网络安全技能的差距如今仍然是一个现实问题,但最终可能会解决。根据(ISC)²公司发布的2020年网络安全劳动力的研究报告,网络安全技能差距正在缩小。
这项研究将技能差距定义为“组织需要保护其关键资产的熟练专业人员数量与实际从事这项工作的求职者数量之间的差距。这并不是对求职者可经获得的空缺职位的估计。”
好消息是,拥有合适技能的员工数量有所上升。去年增加了70多万名网络防御专家,而提供的职位总数达到350万人。然而在这350万个职位中,仍有大约一半需要填补。
坏消息是由于冠状病毒疫情带来的不确定性,职位的数量减少了,但是人们需要知道如何寻求和招聘熟练的专业人员。
网络安全技能差距的现状
发生的这场疫情表明了组织拥有网络安全团队的重要性,这些团队可以解决广泛的问题,例如让员工建立虚拟专用网络,并开展培训进修课程。报告指出,关键是要有组织内部人员或值班人员来处理更精细、更具体的问题(而在本例中是云安全性)。
很多组织在去年就面临这样的挑战,需要将他们的员工从现场工作转移到远程工作。在(ISC)²的2020年网络安全劳动力的研究活动中,将近三分之一的受访者表示,他们只有很短的时间进行过渡,并确保为员工提供相同质量的安全保护。当然,IT专家也在家远程工作,不得不自己进行调整。因此,在员工远程工作期间,18%的组织的网络安全事件增加。
(ISC)²公司首席执行官ClarRosso在一份正式声明中说:“总体而言,网络安全人员在这些新数据中看到了一些非常积极的趋势。社区对冠状病毒疫情的响应及其在几乎一夜之间将组织的IT系统安全地迁移到远程工作的能力,在很多方面都是前所未有的成功和最佳案例。网络安全专业人士积极应对挑战,并巩固了他们对组织的价值。”
网络安全技能招聘的价值
出现这种问题的部分原因是组织的招聘人员在招聘时并不知道需要寻找什么样的求职者。他们倾向于将网络安全技能视为千篇一律的需求。他们认为,招聘的员工应该能够处理所有问题。而组织的领导者还经常将所有安全问题视为大致相同的问题。另一方面,熟练的专业人员知道数据泄露是通过许多不同的攻击媒介发生的,并且有时看起来并不是数据泄露。
当然,负责日常事务的人员总是扮演着同一个角色,而且总是需要新的团队成员来处理更艰巨的需求。但是,当负责撰写工作说明并完成招聘流程的人员(通常是人力资源部人员)并不了解其技术领域的各方面知识时,就难以招募合格的人员。实际上,根据ISACA公司发布的《2020年网络安全状况报告》,72%的网络安全专业人士认为人力资源工作人员并不了解组织的基本网络安全技能需求。这会逐渐影响组织整体的最佳实践和防御措施。
这种数字保护的传统方法已经过时。现在是时候让招聘人员意识到,他们必须招募了解当今和未来威胁、工具以及网络安全技能在工作中所起作用的员工。
为什么组织需要具备云计算网络安全技能的人员
根据BurningGlass公司的调查,云安全是增长最快的网络安全工作技能之一。在未来五年中,对这一特定技能的需求预计将增长115%。对于拥有云计算技能的人来说有很多工作机会,如今空缺将近2万个职位。虽然与其他新兴的安全工作职位相比,这种技能的职位空缺较少,但拥有云计算专业知识和技能的人员的薪酬高。
与其他类似职位相比,云计算保护需要不同的技能,例如了解云计算架构背后的技术、系统配置、身份管理、虚拟化以及有关使用云计算安全工具的基本知识。
例如,许多云安全工具大的挑战之一是正确配置和管理它们所需的时间和技能,更不用说调整这些配置以消除误报,或确保它们不会错过关键事件或丢弃合法流量。
超越IT
尽管DevOps一直对IT和业务非常重要,但组织的IT安全团队并不总是具备处理DevOps流程中发生的错误配置和数据泄漏的技能。
云计算网络安全技能需要超越对技术的了解。该领域的专家还必须精通规则和法规。他们必须了解最常见的框架,例如美国国家标准技术研究院和支付卡行业数据安全标准的框架,以及组织的特定行业标准。他们的工作还包括遵守数据隐私法,保护云平台中的数据,保持合规性,并围绕数据和数据访问建立保障措施。
如何寻找云计算安全专家
需要将具有云计算网络安全技能的人员添加到组织的团队中。云计算安全技能具有很高的溢价,这不仅是因为其在以云计算为中心的行业中的价值,还因为在已经存在网络安全技能严重短缺的就业市场上,拥有这些技能的人员很难找到。
是怎么做到的?
首先,组织可以在内部寻求具有这些技能的人员。正如从组织内部招聘其最新的安全团队成员一样,也可以从当前的IT或安全团队内部找到并培养云计算安全专家。
如果组织内部人员不能胜任这个职位,需要从外部寻求人才。例如参加会议以更好地了解云计算安全专家所需的技能,并与可以推荐熟练工作人员的人员进行交流。雇用大学实习生,为他们提供所需的培训。招募退役军人和执法人员(那些了解风险评估并且可能具有IT背景的人)是寻找潜在员工的一种很好的方法。组织可能现在无法找到具有所需技能的人员。但是,尽管网络安全技能存在差距,但拥有云安全专家仍然很重要,组织愿意为开展培训付出努力,并将发挥他们的价值。
从内部外包或雇佣外部员工
另一个选择是求助于托管安全服务提供商(MSSP)。这样可以为组织的云计算服务提供全天候的覆盖率,并减轻了人们对云计算安全的负担。但是,它也会给组织带来更少的控制权。对于大量使用云计算的小型企业来说,另一种选择可能尤其有效,它是与其他组织联合起来并共享资源。
最后,招聘人员在搜索求职者时,需要忽略其在简历上提到的担任的职位。与其相反,需要了解其实际的工作职责和技能。因为职位并不总是很好地表明求职者的实际工作能力。有些人虽然有“安全运营经理”的头衔,但并不是真的在从事云安全工作。人力资源部或组织高管不要只是因为这些头衔或职位描述就决定招聘哪些求职者。
在(ISC)²公司的这份研究活动中,40%的受访者表示,云安全是组织和网络安全团队中最需要的技能,这是因为云计算在当今的业务中已经扮演了重要角色。
拥有适合组织的网络安全技能的人员就在那里,组织只需要灵活和更具创造力就可以找到他们。