面對不景氣的經濟和高失業率,信息安全領域一直是IT求職者的希望堡壘,根據(ISC)2 等組織的保守估計,在未來幾年信息安全行業將會提供數十萬就業機會。
信息安全事業的成功 安全認證是關鍵嗎?
鑒于合格的IT安全專業人員稀缺,對于那些試圖尋找好工作和更高薪水的人來說,安全認證有多少價值呢?根據一項新調查顯示,信息安全領域平均工資正在上升,而安全認證可以開啟或改善職業生涯,但專家質疑其真正的價值。
剛剛公布的2014年SANS研究所工資和職業發展調查(對信息安全培訓企業的2008年工資和認證調查的擴展更新)對超過4000名受訪者進行了采訪,其目的是分析IT專業人員的目前就業趨勢,包括工資水平、教育水平和未來職業期望等。
這個SANS調查發現,鑒于對合格安全人員的高需求,現在很多信息安全專業人員待遇很好。近一半的受訪者每年收入超過10萬美元,而在2008年的調查中,這個數字只有38%,并且,將近四分之一的受訪者的工資在8萬到99999美元之間。
這個SANS調查指出,工作經驗是高工資的主要原因。在所有信息安全職位中,具有三年或更少經驗的專業人員平均每年工資低于7.5萬美元,而那些有七年或以上經驗的受訪者工資則超過10萬美元。是否具有管理能力也對工資有很大影響:管理職位的受訪者平均每年收入超過12萬美元,而非管理人員的平均工資僅為9.5萬美元。
SANS研究所總經理Scott Cassity表示,2014年的調查表明,作為一種職業,信息安全正在朝著正確的方向發展。
“我認為可以準確地推測,這個領域將會發展,”Cassity表示,“我們看到由于經濟衰敗,工資受到了一些影響,但現在的工資要高于六年前。”
安全認證的價值是什么?
雖然這個SANS調查指出了信息安全專業人士的工資主要與幾個因素有關,但絕大多數受訪者認為安全認證是職業成功的關鍵。 事實上,近五分之三的受訪者表示,安全認證是影響其職業的最大的因素之一。相比之下,不到40%的受訪者認為取得成功在于關系網,而不到四分之一的受訪者認為關鍵因素是學士或碩士學位。
根據該調查顯示,并非所有的認證都是一樣。受訪者認為SANS自己的GIAC安全專家認證和(ISC)2 CISSP 認證比其他認證更有價值,而CompTIA的Security+則被認為是價值最低的認證,該認證主要針對經驗較少的安全從業人員。
SANS是營利性安全培訓和認證行業的領導者之一,參與SANS調查的受訪者可能有些偏頗,但Cassity表示,人力資源人員通常通過證書來判斷應聘者是否具備一定的基礎知識來勝任某個安全職位,可以說,證書是應聘的主要指標。在從業人員的職業生涯的早期階段,尤其是如此,因為入門級安全職位通常是從其他IT領域(例如網絡)過渡到這個行業的人員。
“很多時候,如果他們想要提高自己的應聘競爭力,獲取相應的證書是正確的做法,”Cassity表示,“對于學士學位和其他正式培訓,企業認為它們只是提供給應聘者理論知識,而證書和認證則才能夠證明他們具有相關能力。”
“他們當然需要具有技術技能,”Cassity繼續說道,“但伴隨著科學的還有藝術。”
有趣的是,根據SANS調查顯示,安全認證對于獲得更高工資和升值的影響并不像受訪者認為的那么高。SANS并沒有提供具體數據來表明工資增長和認證之間的關系,而是指出:“高達5%的薪水增加與很多認證有關”。
不過,與正式教育差異造成的工資差距相比,這個5%顯得有些相形見絀。例如,具有四到六年工作經驗,且只有高中文憑的安全專業人員的平均工資為75938美元。而具有相同工作經驗,且具有學士學位的人員每年工資為84619美元,另外,具有碩士學位或MBA的人員平均每年工資為97109美元。
信息安全獵頭公司L.J. Kushner and Associates總裁Lee J. Kushner解釋說,安全認證能夠幫助應聘者進入這個行業,特別是當不了解行業技能的人力資源人員負責篩選應聘者時,然而,這些安全證書對工資的影響遠遠比不上工作經驗和技能。
“除非是非常重視人力資源的企業,否則認證變得毫無意義,”Kushner表示,“我們的客戶從來不會說他們愿意為特定職位支付10萬美元的工資,但如果他們有某種證書,他們將支付12萬美元。”
信息安全就業機會在增加,但也在改變
對于希望進入信息安全領域的人,或者想要跳槽的安全人員來說,這個SANS調查證實了一個事實:很多企業正在積極招募安全工作人員。
在過去的一年中,43%的受訪者表示他們的雇主已經增加了信息安全工作人員,而只有10%減少了人員。預計未來一年,這種趨勢還將繼續下去,超過三分之一的受訪者預計將增加IT安全人員,不到5%的受訪者計劃裁減人員。
這個SANS調查還指出了在未來兩年可能增長最明顯的安全領域,受訪者預計,事件響應、云計算/虛擬化和分析是最需要的三大技能。
資深SANS分析師Barb Filkins表示,這些技能需求趨勢突出了該行業最近幾年所看到的發展,并通常表明,這個領域在未來幾年還將繼續產生新的機會。
Filkins表示:“在我看來,這表明安全行業是有利于職業發展的行業。”
安全認證只是職業“拼圖”的一部分
Kushner警告說,任何大型調查并不會對所有人都有意義。他表示,SANS調查中指出的最重要的技能可能過于寬泛,或者是因為最近發生的事件而帶來的影響。
例如,對事件響應技能的需求可能部分是因為在過去一年發生的針對Target和其他零售商的泄露事故。但按需技能可能很快會發生變化,例如,如果在未來一年內關鍵基礎設施遭遇了網絡攻擊,SCADA安全技能可能會被很多受訪者提及。
Kushner還警告說,如果沒有在前沿環境的工作經驗(例如在云計算企業的安全工作),很多最引人注目的工作機會可能與信息安全專業人員擦肩而過,即使他們獲得了安全證書。他建議試圖發展職業的安全專業人員首先明白“他們最終的目的”,然后采取相應的行動來到達目的地。例如,如果有人想成為一名首席安全官,他/她應該更多地關注業務技能,而不是純粹的技術技能,甚至可以考慮獲得MBA學位。
另外,他表示,招聘經理和人力資源人員必須意識到,如果其提供的機會或工資比不上候選者已有的水平,他們將很難從其他公司挖安全人才。Kushner指出,很多職位空缺的時間要比他們想象得要長,因為很多公司不愿意為符合要求的有經驗的候選者調整工資水平,這個SANS調查和其他調查只是顯示了行業工資的實際情況。
“我有一個客戶正在招聘滲透測試人員,他們對應聘者有著很高的要求,”Kushner指出,在這個調查提到的薪酬范圍,其客戶永遠找不到滿足其高要求的候選人。
“毫無疑問,該行業非常需要信息安全人才,但明白這一點:具有某種區分性技能的優秀的信息安全人才面前有著一個非常光明的未來,”Kushner說道,“具有一般技能的人才也有機會,但大多數時候,這并不是一個不同的或更好的機會,只是‘換湯不換藥’。”