很多企業都陷入網絡安全人員短缺的困境,這已經不是什么秘密。幾年前就有消息稱,許多需要網絡安全技能的高薪職位空缺。
然而,公布網絡安全技能短缺數量還不足以增加網絡勞動力。事實上,根據美國信息系統安全協會和分析機構企業戰略集團進行的一項研究,絕大多數網絡專業人士(95%)認為,網絡安全技能短缺的情況在過去幾年里并沒有改善,近一半(44%)的網絡專業人士認為它變得更糟。
那么這個網絡安全人員缺口有多大?根據Cyberseek公司發布的一份研究報告,美國約有110萬人從事網絡安全工作,但目前有超過70萬個職位空缺。網絡安全風險投資商Cybersecurity Ventures公司稱,全球網絡安全人才缺口約為350萬人。
了解網絡安全技能短缺及其影響
與此同時,隨著企業之間相互競爭以獲得可用的稀缺人才,網絡安全人員的薪酬也在不斷上漲,這意味著企業無法雇傭更多的網絡安全人員。國際信息系統安全協會的研究發現,現有的網絡安全團隊的員工被要求承擔更多的工作,這反過來又會導致工作倦怠。
其結果是,企業、政府機構、教育機構和其他組織的安全措施比應有的措施要薄弱得多,使所有員工、客戶和個人面臨數據泄露、隱私侵犯、金融欺詐和其他不利后果的風險增加。
彌合這一巨大缺口需要理解網絡安全技能短缺持續存在的原因。以下對這一原因進行了探討,并提出了IT領導者及其公司可以解決潛在問題的幾種方法。
網絡安全技能短缺的五個主要原因
許多因素共同導致了網絡安全技能短缺。以下是五個主要原因:
(1)網絡安全人才需求持續增長。幾乎每個企業不僅變得完全依賴技術,而且技術也在繼續變得更加復雜。保護當今的系統、網絡和數據免受網絡攻擊比以往任何時候都更加困難,需要更多的安全技術和流程相互配合。因此,企業需要他們的網絡安全人員比以往任何時候都更強大,擁有更豐富和精深的技能。
(2)網絡安全人才缺乏多樣性。最近的一項勞動力研究顯示,全球只有約25%的網絡安全人員是女性。AspenI研究所進行的一項調查表明,美國19%的人口是西班牙裔,但只有4%的網絡安全人員是西班牙裔。美國原住民和黑人在網絡安全行業的代表性也明顯不足。
(3)企業雇主有不切實際的期望。網絡安全職位描述通常要求求職者擁有大學學位、多項認證以及在各種安全學科方面的多年經驗。許多原本可以成為網絡安全人員的求職者沒有申請這些工作,因為他們認為難以達到這些要求。有些求職者確實申請了這些職位,但沒有得到回復,因為他們缺乏相應的學位或足夠的實踐經驗。
(4)員工的技能沒有跟上時代的發展。隨著時間的推移,企業雇主需要應對的挑戰也在不斷變化,例如越來越依賴云安全,以及針對數據和系統的不斷變化的威脅。但很多員工面臨工作壓力,往往沒有機會學習新技能、參加培訓、參加在線課程或獲得新證書。不僅僅需要技術技能,還需要溝通等軟技能。
(5)網絡安全專家正在轉型或離職。令人擔憂的是,Trellix公司最近委托進行的一項調查發現,三分之一以上的網絡安全人員正計劃轉行或離職。這是在留住員工方面的主要問題,在很大程度上是由于持續的人員短缺和許多網絡安全工作的巨大壓力。隨著越來越多的員工離開這一領域,人員短缺的情況變得更加嚴重。
以下是企業解決網絡安全技能短缺持續擴大這一問題的三種方法。
企業解決網絡安全技能短缺問題的3種方法
雖然沒有辦法在一夜之間彌補網絡安全技能短缺的差距,但企業可以通過做以下三件事取得進展:
(1)考慮招聘弱勢群體。優先向婦女、少數放裔和其他被忽視的群體進行宣傳。讓他們知道這些群體成員了解網絡安全領域具有令人難以置信的各種機會,并向他們展示如何加入。確保企業的招聘將多樣性考慮在內,并考慮提供帶薪實習的機會。
(2)主要在企業內部培養技能,而不是雇傭外部人員。如果企業降低工作要求,轉而在內部培養員工以提高網絡安全技能,為新員工提供培訓、教育和認證支持,幫助他們跟上網絡安全的發展,就可以獲得更多的人才儲備。讓大學畢業生、退伍軍人、從其他職業轉型的人員,以及那些對網絡安全感興趣和有能力的人學習和成長。這是因為在大多數網絡安全職位上,擁有大學學位、證書和幾年的經驗根本不是獲得成功的必要條件。
(3)為現有的人才提供支持。如今,職業倦怠在許多企業都很普遍。特別是在技術人才如此短缺的情況下,任何面臨巨大壓力或心懷不滿的員工都很容易離職,并在其他公司那里尋找更好的入職機會。然而,企業也有一些關鍵的網絡安全需求必須得到滿足。以下是一些支持現有員工的策略,這樣他們就不太可能離職:
•在可行的情況下,將日常工作實現自動化——尤其是那些重復性、無聊或壓力大的工作。這將有助于減少企業的勞動力需求,讓員工完成有趣的并且壓力小的工作。
•考慮使用托管安全服務,特別是在非工作時間進行監控、分析和事件響應。小型企業可能希望將大部分安全服務全部外包,以減少對專門網絡安全人員的需求,轉而培訓IT人員處理一些偶發的網絡安全任務。
•對于壓力特別大或要求特別高的職位,要考慮輪換工作的可能性。例如在12或18個月后將網絡安全人員輪換到其他崗位。這可以防止他們出現職業倦怠,也可以讓他們獲得額外的技能,對企業更有價值。
•當企業的員工休假、請病假或以其他方式請假時,讓他們放松休息。每個人都需要在工作之余休息,而期望員工在休假時繼續工作,尤其是隨時待命或提供運營支持,這對他們不公平,而且會引起他們的抱怨。對于員工來說,讓他們休假可能是一個重大的企業文化改變,但對于留住現有員工和吸引新員工的企業來說,這種做法可能是非常值得的。
關于企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。