作为具有多年经验的安全管理人员,我们发现:自上一个安全从业人员研究在2008年完成以来,(ISC)2的第五次全球信息安全从业人员研究结果,很好的记录着信息安全的方向,这个研究是今年初发布的。总体来讲,研究结果反映了以下几点:
◆在发达地区对规则遵从的关注在增加。
◆在亚太地区,信息安全在持续增长。
◆在北美和欧洲,信息安全逐渐成熟。
◆受到全球经济不景气的冲击,尤其是在欧洲。
◆技术和安全的焦点从“更高层协议栈”转向应用层,并远离基础架构;这一趋势反映了威胁在过去几年内的演化。
◆在企业中,消费电子技术的影响力不断增加。
我们赞成这个研究的主要结论,即由于这些趋势的出现,企业和信息安全专家正面临前所未见的压力。
安全资源和技术差距
这个研究显示,出于为公司和消费者的信息提供保护的要求,监管要求继续在拓宽其广度和深度。技术呈指数倍的增长,加上公司期望抓住这次增长形成自己独特的竞争力,这也增加了对信息安全专家的要求。
我们相信:为了跟上这些趋势,在这个研究中描述的安全技术和从业人员差距将随着全球经济的稳步复苏变得更加显著,同时亚太地区正经历着对安全资源的最大需求。由于全球企业间的相互联系,各个地区都应该关注这个趋势。正如所有类别的开支都显著增长所反映的那样,亚洲经济的超凡实力将继续刺激对安全和规则遵从资源的需求。因为只有很少的传统信息技术系统需要被取代,亚洲国家可以快速利用更新的技术,就像他们人口的流动性那样。
作为这一差距的另一个指标,亚太地区的受访者认为与其他地区的同行相比,社交媒体在某种程度上显得更加重要。采用更高层次的新技术,比如这个地区的社交媒体,已经被许多研究和调查所注意。其中一个例子是,澳大利亚和中国的消费者对一些社交媒体的使用率处于世界领先。由于只有一个相对较小的安全资源池,以及在强大的信息安全教育课程方面的整体不足,亚太地区的安全资源差距被进一步拉大了。
这个研究中显示,安全领域资源差距的另一驱动力是公共和私人部门之间对其需求的不断起伏。可以看出,在过去的几年里,公共部门对安全专家的需求呈现爆炸性增长,尤其是在最发达的国家。然而这种趋势可能会趋于稳定,在面对这些需求的时候,真正合格的候选人已经减少了很多。
另一方面,受访者将应用程序漏洞列为他们所关心的最大威胁。在IT领域,很少有事情可以变得比软件应用的研发和集成更加复杂。随着开发者致力于提高应用程序的灵活性和用户友好性,这些系统的后台复杂性也正在增加。当前很多的应用程序都是具有网络功能的,这就拓宽了必须对其进行更多保护的地方。
填补差距的方法
尽管这个研究表明这方面的职位将从当前的228万个增长到2015年的424万个,然而问题依然存在:“这些新的专家从哪里来,我们如何保证他们是这个领域有知识有道德的新成员?”
由于经常发生的众所周知的破坏和数据丢失,安全话题已经得到了很大的关注。这些曝光吸引了对这个行业的注意,进而这也成为新成员进入这个资源池的催化剂。通常,这些新成员来自传统的IT教育和培训项目,也是来自IT行业本身。
直到近几年,在传统的大学和技术学校里很少有特定的安全课程可供选择。不过这种情况已经得到改善,现在有许多的特定安全项目提供给给技术和管理安全教育。为专业人员提供适合他们繁忙工作日程的相关培训也是必需的。由于对继续教育需求的增加,企业需要这样的培训,即它可以帮助企业最大限度的发挥旅费和培训预算的作用。通过基于网络的技术和基于计算机的课程,培训和认证机构可以提高它们的能力从而满足这些需求。
此外,由于在过去10年,信息安全领域的技术改变步伐迅速加快,培训的内容也必须以相同的步伐更新,从而跟上威胁和技术演化的脚步。举例来讲,这个研究中指出的最大威胁,比如不安全的应用程序和云计算,在短短的几年前甚至没有引起大多数信息安全专家的关注。
许多公司都要求对其内部安全雇员和外包顾问进行认证。但这决不是一个能力的保证,行业认证只是对个人到达了信息安全领域最低知识要求提供保证。进一步讲,一个最低水平的行业经验也是专业认证的要求,比如那些来自(ISC)2和ISACA的认证。企业在招聘安全雇员的时候利用这些认证来验证其具备基本要求。
由于这项业务的性质,道德行为成为信息安全专业的一个特征。从业人员必须服从于一个强有力的行为准则,并以相似的方式来引导他们自身的行为。培训和认证机构必须确保道德行为意识和规范包含在他们的方案中。
