這項研究將技能差距定義為“組織需要保護其關鍵資產的熟練專業人員數量與實際從事這項工作的求職者數量之間的差距。這并不是對求職者可經獲得的空缺職位的估計。”
好消息是,擁有合適技能的員工數量有所上升。去年增加了70多萬名網絡防御專家,而提供的職位總數達到350萬人。然而在這350萬個職位中,仍有大約一半需要填補。
壞消息是由于冠狀病毒疫情帶來的不確定性,職位的數量減少了,但是人們需要知道如何尋求和招聘熟練的專業人員。
網絡安全技能差距的現狀
發生的這場疫情表明了組織擁有網絡安全團隊的重要性,這些團隊可以解決廣泛的問題,例如讓員工建立虛擬專用網絡,并開展培訓進修課程。報告指出,關鍵是要有組織內部人員或值班人員來處理更精細、更具體的問題(而在本例中是云安全性)。
很多組織在去年就面臨這樣的挑戰,需要將他們的員工從現場工作轉移到遠程工作。在(ISC)²的2020年網絡安全勞動力的研究活動中,將近三分之一的受訪者表示,他們只有很短的時間進行過渡,并確保為員工提供相同質量的安全保護。當然,IT專家也在家遠程工作,不得不自己進行調整。因此,在員工遠程工作期間,18%的組織的網絡安全事件增加。
(ISC)²公司首席執行官Clar Rosso在一份正式聲明中說:“總體而言,網絡安全人員在這些新數據中看到了一些非常積極的趨勢。社區對冠狀病毒疫情的響應及其在幾乎一夜之間將組織的IT系統安全地遷移到遠程工作的能力,在很多方面都是前所未有的成功和最佳案例。網絡安全專業人士積極應對挑戰,并鞏固了他們對組織的價值。”
網絡安全技能招聘的價值
出現這種問題的部分原因是組織的招聘人員在招聘時并不知道需要尋找什么樣的求職者。他們傾向于將網絡安全技能視為千篇一律的需求。他們認為,招聘的員工應該能夠處理所有問題。而組織的領導者還經常將所有安全問題視為大致相同的問題。另一方面,熟練的專業人員知道數據泄露是通過許多不同的攻擊媒介發生的,并且有時看起來并不是數據泄露。
當然,負責日常事務的人員總是扮演著同一個角色,而且總是需要新的團隊成員來處理更艱巨的需求。但是,當負責撰寫工作說明并完成招聘流程的人員(通常是人力資源部人員)并不了解其技術領域的各方面知識時,就難以招募合格的人員。實際上,根據ISACA公司發布的《2020年網絡安全狀況報告》,72%的網絡安全專業人士認為人力資源工作人員并不了解組織的基本網絡安全技能需求。這會逐漸影響組織整體的最佳實踐和防御措施。
這種數字保護的傳統方法已經過時。現在是時候讓招聘人員意識到,他們必須招募了解當今和未來威脅、工具以及網絡安全技能在工作中所起作用的員工。
為什么組織需要具備云計算網絡安全技能的人員
根據Burning Glass公司的調查,云安全是增長最快的網絡安全工作技能之一。在未來五年中,對這一特定技能的需求預計將增長115%。對于擁有云計算技能的人來說有很多工作機會,如今空缺將近2萬個職位。雖然與其他新興的安全工作職位相比,這種技能的職位空缺較少,但擁有云計算專業知識和技能的人員的薪酬最高。
與其他類似職位相比,云計算保護需要不同的技能,例如了解云計算架構背后的技術、系統配置、身份管理、虛擬化以及有關使用云計算安全工具的基本知識。
例如,許多云安全工具最大的挑戰之一是正確配置和管理它們所需的時間和技能,更不用說調整這些配置以消除誤報,或確保它們不會錯過關鍵事件或丟棄合法流量。
超越IT
盡管DevOps一直對IT和業務非常重要,但組織的IT安全團隊并不總是具備處理DevOps流程中發生的錯誤配置和數據泄漏的技能。
云計算網絡安全技能需要超越對技術的了解。該領域的專家還必須精通規則和法規。他們必須了解最常見的框架,例如美國國家標準技術研究院和支付卡行業數據安全標準的框架,以及組織的特定行業標準。他們的工作還包括遵守數據隱私法,保護云平臺中的數據,保持合規性,并圍繞數據和數據訪問建立保障措施。
如何尋找云計算安全專家
需要將具有云計算網絡安全技能的人員添加到組織的團隊中。云計算安全技能具有很高的溢價,這不僅是因為其在以云計算為中心的行業中的價值,還因為在已經存在網絡安全技能嚴重短缺的就業市場上,擁有這些技能的人員很難找到。
是怎么做到的?
首先,組織可以在內部尋求具有這些技能的人員。正如從組織內部招聘其最新的安全團隊成員一樣,也可以從當前的IT或安全團隊內部找到并培養云計算安全專家。
如果組織內部人員不能勝任這個職位,需要從外部尋求人才。例如參加會議以更好地了解云計算安全專家所需的技能,并與可以推薦熟練工作人員的人員進行交流。雇用大學實習生,為他們提供所需的培訓。招募退役軍人和執法人員(那些了解風險評估并且可能具有IT背景的人)是尋找潛在員工的一種很好的方法。組織可能現在無法找到具有所需技能的人員。但是,盡管網絡安全技能存在差距,但擁有云安全專家仍然很重要,組織愿意為開展培訓付出努力,并將發揮他們的價值。
從內部外包或雇傭外部員工
另一個選擇是求助于托管安全服務提供商(MSSP)。這樣可以為組織的云計算服務提供全天候的覆蓋率,并減輕了人們對云計算安全的負擔。但是,它也會給組織帶來更少的控制權。對于大量使用云計算的小型企業來說,另一種選擇可能尤其有效,它是與其他組織聯合起來并共享資源。
最后,招聘人員在搜索求職者時,需要忽略其在簡歷上提到的擔任的職位。與其相反,需要了解其實際的工作職責和技能。因為職位并不總是很好地表明求職者的實際工作能力。有些人雖然有“安全運營經理”的頭銜,但并不是真的在從事云安全工作。人力資源部或組織高管不要只是因為這些頭銜或職位描述就決定招聘哪些求職者。
在(ISC)²公司的這份研究活動中,40%的受訪者表示,云安全是組織和網絡安全團隊中最需要的技能,這是因為云計算在當今的業務中已經扮演了重要角色。
擁有適合組織的網絡安全技能的人員就在那里,組織只需要靈活和更具創造力就可以找到他們。
版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號