現在企業越來越需要同時具備計算機科學和網絡背景的專業人員,因而填補網絡安全崗位并不容易,而技術扮演的角色將愈發重要起來。
對于任何行業來說,100萬名工人的缺口都是一個問題。然而在網絡攻擊事件每年攀升的背景下,探討網絡安全專業人員的缺口,一百萬則是一個令人警醒的數字,網絡安全行業必須要認真面對起來。
網絡安全技能鴻溝隨著時間的推移不斷拉大,而我則是這一鴻溝的見證者。十年前,我已在IT領域工作,不過并未專事安全,但當時網絡安全技能鴻溝并不存在。
當然,一些組織,特別是在有關于“管理與人有關的數據”的那些行業,如金融、醫療、軍隊和保險業,幾年來一直都有內部的安全團隊。然而對于大部分企業來說,這并未形成其IT的必選項目。那時候網絡攻擊也不常見,因而對專業的、內部的安全團隊的需求還不明朗。
那時候,安全是臨時性的、活動式的。你可以按需設置安全委員會,但并不需要專設部門。如果數據泄漏事件發生,IT團隊意識到網絡遭到攻擊時,安全團隊僅僅是增加其網絡周邊安全并采取額外的措施以防事故再度發生。
安全由專家牽頭
如今一切變得不同。現在安全是主動式的,由內部專家負責。如此,對于專有安全專家的要求變得更高,以至于組織機構,包括政府在內,很難找到他們需要的人才。在今年夏天OPM數據泄漏事故發生后,美首席信息官Tony Scott說道,如今世界上最難招聘的就是安全專業人才。
那么,為什么網絡安全技能鴻溝會出現呢?甚至政府也很難尋到技術人才呢?這是多種因素造成的。
首先,網絡安全是一個十分特定的領域。如果你想要在網絡安全領域里工作,你要同時有計算機和網絡的背景。你需要熟知網絡安全的發展脈絡,從老的、靜態的類似惡意軟件這樣的威脅到新型的APT這樣的威脅,你都要了解。而能做到兼具見識廣度和技能深度的專家少之又少。
其次,企業建立自己的安全團隊,不過通常都是從普通IT部門挑人才。很可能這些系統管理員此前從未從事過安全方面的事,而如今卻要負責保護企業網絡的核心元素。而對安全不感興趣的人和沒有安全專業技能的人無甚差別。
這種“角色與技能”不匹配在如今IT安全高管(如CIO、CISO)中十分常見。就其角色而言,他們要負責建設并管理一個值得信賴的安全專家和資源團隊,而過去,他們只是關注信息技術系統的構建和管理而已。
彈性也是要因之一
這關系到最后一個因素,那就是IT安全專家需要“厚臉皮”一些。對于安全團隊,特別是C級安全官來說,如果公司遭遇攻擊相應這些官員就會遭到譴責,也不管因果如何。大概一定程度上這也導致了CIO的平均任期只有四年。如今的現實是絕大多數的公司都在經歷著這樣那樣的攻擊。安全團隊得經得起推敲,能夠快速響應,從中吸取教訓,以防其再度發生。
100萬IT安全專業人員的缺口不會在一夜之間被填補,對于很多企業來說,更是需要數年。同時,人手不足和IT安全部門資源不足都需要靠安全技術來彌補,從集中管理遠程接入VPN到威脅檢測系統防火墻等等,用這些技術來幫助其獲得更好的安全保護。
如此這般,強健和自動化將使公司能夠從當今最為巨大的威脅中保全自身,也不管企業中到底缺了多少安全人才了。
京公網安備 11010502049343號