我們如今可謂身處一個前所未有的時代背景之下，目前市場對于安全專家的需求空前迫切，期待由這些技術人才保護基礎設施并抵御來自有組織犯罪、行業間諜以及其它國家的一輪又一輪攻擊活動。

人才資源池規模有限，薪酬因此而不斷增高甚至形成泡沫，再加上網絡安全前景的危急形勢，三大因素共同令網絡安全人才危機成為一個“總值十億美元”的難題。

有限的人才資源儲備導致大量與知識產權、非競爭性協議相關的糾紛與難題，此外另一種狀況也令黑客們倍感頭痛：黑客之間的相互攻擊。

FireEye公司首席安全戰略官Richard Bejtlich表示，“信息泄露問題的層出不窮促使眾多企業開始創建自己的事故應對團隊，很多機構甚至是從零起步。”

在思科2014年度安全報告當中，網絡巨頭預測稱全球網絡安全領域的人才缺口至少達五十萬個、美國國內也至少為三萬個，Leviathan安全公司的James Arlen則將這種狀況稱為“毫不夸張的十億美元難題。”

這可絕不是玩笑，而是真正有理有據的結論：目前信息安全領域正面臨著相當緊迫的人才供應不足狀況，也就是說企業為了招攬到合適的人選而被迫將薪酬一提再提——這一切匯總起來，就讓安全行業呈現出一種奇異而又復雜的“明星綜合癥”。

Bejtlich指出，由于人才資源太過炙手可熱、真正頂尖的候選者甚至有資格“制定自己的行事規則。”

他提醒稱，“不要指望雇用到一位頂級人才，并讓他們舉家搬遷到企業總部所在地。此外，企業文化也可能成為拘留人才的一大阻礙。很多高級安全專家希望擁有自由且極具創新性的工作環境，完全無法容忍刻板的官僚主義作風。”

Leviathan安全公司的Arlen也表示，“事實上，為了獲取新的人才供應，很多企業被迫求助于獵頭公司、并且做好了支付大量薪酬的心理準備。”Arlen進一步補充稱：

在過去兩年中，我已經看過太多根本稱不上頂尖人才的應聘者開出了與頂級‘搖滾明星’相當的收入要求。如同其它任何溢價泡沫一樣，這種狀況也會在特定時間點崩潰并迅速回復正位，而這對于某些人來說無疑將是種沉重的打擊。

另一大挑戰在于，推動薪酬水平上漲的動力雖然有一部分源自少數技術精英的個人水平，但總體而言還是由于整個業界的人才供給不足——在這種情況下，水平遠稱不上頂尖的應聘者們往往坐地起價、從而造成薪酬畸形的現狀。

Bejtlich對此深表贊同。“答案很簡單，安全人才供應量的降低加上對相關服務需求的不斷升溫，必然導致薪酬水平的上揚。除非供應與需求能夠最近趨于吻合，否則高于正常范疇的工資仍將在安全業界成為常態，也會有更多技術人員轉而投向到安全業務中來。”

頂級人才的選擇也起到了相當重要的作用。Bejtlich解釋道，“對于精英級別的安全人員而言，通過跳槽的方式實現薪酬提升可謂非常輕松，他們根本沒必要跟當前崗位的管理者苦苦交涉以獲得可憐的一丁點（3%）工資增長。”

當然，企業也已經意識到了這個問題，只不過從來沒有作出明言：事實上，頂級網絡安全人才正如走馬燈般在不同企業之間往來穿梭。

企業之間共享保密協定

大家可以想見，任何一個行業都充斥著秘密、利用與間諜活動——信任危機已經成為迫在眉睫的嚴峻問題，每一種合作關系、每一次利益交換與規模有限的人才資源帶來大量與知識產權、非競爭性協議相關的糾紛與難題。此外另一種狀況也讓黑客們倍感頭痛：黑客之間的相互攻擊活動。

瞻博網絡公司安全、交換與解決方案業務部門戰略與技術營銷工程副總裁Chris Hoff在接受至頂網采訪時指出：

安全行業與社區相對而言規模較小且往來密切，對于高水平員工的需求則遠遠超出了當前人才市場的供應能力。

在安全行業，技術人才在每個工作崗位上的留任時間一般僅為兩到三年——這樣的情況也算頗為有趣。

由此帶來的問題在于，員工在跳槽后有可能無意中導致知識產權泄露并導致機密信息轉移。為什么會這樣？因為老員工們入職后往往直接接手工作，而不再像新手那樣接受完善的業務知識及規章制度培訓。然而用人單位卻往往別無選擇，畢竟從頭培養新人的經驗、知識面以及技能水平遠比招聘成手成本更高。

Hoff解釋稱，這種狀況已經成為一種敵對因素，而競爭環境也因此而不斷發生著變化。

他表示，“安全事務當中包含多個子學科，我們往往會受到一些周期性銷售與收購行為模式的影響，而這些模式通常會因技術、經濟、政治、文化或者法律法規的介入而遭受破壞。”Hoff進一步補充稱：

當某種技術解決方案在處理某種日趨成熟的威脅因素時，后者的變種產物往往需要利用新的解決方案類型加以應對，而這通常要求我們在專業水平方面有所變更。

事實上，很多威脅因素在處理時需要借助大量策略、技術與規程，而很多從業人員根本不知道該如何對其加以運用。

根據Hoff的觀點，由于人才資源儲備有限，即使是水平極高且精通某一學科或者技能的黑客“恐怕也無法根據安全團隊規模的變化及時擴大或者重塑自己的專業知識。”

這種勞動力短缺情況又導致現狀進一步惡化，即使增加更多人力恐怕也未必能順利解決問題。

投資預算“極度”短缺

FireEye公司的Bejtlich也不能確定投入更多黑客人才能否切實解決目前的危機。“我更關心的是，安全從業人員應該更為高效地利用自己的時間。”

他解釋稱，“一個十人團隊在管理反病毒解決方案時，其中往往有九位成員處于人浮于事的狀態。我希望看到IT部門能在安全任務當中負擔起更多維護與部署工作，從而保證真正的安全人員能夠把更多時間用于檢測及響應異常狀況、并與開發社區進行合作方面。”

當至頂網問及信息安全行業應該如何擺脫當下困局時，Hoff毫不諱言地表達了自己的觀點。“我認為整個安全業界需要根據實際需求迅速成長并完成規模擴展。”Hoff進一步強調道：

我們需要培養并維護好后備力量，從而積蓄起足以替代現有安全專家的新生人才儲備;除此之外，我們還應該加大在培訓方面的投入力度，從而為那些已經發展成型并為企業提供保護措施的員工勾勒出發展規劃。

在培訓、技能更新以及導師資源方面的投入欠缺不僅僅會招致悲劇——這種思維本身就是種悲劇。

如果企業不為業已存在的人才提供充足的投入，那么其自身顯然也無法獲得光明的發展前景。