酬差距等问题,也是网络安全人才培养面临的重大挑战。当然,这些重大环境因素的影响,不是个别企业能够独自应对的。但是,企业可以通过增加环境和文化的多样性来缓解短缺问题:A.与附近的高等院校合作,推广培训项目,引进新鲜血液;B.建立内部政策,解决企业存在的问题;消除偏见和促进平等也很重要;C.必要时,可利用当地招聘机构从女性群体或少数民族中寻找人才;D、在公司网站设立专门页面展示公司的包容性和多样性,例如成功的招聘案例、员工的发展与成长、公司对行业发展的贡献等。对比国内外网络安全行业企业官网可以看出,国内外网络安全企业的文化水平和行业发展水平存在一定差异。一方面,外资企业普遍重视企业文化建设,通常会在官网设立专门页面展示企业文化、员工发展建设活动和案例,以促进人才招聘和培训,并树立良好的企业形象。许多网络安全公司也是如此。不过,国内只有一些大公司注意到了这一点。另一方面,与国外相比,国内网络安全企业起步和发展较晚,更注重技术和产品等核心业务,无暇系统地建设企业文化和树立企业形象。这一步通常是在公司成熟后才考虑的,但如果在日常业务中有意识地逐步打造,将有助于吸引和培养人才。随着网络安全行业的不断成熟,该行业的包容性和多样性(包括减少歧视和促进平等)也将不断成熟。2、加强网络安全教育培训普通企业的安全需求一般分为四类:网络安全、终端安全、恶意软件分析和加密。此外,还有威胁追踪、应急响应(包括网络流量分析、恶意软件逆向工程、终端检测等)等多种技能要求。这些技能不可能一蹴而就,但在高校培养多年经验丰富的人才数量不足时,普通员工可以通过项目培训、研究和在职积累和积累,逐步胜任一些网络安全基础工作。学习。具体可从以下三个方面加强网络安全教育培训,缓解网络安全人才短缺问题:1.校企合作加强网络安全人才培养企业可根据实际情况与高校合作参与课程设置,建立项目合作、培训认证、学习实践、培训推广交流等实践基地,从多方面培养具有理论知识和实践经验的网络安全人才。2、培训与认证如今,与网络安全相关的网站、文章、课程层出不穷,为网络安全知识的培训和普及提供了丰富的资源。At&T、Ernst&Young、PricewaterhouseCoopers和国内一些网络安全公司都提供安全培训和服务。此外,CISSP、CISP等证书认证考试也有完整的教育培训流程。这些都有助于培训网络安全从业人员。3、安全意识培训对于普通员工的安全意识培训也是必不可少的。让员工意识到数据安全的重要性,让员工在密码设置、访问认证、内外网连接、邮件收发、移动办公等过程中遵守规则、合理操作,形成良好的安全氛围在企业中,有助于降低安全风险,减轻安全人员的压力。这部分具体内容我们在另一篇文章中已经提到,感兴趣的读者可以点击查看。卡巴斯基最近推出了一个专注于自动化和灵活性的安全意识培训平台。适用于小型企业,也可以作为参考。通过适当的培训,其他行业的人才甚至可以发展成为网络安全人才,例如刑侦警察、游戏玩家等,这可以与上述扩大招聘渠道同步进行。网络安全人才招聘与培训四问四答在本文的最后,我们总结了网络安全人才招聘与培训的四个问题。1、我们需要什么样的人才?根据《中国信息安全从业人员现状调查报告》(2017),我国网络安全行业最紧缺的人才是战略规划和架构设计人才。据《2017 年全球信息安全人员研究报告》了解,全球网络安全行业最紧缺的是运营与安全管理、事件/威胁管理、取证人才。总的来说,除了具备网络安全知识和技能并能处理安全问题的人才外,具有全局观并能提供企业级安全解决方案的专家型人才是整个行业最为渴求的。2、如何为行业提供人才?在高校网络安全教育中,高校教师不仅是讲师、教练,更应该是领跑者。在学生学习过程的不同阶段,梳理出学生在不同阶段需要学习的知识点,因材施教。对于网络安全专业的学生,??可以以需求为导向,支持多层次的竞赛工作,以赛促训。同时,也要关注学生和普通民众的安全和通识教育。企业在安全岗位建设中,要以市场需求为导向,合理设置网络安全保障工作内容,明确各岗位能力要求。针对不同资质设置指标,建立用人标准,与学校或培训机构合作,参照资质要求和标准,共同培养具备相应能力的人才。3、如何让整个行业更具吸引力?在当前形势下,整个网络安全行业前景一片光明。政府、企业、全民对网络安全的关注度越来越高,也在一定程度上促进了整个行业的影响力。只有提高网络安全在企业内部乃至整个行业的重要性,从业者才能感受到自己工作的价值和意义。同时,让网络安全员工合理参与公司业务流程,了解业务战略、IT架构、安全架构,有利于安全工作的有效推进。此外,尊重在职网络安全人才的发展和成长,提供培训、继续教育支持、提供清晰的晋升通道和良好的工作学习氛围等,不仅可以提高员工的能力和积极性,还能更好地应对新出现的安全威胁。威胁。当然,合理的薪酬福利也是提升吸引力的关键。4.你找到对的人了吗?你用对人了吗?在网络安全行业中,威胁评估、风险管理、运维、分析等不同的任务对应不同的岗位,有着不同的技能要求。要找到合适的人才,需要明确每个岗位的职责和要求。例如,要使安全运营中心运作良好,它需要了解技术和应急响应的员工,而不仅仅是了解风险。因为他们不仅要知道风险的阈值,还要知道可以减轻或增加风险的因素,还要知道如何从技术层面控制风险。也就是说,企业必须明确自身对网络安全的具体需求,明确招聘人才的作用,同时在本单位内部建立完善的网络安全管理制度,才能用对人、用好人。
