信息安全市場預(yù)計將從2015年的750億美元發(fā)展到2020年的1700億美元，但是，如同其他任何行業(yè)，成長的煩惱無法避免。

不斷發(fā)展的威脅態(tài)勢、網(wǎng)絡(luò)犯罪即服務(wù)和網(wǎng)絡(luò)間諜，是當(dāng)今執(zhí)法機構(gòu)和CISO們最頭疼的問題，更不用說屢創(chuàng)新高的數(shù)據(jù)泄露事件了。但，還有個更大、更基礎(chǔ)的問題在折磨信息安全市場。

信息安全長久以來都受制于眾所周知的技術(shù)人才短缺問題。(ISC)2 預(yù)測到2020年將有200萬個信息安全職位無人可用，思科則將當(dāng)今全球信息安全人才缺口指認(rèn)為近100萬個。半島新聞公布的勞動統(tǒng)計局2015分析數(shù)據(jù)顯示，美國目前有超過209000個網(wǎng)絡(luò)安全職位空缺。

人才缺乏是全行業(yè)的，但其中數(shù)據(jù)科學(xué)家、數(shù)據(jù)分析師、社會工程和數(shù)字鑒證專家的迫切需求尤其突出。

這不是夸大其詞，該人才短缺已經(jīng)影響到日常的方方面面了。 Frost & Sullivan 咨詢公司和(ISC)2 聯(lián)合進行的一項調(diào)查揭示，企業(yè)及其安全人員越來越將數(shù)據(jù)泄露歸罪于技術(shù)人才的缺乏。技術(shù)市場研究公司 Vanson Bourne 和 英特爾安全的另一項研究，則表明IT經(jīng)理認(rèn)為該人才短缺將讓他們更容易攻擊者盯上，造成專利數(shù)據(jù)損失或聲譽損害。

然而，找出該人才短缺的根源，并不容易。有人將矛頭指向了STEM(科學(xué)、技術(shù)、工程和數(shù)學(xué))教育體系沒有涵蓋安全思維，其他人則責(zé)怪隨著計算機科學(xué)畢業(yè)生尋求到谷歌、Facebook或推特之類的技術(shù)巨頭就職而導(dǎo)致的大學(xué)校園內(nèi)安全方面興趣的減弱。

然后，還有人才保留問題，職業(yè)倦怠是一方面因素，招聘要求高是另一方面因素(信息安全要求的技術(shù)很復(fù)雜，包括了像惡意軟件檢測、逆向工程、加密和虛擬化之類的東西。)

CISO，以及他們的團隊成員，可以來自其他領(lǐng)域

不過，或許有其他方法可以說服年輕學(xué)生或有經(jīng)驗的職業(yè)人士，轉(zhuǎn)到安全行業(yè)上來，無論他們的年齡和所從事的行業(yè)。

傳統(tǒng)的信息安全職業(yè)某種程度上有些僵硬刻板的印象。學(xué)生考進大學(xué)，拿到學(xué)位，再考幾個信息系統(tǒng)安全認(rèn)證專家(CISSP)、信息系統(tǒng)審計師(CISA)或信息系統(tǒng)經(jīng)理(CISM)之類的認(rèn)證，然后做完安全或網(wǎng)絡(luò)架構(gòu)師入職。

但是，這種模式的問題，在于時間和投入。英特爾安全EMEA(歐洲、中東和亞洲)部的CTO就曾經(jīng)說過，他職業(yè)生涯中累積了近30個行業(yè)相關(guān)資質(zhì)，表明這一行留給兼職或業(yè)余愛好者的空間真心不多。

不過，慢慢地，有一種說法開始冒頭：高薪與挑戰(zhàn)并存的信息安全職位，可以從其他行業(yè)挑選人才。

提出這種說法的人就認(rèn)識一家從法律界招聘高級安全主管的專業(yè)安全服務(wù)公司，也有公務(wù)員經(jīng)培訓(xùn)后獲得英國國家犯罪局(NCA)高級網(wǎng)絡(luò)職位的。2014年的一次訪談中，阿卡邁CSO安迪·伊利斯坦陳，自己的安全團隊從通信、客戶支持和幫助臺員工中招聘人員。

