當人們提到存在一個(gè)安全技能缺口時(shí)，他們真正地意思是什么呢？過(guò)去的幾年中，企業(yè)在招募和留住優(yōu)秀網(wǎng)絡(luò )安全人才方面存在哪些問(wèn)題，才使安全技能的缺口越來(lái)越大呢？界小編將向您詳細介紹。

過(guò)去的幾年中，呈現出大量的報道，它們哀嘆特有的企業(yè)招募和保留優(yōu)秀網(wǎng)絡(luò )安全人才的能力。今年年初，國際信息系統審計協(xié)會(huì )（ISACA）關(guān)于網(wǎng)絡(luò )安全關(guān)系的一次調查發(fā)現超過(guò)四分之一的組織需要六個(gè)月或更長(cháng)的時(shí)間來(lái)填補優(yōu)先考慮的網(wǎng)絡(luò )安全職位。

該項調查的受訪(fǎng)者說(shuō)：“40%的組織報告說(shuō)針對網(wǎng)絡(luò )安全職位，他們收到的申請數是少于5個(gè)的”。并且如果事情繼續朝著(zhù)它們已經(jīng)發(fā)展的方向發(fā)展下去的話(huà)，問(wèn)題只會(huì )變得更糟。根據2017年中國互聯(lián)網(wǎng)安全大會(huì )（ISC），弗若斯特沙利文咨詢(xún)公司進(jìn)行的全球信息安全勞動(dòng)力研究指出到2022年，全球網(wǎng)絡(luò )安全勞動(dòng)力的短缺將達到180萬(wàn)人。

以此同時(shí)，此煩惱未必是一個(gè)單一的問(wèn)題。很多的問(wèn)題歸結于一個(gè)事實(shí)，在任何特定的時(shí)刻，并沒(méi)有足夠能把各種專(zhuān)業(yè)技能正確地結合到一起的候選人來(lái)對抗安全問(wèn)題。它是一個(gè)每天都在變化的目標。

網(wǎng)絡(luò )安全招聘公司LJ Kushner & Associates的董事長(cháng)李.庫什納說(shuō)：“有能力解決問(wèn)題的質(zhì)量信息安全專(zhuān)業(yè)人員，毫無(wú)疑問(wèn)是短缺的”�！斑@不是一個(gè)通用技能或普通技能的短缺。它是能夠幫助公司解決其問(wèn)題的一個(gè)技能的短缺。隨著(zhù)行業(yè)開(kāi)始關(guān)注這個(gè)問(wèn)題，最好開(kāi)始對最需要的技能類(lèi)型進(jìn)行更詳細的說(shuō)明，而不是只關(guān)注其整體的安全缺陷問(wèn)題。

炭黑公司（Carbon Black）公司的首席技術(shù)官兼聯(lián)合創(chuàng )辦人邁克.維庫索說(shuō)：“該問(wèn)題是比著(zhù)眼于所有空缺的職位更細化”。根據最新的研究發(fā)現，下面的專(zhuān)業(yè)和技能是招聘經(jīng)理們最難插入其團隊的專(zhuān)業(yè)和技能。

一、事件調查和安全分析

當組織淹沒(méi)在警報中并試圖針對調查想出一個(gè)能把事件按優(yōu)先順序排序的方法時(shí)，自動(dòng)化將在停止瘋狂行為方面起到重要的作用。然而，它絕不會(huì )取代聰明人引領(lǐng)自動(dòng)化的重要性，并且跟隨人類(lèi)的直覺(jué)和遠見(jiàn)將調查向前推進(jìn)并緩解根源問(wèn)題。根據企業(yè)戰略集團（ESG）代表國際社會(huì )保障協(xié)會(huì )（ISSA）所進(jìn)行的最新的一項研究顯示，企業(yè)最難以填補的角色是那些參與事件調查和分析的人。該數據已被美國計算機行業(yè)協(xié)會(huì )（CompTIA）所確認，它也發(fā)現嫻熟的安全分析師是當今市場(chǎng)中最難找到的安全專(zhuān)家。

二、云安全的智慧

93%的組織以某種形式使用云服務(wù)

49%的受訪(fǎng)者因為缺乏網(wǎng)絡(luò )安全技能而使他們放緩采用云計算

62%的組織報告在公共云存儲個(gè)人客戶(hù)信息

隨著(zhù)組織的發(fā)展活動(dòng)越來(lái)越多，數據乃至應用程序工作負載都移動(dòng)到了云，他們需要知道如何保護復雜的混合環(huán)境的安全從業(yè)人員。根據英特爾公司的一項調查發(fā)現，目前93%的組織都以一種或另一種形式使用云服務(wù)，并且62%的組織在云中存儲敏感信息。還有僅僅不到一半的組織說(shuō)，由于缺乏網(wǎng)絡(luò )安全技能，他們對云的有效利用受到了阻礙。

三、行業(yè)知識

招聘資格：當招聘的時(shí)候，你的組織認為最重要的資格是什么呢？

2017年安全人員調查顯示，負責招聘安全人才的大多數人認為，市場(chǎng)上至少存在某種類(lèi)型的技能短缺情況。一些人認為最大的短缺不一定是特定的角色或技術(shù)能力，而是他們對正在試圖保護的業(yè)務(wù)的熟悉程度。據調查顯示，將近三倍的招聘經(jīng)理都在尋找與他們具有相似保衛組織經(jīng)驗的人，而不是尋找在網(wǎng)絡(luò )安全方面受過(guò)正規教育的人。

四、操作培訓

這種不強調正規教育似乎是網(wǎng)絡(luò )安全勞動(dòng)力調查中的一個(gè)常見(jiàn)的現象。ISACA最近進(jìn)行的一項調查再次證實(shí)了這一點(diǎn)，一些調查對象表示，他們最關(guān)心的是找到不僅非常了解安全問(wèn)題，而且能把知識放在現實(shí)生活中來(lái)檢驗的人。實(shí)際掌握的技能很容易打敗正規教育，特殊培訓和認證。

五、人際交往能力

需要的技能

當DevSecOps推動(dòng)組織去發(fā)展更多的合作的時(shí)候，所有級別的安全人員都必須逐漸學(xué)會(huì )與信息技術(shù)行業(yè)內外的其他人友好相處。2017年的安全人員調查發(fā)現超過(guò)一半的IT專(zhuān)業(yè)人士認為在填補安全角色中，最需要的技能是具備軟技能的技術(shù)人員，比如通信技能。

六、商業(yè)頭腦

頂尖數字業(yè)務(wù)轉換技能差距問(wèn)題

按理說(shuō)，安全專(zhuān)家應該作為內部顧問(wèn)，來(lái)幫助組織盡可能的降低風(fēng)險，同時(shí)還能進(jìn)行那種數字轉換，使他們能夠在應用程序經(jīng)濟中保持競爭力。美國計算機行業(yè)協(xié)會(huì )最近的一份報告指出，影響數字轉換的最大的IT技能差距類(lèi)別是必須把技術(shù)與業(yè)務(wù)目標調整成一致。如果安全專(zhuān)業(yè)人士將扮演一個(gè)咨詢(xún)的角色，他們需要了解一般業(yè)務(wù)原則和企業(yè)特有的業(yè)務(wù)關(guān)注點(diǎn)。