計算機世界(Computer world)《2016年度IT薪酬調查》揭示了安全招聘和薪酬趨勢，讓我們來看看同行們都是怎么看待他們的職業前景的，順便也比較一下自己的待遇吧。

營銷自動化軟件廠商Marketo的首席安全官，杰森·霍夫曼在某企業做了7年的內部審計員，之后離開了這個他已經非常熟悉和擅長的工作，去嘗試一些別的東西。對于18年前這次華麗轉身，霍夫曼甚為慶幸。“1998年的時候，誰能想到安全在今天會如此重要呢?”

安全對業務的重要性已經在研究中被證實了。《2016首席信息官態勢報告》揭示：公司CEO目標清單上位列第三的，就是改善網絡安全(29%)，緊跟在完成重大企業項目(40%)和達成某個利潤目標(32%)之后。同時，被調查的IT高管們說，安全是驅動IT投資的主要技術動力之一(29%)，幾乎與云計算(30%)和大數據/商業分析(27%)并駕齊驅。

公司高管和董事會更為尖銳地意識到了安全不僅僅是個IT問題，而是業務問題。因此，不分行業和公司，大家有志一同地重視起了安全。聰明的公司，將長久成功的公司，必然會投資到安全上，做正確的事情。而在安全上的投資，可被投射到在人才方面的投資。

在《2016 IT 薪酬調查》中，信息安全經理是IT界最熱門的職業，平均收入漲幅最大(2015到2016年漲了6.4%)。信息安全專家也以年漲幅4.7%的佳績榮登熱門職業排行榜，與軟件開發者并列第五。

信息安全經理 +6.4%

系統分析師 +6.2%

系統管理員 +5.3%

網絡管理員 +4.8%

軟件開發者 +4.7%

信息安全專家 +4.7%

網絡工程師 +4.6%

首席信息官 +4.6%

軟件工程師 +4.5%

應用開發者 +4.4%而且，只有一半多一點兒(51.3%)的安全高管和經理認為，IT員工總人數來年將有所上升。以Marketo為例，信息安全總監在其當前招聘職位列表之中，今年也會充實其安全團隊的力量配備，主要是增加像安全架構師、安全工程師和安全分析師之類的技術角色。身份認證管理提供商 Ping Identity 的趨勢也是如此，其首席信息安全官羅博·雷克稱，他們計劃年內大幅擴張安全部門，應用安全、開發/基礎設施安全、安全監管和合規將是重點招聘領域。

所有這些都為選擇了安全為職業的人士鋪開了一幅美好的景象。

滿意度高 薪酬增漲

調查中，高達89.9%的安全專業人士表示，他們對從事IT行業的決定滿意或非常滿意。覺得自己當前位置穩固或非常穩固的比例也一樣的高。隨著大數據的激增和貨幣化，公司企業需要安全專業人士來幫助他們保護這些數據，安全不會弱化。

73.2%的安全專業人士稱，IT職業道路和薪酬增長潛力比大多數其他職業道路要更有前途。安全只會越來越重要，安全專業人士的薪資漲幅會比大多數IT職業角色要高，安全人士的好時光將繼續延續。

表示一年來基本工資有所增加的安全專業人士有76.1%。在報告說自己的薪資去年有漲的被調查者中，安全專業人士比其他IT從業者更傾向于將內部升職(14.3% vs. 10.5%)、額外/新的職責(15.2% vs 7.8%)、跳槽升職(10.5% vs. 3.6%)列為增資原因。34.1%的安全專業人士(全部IT從業者是25.3%)認為未來5年內自己將在另一家公司獲得更高職位，28.3%覺得會在同一家公司升職。

一個嚴重的問題

沒錯，安全專業人士的就業市場很熱，對薪水和流動性而言是好事，但這是建立在嚴重的人才短缺背后的：23.2%的安全專業人士(所有IT從業者是12.3%)認為，IT產業面臨的最大挑戰就是IT人才的短缺。

在失業率幾乎為零的狀態下，招聘有經驗的安全專業人士基本上意味著要從別的公司挖人。這不過是把人才缺口推給下家而已，只會讓人才短缺問題更加惡化。只有更精于發現安全人才，更好地培訓出新的安全人才，我們才能從總體上讓世界更美好。

人才短缺的影響滲透到方方面面。如果一家公司不能聘用到足夠的人手，那它發展路線圖的關鍵部分就缺失了，或者其現有員工不得不透支生命來完成任務。兩種情況都不可取，也都會導致發展中期就遭遇毀滅性打擊。

安全專業人士比其他IT從業者更易于遭受提高生產力和接受新任務的壓力(64.5% vs. 58.7%)。而這種狀況在來年不太可能有所好轉：60.1%的安全專業人士(所有IT從業者是56.1%)預計自己未來12個月的工作量和職責將會增加。

在被要求提高生產力或接受新的任務的人中，79%的安全專業人士稱其工資并未根據增加的工作量進行調整(雖然已經比整個IT行業的總體水平好了)，而且他們也比其他IT從業者更容易感到自己的薪酬漲幅沒趕上業務增長和要求(60.9% vs. 55.3%)。