趣事連篇，如今，歡迎來自其他產(chǎn)業(yè)新人的業(yè)界努力越來越多了。1年前，信息系統(tǒng)安全協(xié)會(ISSA)啟動了對技術(shù)缺口的調(diào)查，結(jié)論是需要建立起國際認(rèn)可的網(wǎng)絡(luò)安全職業(yè)框架。于是，ISSA網(wǎng)絡(luò)安全職業(yè)生命周期(CSCL)誕生。

英國政府通信總部(GCHQ)和美國國家安全局(NSA)之類的政府機構(gòu)，已經(jīng)開始提供獎學(xué)金和各種競賽，盡管他們相對較低的薪水經(jīng)常被可在私營產(chǎn)業(yè)賺取2倍、3倍乃至10倍數(shù)額的員工嘲笑。

City of Atlanta 前CISO，CloudAssurance現(xiàn)CTO泰耶·蘭波，就是從另一個行業(yè)(工程)轉(zhuǎn)行到安全，且自身經(jīng)歷又反過來影響到他的招聘策略的活例子。

“在我作為CISO和創(chuàng)業(yè)者的職業(yè)經(jīng)歷里，我聘用了帶有網(wǎng)絡(luò)安全甚或信息技術(shù)領(lǐng)域以外背景的人士，最初是作為研究實習(xí)生，給他們機會成長為分析師或工程師、經(jīng)理和總監(jiān)之類的安全角色。其中有些人在我聘用他們?yōu)閷嵙?xí)生后幾年就成為了成功的信息安全官。”

特勒爾斯·奧爾汀，Barclays首席信息安全官，之前在丹麥警方和歐洲刑警組織的執(zhí)法部門工作。毫不意外地，他認(rèn)為，由外而內(nèi)地切入確實可行，尤其在年輕的時候。

“很多安全方面有才華的年輕人對傳統(tǒng)的大學(xué)計算機科學(xué)教育不感興趣，甚至對整個大學(xué)教育就沒興趣。但他們可能是非常好的互聯(lián)網(wǎng)用戶和專家。”

巴克萊銀行正嘗試與各大學(xué)合作，通過巴克萊銀行網(wǎng)絡(luò)學(xué)院吸引年輕人才。該短期的“專項”培訓(xùn)項目設(shè)置在美國、英國、立陶宛和南非，準(zhǔn)確定位在對大學(xué)課程不感興趣的人身上。

然后，可以考慮從非傳統(tǒng)網(wǎng)絡(luò)行業(yè)搜羅年長點兒的人才，只需少量升級課程就可以順利切換。

但高級職位是分水嶺

有人認(rèn)為，高級管理層是從其他行業(yè)招聘最活躍的領(lǐng)域。

曾任英國考文垂建筑協(xié)會銀行和英國能源公司CISO，目前為佛瑞斯特研究公司安全分析師的馬丁·威特沃斯說：“我見過從別的行業(yè)招聘，但大多數(shù)這類活動都發(fā)生在中層或高層級。確實見過有員工成功從其他各種各樣的業(yè)務(wù)領(lǐng)域轉(zhuǎn)行安全，包括運營風(fēng)險、財務(wù)、審計、法務(wù)和項目管理。”

“在最高層級(比如CISO)，我見過來自審計、風(fēng)險和財務(wù)背景的員工進入這些管理角色，并且做得非常成功，我甚至聽說過有從HR背景進入CISO角色的。雖然CISO只是初級高管職位，但這一職位被看作是通往高管發(fā)展階梯的墊腳石。”

安全公司Forcepoint副CISO尼爾·薩克對此表示贊同：“我見證過太多企業(yè)從公司其他領(lǐng)域延攬人才，要么是從入門級角色踏入網(wǎng)絡(luò)安全，要么是從管理視角切入。”

