管理不善导致网络安全技能差距持续拉大
最近,国外ESG 和 ISSA 出品的《网络安全专业人士的生活和时代》显示,令人沮丧的是与之前的四份年度研究报告没有实质性区别。其实,我们可以理解,前四份年度研究报告既然与今年实质性没有区别,也是提及很多问题,然而年复一年问题依然没有解决。
ISSA 的国际总裁Candy Alexander谈到,五年来,他们一直在用同样的结果做同样的研究。做同样的事情并期待不同的结果,但这个行业继续做同样的事情,当然没有任何改变。今年,ISSA 对来自世界各地的 489 名网络安全专业人士进行调查。发现技能差距继续恶化;网络安全专业人员继续认为他们的薪酬不足;没有得到足够的培训;资源不足;觉得未得到支持。
技能差距技能差距部分是行业造成的自我伤害。行业要求新员工同时具备学历和实践经验,然而这两种品质在很大程度上是相互排斥的。当无法找到满足这一需求的新员工时,行业则简单地将结果称为技能差距。Alexander认为良好的教育是缩小技能差距的因素之一。令人担忧的是教育可能无法跟上新技术的开发和使用速度。开发新课程需要时间,开发课程需要开发课件,需要审查课件,需要试用课件,然后才能发布课件。因此,需要大约 12 到 18 个月的生命周期。回到现实世界中,今天的技术与 12 个月前可能有所不同。因此,需要与学术界真正聪明的人一起找出如何加快教学过程中的学习曲线,以更贴近技术。这也是造成技能差距的因素之一。往往,一个人走出学校时,已经至少落后了 2 年。当然,在国内很多教辅课程滞后更夸张,教辅编纂者东抄抄西凑凑,发行出来已经滞后技术流行三四年,那么学生学习结束后滞后甚至可能是七八年了。缩小差距是需要关注多方面的东西,但更多地关注个性、智力和才能;不是背景,不是文化,也不是性别。招聘仍然是一个问题,也是技能差距问题的一部分,也是一个社会问题。主要问题是社会已经转向即时满足的期望。行业期待书本上的年轻人直接进入行业,成为熟练的从业者;而毕业生则希望离开学校并从事价值不菲的工作。两者都不现实,但是二者需要求一个最大公约数,一个折中平衡点。
工作问题技能差距没有改善,潜在的就业问题自然没有改变:网络安全专业人员继续感到被低估,入门仍然是一个问题。薪资待遇本来就是一个问题,网络安全行业通常被认为报酬丰厚,但这仅适用于中高层职位。38% 的受访者认为行业没有提供足够有竞争力的薪酬方案来吸引新员工,当然这反过来又加剧技能差距。薪酬对于留住员工很重要。33% 的受访者认为获得更高的薪酬方案是 CISO 更换公司的主要原因。这是行业内一个更广泛的问题的一部分,适用于所有有经验和合格的员工。一些行业和一些公司有能力支付比其他行业更多的费用。对于这些公司来说,挖走有经验的员工总是比寻找和培训新员工容易。这种行业内部流失对技能差距产生连锁效应,让规模较小的公司承担着将新员工引入行业的负担,而不一定能够提供足够有吸引力的薪酬待遇留住优秀人才。猎头公司到处挖人是常事。23% 的受访者每周被征集数次;13% 大约每周一次,另外 22% 每月几次。超过一半的现有网络安全员工每个月数次被建议跳槽到不同的公司。如果这些精力和资金更多地用于为该行业培育新人,可能会影响整体技能短缺。关于解决技能短缺的行动的前四项建议是对网络安全培训的更大承诺(39%);改进的薪酬方案(37%);提高福利,例如支付认证费用和参加行业活动 (35%);以及创建和改进网络安全实习计划(33%)。亚历山大认为,也许整个事情都可以追溯到工匠,学徒在那里学会了一门手艺。网络安全是一种职业还是真的是一种交易?在她看来,现实是它变得更像是一种交易。在贸易中,你会找到更多的学徒。除非您做了 N年的学徒,否则无法成为有价值的工匠。也许这也是我们应该关注的事情之一。“我要读大学,我要年薪 XXX美元”,这难道不是一种耻辱吗?这是我们今天毕业生的期望。与学习终身技能和交易的基础相比,更强调即时满足的部分。”51% 的受访者表示,拥有 CISSP 认证对于获得网络安全工作很有价值。研究报告称:“网络安全专业人员在积累了必要的多年经验后寻求获得 CISSP 认证,因为该认证是大多数(招聘)可用工作的要求。” ,除非已经拥有安全职位,否则无法获得 CISSP 。因此,再次促进了行业流失,同时对缩小技能差距产生负面影响。
解决方案亚历山大认为,网络安全技能差距继续存在并继续扩大,因为行业继续对我们已知的知识管理不善。基本问题是企业仍然将安全视为成本中心。然而,亚历山大认为这如同支付电费一样,是企业应该做的。与电费一样,动机是减少消耗的电量以减少电费,而不是增加预算以购买更好的电气设备。问题在于安全团队和业务负责人。前者没有解释他们的服务如何支持、保护和提高业务利润,而后者认为安全只不过是满足法律合规性的必要和不待见的要求。必须确保你符合合规性,你正在保护你的数据,并且尽可能便宜地将坏人拒之门外,商业声明到此结束。但是,如果我们作为专业人士能够将对话从使用企业无法理解的技术捍卫行业转变为积极支持业务目标,那么安全就不再是成本中心,而更多是利润支持中心。只有心态发生根本性转变,企业才能开始更好地支持网络安全行业(或贸易),并开始为缩小技能差距的变革提供资金。
后记:在某单位做测评时,单位信息化负责人给我们交流时,解释到在他们单位领导是能够充分认识到信息化带来的便利以及利益的,他们单位在信息化过程中无论是信息化部门还是单位,都非常重视。当我们给他们做等级保护测评时,他说他们乐意把问题呈现出来及时解决问题,另外对于合规性也充满自信。当,我们工作结束,我和他聊聊好长时间,发现这么一个信息化负责人态度是真诚的,而工作不仅仅为了合规而合规,而是追求信息系统的真正安全。网络安全等级保护:是网络安全工作的基本方法信息技术服务:监理之运行维护监理规范思维导图APT 黑客组织“螳螂”利用 ASP.NET 漏洞攻击IIS 服务器网络安全等级保护:政务计算机终端核心配置规范思维导图网络安全等级保护:网络安全等级保护工作的内涵