這足以讓任何人想跳槽。

人往高處走

49.2%的安全專業人士稱，他們或主動或被動地在另外的公司謀求新職位。人才少，需求漲，典型的人才賣方市場，人才紛紛去追尋新機會簡直天經地義。

73.9%的安全專業人士(所有IT從業者是60.7%)稱曾被招聘公司或獵頭詢問過工作意向。而沒興趣找新工作的安全專業人士中，只有8.5%是因為就業市場不景氣，或者機會少(IT行業總體是13.1%)。

對尋找新工作的安全專業人士而言，與其他IT從業者不同，最難的部分不是弄清自己對新職位的期望是什么，而是考慮該為自己定價幾何。

安全專業人士遠比其他IT從業者更有可能擁有IT相關的各類資質證書(81.9% vs. 54%)，也更易于認為擁有證書能幫他們謀得工，獲得升職或漲薪(62.8% vs. 41.6%)。但實際上，證書的作用并沒有技術和經驗那么大。

對新入行的從業者而言，證書是有用的，能證明你基礎扎實，表明你對這一職業的熱愛。但證書并不是必需品。老板們只關心技術水平——這人能不能做到我需要他做的事啊?這個時候，一張證書根本起不了什么作用。

招聘挑戰

如果打算勾引到頂級人才，需要用到的誘餌是相當明顯的(79.7%的安全專業人士會因為更高的薪資而跳槽)，但這并不意味著你就能很快撬到想要的人才。

IDC對高級信息安全主管的一項調查表明：大多數工作經驗要求不到5年的職位只要3個月就能聘到人，但要求10年以上工作經驗的職位有21%都要至少1年才能招到人，而要求20年以上工作經驗的職位更是幾乎有一半要花費1年以上的時間尋覓人才填補空缺。

我們面臨的，不僅僅是全球范圍內的安全人才荒，還有很多分支領域更加求才無門。

對安全行業最主要的誤解之一，就是“安全人”的概念。通常人們談起安全，總以為這就是個單一的領域。實際上，安全行業中完全沒有交匯的工種多達幾十甚至上百個。杰出的惡意軟件分析師或許會是個糟糕的安全審計員，安全感知程序設計者也無法進行安全代碼審核工作。因此，我們面臨的不僅僅是安全人才的全球性稀缺，還有很多子領域甚至更加人手不足。

搞安全的兄弟伙必須得是自己負責領域的技術專家。比如說，應用安全團隊中，敏捷環境Web開發就是必須精通的。開發人員/工程師則需要了解所處的云計算環境和團隊采用的開發工具。基于這一點，找到所需的安全人才并不難。只要狩獵那些要么已經深入理解了這些技術，要么非常期待在公司汲取這方面經驗的人就可以。

對安全專業人士來說，習得這些技術，獲得極具價值的實際經驗，可能需要花去數年的時間。為幫助人們理解安全專業人士是干神馬的，通常需要以IT世界為背景舞臺進行解釋。在IT界，以下幾個分類基本是眾所周知的：網絡、服務器、桌面、應用、數據庫。每個分類都有自己的主題專家。在安全界，你需要尋找的安全專業人士必須是掌握所有這些領域知識和經驗的全才。作為一名CISO，如果遇到能玩轉所有這些領域的人才，那就立馬簽下來，使盡渾身解數留住他/她吧!這世上可沒多少人符合這么苛刻的標準，因此，公司企業通常會退而求其次，尋來技術水平高超的IT人士，再把他們培養成安全專家。相對而言，這是IT人踏入安全門的合理且有效的職業途徑。

職業前景

目前是謀求職業發展或者轉行到安全界的極好時機。很多公司都在招聘安全領頭人，甚至剛開始招募公司歷史上首位CISO。即使勝任安全領頭人的人才極度稀缺，公司企業依然會招人填充進這一角色，從未擔任過CISO的應聘者也有可能成功獲得這一職位。

想要建立完善的安全教學體系，讓勞動力市場上有充足的安全專家，這一過程可能需要20年。

但選擇安全作為職業并不是拿個學位那么簡單的事。雖然建議選擇入行安全界，卻不建議去干諸如“學習安全”這種事。盡管現在已經有學院提供安全學士和碩士學位，作為一個產業，我們還可以在學校以外直接培養未來安全領頭人上做到更多。想要建立完善的安全教學體系，讓勞動力市場上有充足的安全專家，這一過程可能需要20年。

不過，這20年還是蠻令人激動的。可以做的事很多!

在安全界找種自己愛好的技術或者門類，深入進去，不要想著成為“安全人”，要奔著開發安全工程師而去，解決IT應用環境中的安全問題。或者，成為一名安全合規專家，了解相關合規框架的復雜細節，知道該怎樣利用這些框架讓公司更加杰出。再或者，當一位安全Java開發大師，為普通問題設計出標準解決方法。

關鍵在于，找到你想解決的問題，深入追尋，探討細節。這些問題也許十年后都還存在，即使你無法為某個問題貢獻解決方案，別擔心，總有另一個問題能讓你興致盎然，生活充實，且薪資客觀。