现在企业越来越需要同时具备计算机科学和网络背景的专业人员,因而填补网络安全岗位并不容易,而技术扮演的角色将愈发重要起来。
对于任何行业来说,100万名工人的缺口都是一个问题。然而在网络攻击事件每年攀升的背景下,探讨网络安全专业人员的缺口,一百万则是一个令人警醒的数字,网络安全行业必须要认真面对起来。
网络安全技能鸿沟随着时间的推移不断拉大,而我则是这一鸿沟的见证者。十年前,我已在IT领域工作,不过并未专事安全,但当时网络安全技能鸿沟并不存在。
当然,一些组织,特别是在有关于“管理与人有关的数据”的那些行业,如金融、医疗、军队和保险业,几年来一直都有内部的安全团队。然而对于大部分企业来说,这并未形成其IT的必选项目。那时候网络攻击也不常见,因而对专业的、内部的安全团队的需求还不明朗。
那时候,安全是临时性的、活动式的。你可以按需设置安全委员会,但并不需要专设部门。如果数据泄漏事件发生,IT团队意识到网络遭到攻击时,安全团队仅仅是增加其网络周边安全并采取额外的措施以防事故再度发生。
安全由专家牵头
如今一切变得不同。现在安全是主动式的,由内部专家负责。如此,对于专有安全专家的要求变得更高,以至于组织机构,包括政府在内,很难找到他们需要的人才。在今年夏天OPM数据泄漏事故发生后,美首席信息官Tony Scott说道,如今世界上最难招聘的就是安全专业人才。
那么,为什么网络安全技能鸿沟会出现呢?甚至政府也很难寻到技术人才呢?这是多种因素造成的。
首先,网络安全是一个十分特定的领域。如果你想要在网络安全领域里工作,你要同时有计算机和网络的背景。你需要熟知网络安全的发展脉络,从老的、静态的类似恶意软件这样的威胁到新型的APT这样的威胁,你都要了解。而能做到兼具见识广度和技能深度的专家少之又少。
其次,企业建立自己的安全团队,不过通常都是从普通IT部门挑人才。很可能这些系统管理员此前从未从事过安全方面的事,而如今却要负责保护企业网络的核心元素。而对安全不感兴趣的人和没有安全专业技能的人无甚差别。
这种“角色与技能”不匹配在如今IT安全高管(如CIO、CISO)中十分常见。就其角色而言,他们要负责建设并管理一个值得信赖的安全专家和资源团队,而过去,他们只是关注信息技术系统的构建和管理而已。
弹性也是要因之一
这关系到最后一个因素,那就是IT安全专家需要“厚脸皮”一些。对于安全团队,特别是C级安全官来说,如果公司遭遇攻击相应这些官员就会遭到谴责,也不管因果如何。大概一定程度上这也导致了CIO的平均任期只有四年。如今的现实是绝大多数的公司都在经历着这样那样的攻击。安全团队得经得起推敲,能够快速响应,从中吸取教训,以防其再度发生。
100万IT安全专业人员的缺口不会在一夜之间被填补,对于很多企业来说,更是需要数年。同时,人手不足和IT安全部门资源不足都需要靠安全技术来弥补,从集中管理远程接入VPN到威胁检测系统防火墙等等,用这些技术来帮助其获得更好的安全保护。
如此这般,强健和自动化将使公司能够从当今最为巨大的威胁中保全自身,也不管企业中到底缺了多少安全人才了。
