网络安全技能缺口在今天仍然是一个现实问题,但最终可能会得到解决。根据(ISC)2的2020年网络安全劳动力研究,网络安全技能差距正在缩小。该研究将技能差距定义为“组织需要保护其关键资产的熟练专业人员数量与实际从事这项工作的求职者数量之间的差距。它不是对求职者可用空缺职位数量的估计。“好消息是,拥有合适技能的员工数量有所增加。去年新增了超过700,000名网络防御专家,使提供的工作岗位总数达到350万个。然而,这350万个工作岗位中约有一半仍需要待填补。坏消息是,由于冠状病毒爆发造成的不确定性,职位数量有所减少,但人们需要知道如何寻找和招聘熟练的专业人员。网络安全技能缺口的现状这场大流行已经展示了拥有网络安全团队的组织的重要性,这些团队可以解决范围广泛的问题,例如让员工建立虚拟专用网络并进行培训进修课程。报告指出,关键是让组织内部人员或随叫随到处理更精细、更具体的问题(在本例中为云安全)。许多组织在最近几年都面临着将员工从现场工作转移到远程工作的挑战。年。在(ISC)2的2020年网络安全劳动力研究中,近三分之一的受访者表示,他们只有很短的时间来过渡并确保为员工提供相同质量的安全保护。当然,IT专家也在家远程工作,不得不自我调整。因此,18%的组织在员工远程工作时网络安全事件有所增加。(ISC)2首席执行官ClarRosso在一份官方声明中表示:“总体而言,网络安全专业人士在这些新数据中看到了一些非常积极的趋势。在一夜之间安全地将组织的IT系统迁移到远程工作的能力在许多方面都是前所未有的成功,最佳实践。网络安全专业人员已经迎接挑战并巩固了他们对组织的价值。”网络安全技能招聘价值的部分问题在于,组织的招聘人员在招聘时并不知道他们正在寻找什么样的候选人。他们倾向于将网络安全技能视为一种放之四海而皆准的需求。他们认为,雇用的员工应该能够处理所有事情。然而,组织领导者通常认为所有安全问题都大致相同。另一方面,熟练的专业人员知道数据泄露是通过许多不同的攻击媒介发生的,有时看起来并不是数据泄露。当然,日常人员总是担任相同的角色,并且总是需要新的团队成员来处理更严格的要求。但是,当负责撰写职位描述和完成招聘流程的人员(通常是人力资源部)并不了解其技术领域的各个方面时,就很难招聘到合格的人才。事实上,根据ISACA发布的《2020年网络安全状况报告》,72%的网络安全专业人士认为人力资源人员不了解组织的基本网络安全技能需求。随着时间的推移,这可能会影响整个组织的最佳实践和防御措施。这种传统的数字保护方法已经过时。招聘人员是时候意识到,他们必须招聘了解当今和未来的威胁、工具和网络安全技能的员工,才能胜任工作。为什么组织需要具备云网络安全技能的人员根据BurningGlass的说法,云安全是增长最快的网络安全工作技能之一。预计未来五年对这一特殊技能的需求将增长115%。拥有云计算技能的人有很多工作机会,如今有近20,000个职位空缺。虽然与其他新兴安全职位相比,这项技能的职位空缺较少,但拥有云计算专业知识和技能的人薪水最高。云计算保护需要与其他类似职位不同的技能,例如了解云计算架构、系统配置、身份管理、虚拟化背后的技术,以及使用云计算安全工具的基本知识。例如,许多云安全工具面临的最大挑战之一是正确配置和管理它们所需的时间和技能,更不用说调整这些配置以消除误报,或确保它们不会错过关键事件或丢弃合法流量。超越IT尽管DevOps对IT和业务一直很重要,但组织的IT安全团队并不总是具备处理DevOps过程中发生的错误配置和数据泄漏的技能。云计算网络安全技能需要超越技术知识。该领域的专家还必须精通规章制度。他们必须了解最常见的框架,例如美国国家标准技术研究院和支付卡行业数据安全标准的框架,以及特定于组织的行业标准。他们的工作还包括遵守数据隐私法、保护云中的数据、维护合规性以及围绕数据和数据访问建立保护措施。如何寻找云安全专家您需要将具有云网络安全技能的人添加到您组织的团队中。云安全技能具有很高的溢价,不仅因为它们在以云为中心的行业中具有价值,还因为在已经严重缺乏网络安全技能的就业市场上很难找到这些技能。如何?首先,组织可以在内部寻找具备这些技能的人。正如您从组织内部招募最新的安全团队成员一样,您也可以从当前的IT或安全团队中寻找和培养云安全专家。如果组织内部人员不能胜任这个职位,就需要从外部寻求人才。示例包括参加会议以更好地了解作为云安全专家所需的技能,以及与可以推荐技术工人的人建立联系。雇用大学实习生并为他们提供所需的培训。招聘退伍军人和执法人员(了解风险评估并可能具有IT背景的人员)是寻找潜在员工的好方法。组织可能无法立即找到具备所需技能的人员。但是,尽管存在网络安全技能差距,但手头有云安全专家仍然很重要,组织愿意努力开展培训,并将看到他们的价值。外包或雇用外部员工的另一种选择是求助于托管安全服务提供商(MSSP)。这为组织的云计算服务提供了全天候的覆盖,并减轻了人们在云计算安全方面的负担。但是,它也给组织带来了较少的控制。另一种可能特别适合大量使用云计算的小型企业的选择是与其他组织联手并共享资源。最后,招聘人员在搜索候选人时需要忽略简历中提到的职位。相反,了解他们的实际工作职责和技能。因为职称并不总是一个候选人实际工作能力的良好指标。有些人拥有“安全运营经理”的头衔,但实际上并没有从事云安全方面的工作。人力资源或组织主管不应仅根据这些头衔或职位描述来决定聘用哪些候选人。40%的(ISC)2研究受访者表示,由于云计算在当今业务中发挥着关键作用,因此云安全是组织和网络安全团队中最需要的技能。拥有适合组织的网络安全技能的人就在那里,组织只需要灵活和更有创意地寻找他们。