“好的經(jīng)理或團隊領(lǐng)袖會是有效溝通者，再帶個正確的團隊，往往都能在網(wǎng)絡(luò)安全上取得成功。”

英國國家網(wǎng)絡(luò)研究中心研究主任理查德·本漢姆對此存有疑慮，他見到的大多數(shù)新入行者來自IT背景，但坦誠所有的職位角色都需要集成進安全。

“網(wǎng)絡(luò)影響到我們生活的方方面面。HR、市場營銷、法務(wù)、客戶體驗等等領(lǐng)域的專家，都應(yīng)該具備一定的網(wǎng)絡(luò)專業(yè)知識。這是必備的教育。”

招聘人員也看到了這一轉(zhuǎn)變

網(wǎng)絡(luò)安全專業(yè)招聘機構(gòu)BeecherMadden總監(jiān)卡拉·喬斌稱：“不進行再培訓(xùn)，是無法填補網(wǎng)絡(luò)人才空缺的。”

“網(wǎng)絡(luò)職位的應(yīng)聘者漸漸來自風(fēng)險管理、危機管理、項目管理和市場營銷。我們的研究顯示，這些人通常因具備寬泛的技術(shù)面而能獲得更高的薪水。”

有趣的是，她提到，女性應(yīng)聘者應(yīng)獲得更多的工作機會和更高的薪水(信息安全行業(yè)中只有11%是女性)。

從博主變身安全顧問的李·忙森就是這些轉(zhuǎn)職者之一，從零售管理轉(zhuǎn)到了安全意識領(lǐng)域，為法國廣告公司Publicis的 Re:Sources UK 分部工作。

“我從中學(xué)時期開始就對計算機感興趣。不過，直到我親眼看到朋友和家人淪為網(wǎng)絡(luò)詐騙和惡意軟件的受害者，我才漸漸開發(fā)出對安全的興趣。

為了幫助他們，我進行了必要的研究，在隨后多年中慢慢筑成了我的安全知識庫。直到最近，我在各種會議上碰到的人才建議說，我應(yīng)該考慮在安全行業(yè)中謀個職位了。

我的建議是，堅持進入該行的傳統(tǒng)途徑，但不要完全依賴這些。可以去各種安全大會，加入論壇，在社交媒體和網(wǎng)絡(luò)上與信息安全專業(yè)人士瘋狂交流的同時順便發(fā)展溝通技巧。然后你會發(fā)現(xiàn)你的競爭力和業(yè)內(nèi)很多人都缺乏的軟技能同時得到了最佳提升。”

聘到正確的人才

CISO需要停止恐懼未知事物，在審查自家團隊的能力上保持積極主動。

所有CISO都應(yīng)該審查自家團隊的能力，據(jù)此進行調(diào)整，以便保持良好的平衡。培訓(xùn)是很重要的，在職培訓(xùn)也一樣。咨詢顧問能在短期內(nèi)提振競爭力。

團隊指導(dǎo)也是一個常被忽視了的成功策略。招攬未來替代你的人，指導(dǎo)他們及時替上你的角色，將會對你有所輔助并給你的履歷添上光輝一筆。讓他們也對自己的角色做出同樣的舉動，并層層傳導(dǎo)至團隊中最初級的成員。

安全主管應(yīng)打造扎根公司的多技術(shù)和分析型團隊。

CISO需首先建立起自己的策略，而該策略必須真正符合公司業(yè)務(wù)發(fā)展。

一旦安全支持業(yè)務(wù)的方式被確立起來，所需的業(yè)務(wù)(和技術(shù)性)技能就能被標(biāo)繪出來。只有到這一步，招聘和人才保留計劃才被制訂。如同對待任何復(fù)雜業(yè)務(wù)問題，別以為你能獨立搞定，與你的HR團隊合作來認(rèn)清該怎樣最好地招到合適的人才吧。