Spiceworks公司研究發現，盡管80%的企業在2015年遭遇了“安全事件”，但只有29%的企業IT部門有網絡安全專家，只有7%在管理團隊有網絡安全專家。而大部分(55%)稱其企業沒有任何IT安全專家，大多數企業還報告稱他們在未來一年沒有機會雇傭安全專家。

而與此同時，IBM研究發現，數據泄露事故平均總成本約為400萬美元，每個丟失或被盜的機密文件價格約為154美元。這些數據應該引起企業領導的關注，這意味著網絡安全專家將為企業節省成本。但雖然73%的CIO和高級IT領導稱他們將網絡安全視為2016年的優先事項，但只有56%的CTO、54%的CEO以及30%的CMO也這么認為。

AvePoint公司產品戰略副總裁John Hodges表示：“對于每次新的攻擊和網絡犯罪攻擊，越來越多的公司意識到他們也容易受到攻擊。然而，網絡安全技能短缺讓企業更難以快速解決網絡安全問題。企業應該開始集中網絡安全力量圍繞IT安全創建流程，應對外部威脅。”

等待網絡安全專業畢業生

尋找網絡安全專業人員的問題之一是，這是相對較新的技能，需要受過高等教育和認證。根據Hodges表示，這意味著勞動力發現對這種技能的需求以及潛在候選人完成相關學位、獲得認證以及獲得培訓或經驗之間存在時間差。

CTG公司戰略人員配置招聘主管Judson Van Allen稱，對于無法找到網絡安全人才或者無法等待候選人畢業的企業，應該考慮使用第三方服務。對于小型企業特別是如此，他們可能無法在招聘戰爭中與大型企業相競爭。

采用第三方安全提供商可幫助減輕IT部門的負擔，還可讓企業繼續等待網絡安全候選人畢業。在幾年后，當更多具有合格資歷的候選人進入就業市場時，企業就可以開始建立內部團隊。

缺乏內部培訓

同時，你還可以在現有的團隊培訓未來的安全專家。但根據Spiceworks的數據顯示，事實并不一定是這樣。當被問及在2016年他們計劃投入多少到IT培訓時，57%稱他們有些計劃，但還需要一些推動力，而只有6%稱他們已經在投資IT培訓。

DarkLight Cyber公司聯合創始人兼首席技術官Ryan Hohimer稱：“在你自己隊伍中的人才有著巨大的優勢，他們已經非常了解企業。通過培訓內部人員，你可節省讓他們了解企業的時間。”

除了培訓自己的IT安全專業人員，Hodges還建議教育員工，因為他們通常也是最大內部風險之一。他建議專注于建立安全衛華，包括強調“數據隱私第一”的態度，鼓勵只收集必要的數據，并確保他們了解如何擺脫不必要的數據。

這可能需要一些說服來讓企業將預算放在內部員工培訓，但Skillsoft公司首席技術官Apratim Purakayastha成，這應該被視為一種投資，而不是成本。通過投資于培訓，你將打造一支內部員工團隊，幫助你在數據泄露事故時避免重大利益損失。

網絡安全是全職工作

在網絡安全員工培訓方面的一個忠告是，網絡安全是全職工作。你不能指望你的IT人員同時處理網絡、服務器、硬件、軟件和網絡安全工作。網絡安全專業人員需要花費大量時間來確定可能攻擊企業的每種潛在方式。

這意味著你需要給網絡安全專業人員時間、預算以及資源，以幫助他們制定防御戰略。畢竟你不會想依靠嚴格的響應性解決方案，制定防御戰略需要對網絡安全的“整體視圖”，特別是未來幾年威脅將變得更加復雜。

減少成本

如果你猶豫是聘請網絡安全專家還是培養內部人才，你可能已經在浪費錢。Hodges稱，數據泄露事故應該是企業成本的一部分，企業應該進行計劃并最終達到預期;而避免在數據泄露事故花費數百萬美元的方法是做好準備。

Purakayastha稱，對于正在努力向高管展現成本效益的IT領導來說，他們可考慮列出網絡安全的法律影響。例如，當企業遭受攻擊時，根據法律和合規問題，他們可能需要證明他們已經盡一切努力來防止這種攻擊。如果成本節約無法打動高管團隊，那么網絡安全的法律影響可能會改變這一局面。