信息化觀察網(wǎng)

網(wǎng)絡(luò)安全技能的差距如今仍然是一個現(xiàn)實問題，但最終可能會解決。根據(jù)(ISC)²公司發(fā)布的2020年網(wǎng)絡(luò)安全勞動力的研究報告，網(wǎng)絡(luò)安全技能差距正在縮小。

這項研究將技能差距定義為“組織需要保護其關(guān)鍵資產(chǎn)的熟練專業(yè)人員數(shù)量與實際從事這項工作的求職者數(shù)量之間的差距。這并不是對求職者可經(jīng)獲得的空缺職位的估計。”

好消息是，擁有合適技能的員工數(shù)量有所上升。去年增加了70多萬名網(wǎng)絡(luò)防御專家，而提供的職位總數(shù)達到350萬人。然而在這350萬個職位中，仍有大約一半需要填補。

壞消息是由于冠狀病毒疫情帶來的不確定性，職位的數(shù)量減少了，但是人們需要知道如何尋求和招聘熟練的專業(yè)人員。

網(wǎng)絡(luò)安全技能差距的現(xiàn)狀

發(fā)生的這場疫情表明了組織擁有網(wǎng)絡(luò)安全團隊的重要性，這些團隊可以解決廣泛的問題，例如讓員工建立虛擬專用網(wǎng)絡(luò)，并開展培訓(xùn)進修課程。報告指出，關(guān)鍵是要有組織內(nèi)部人員或值班人員來處理更精細、更具體的問題(而在本例中是云安全性)。

很多組織在去年就面臨這樣的挑戰(zhàn)，需要將他們的員工從現(xiàn)場工作轉(zhuǎn)移到遠程工作。在(ISC)²的2020年網(wǎng)絡(luò)安全勞動力的研究活動中，將近三分之一的受訪者表示，他們只有很短的時間進行過渡，并確保為員工提供相同質(zhì)量的安全保護。當(dāng)然，IT專家也在家遠程工作，不得不自己進行調(diào)整。因此，在員工遠程工作期間，18%的組織的網(wǎng)絡(luò)安全事件增加。

(ISC)²公司首席執(zhí)行官Clar Rosso在一份正式聲明中說：“總體而言，網(wǎng)絡(luò)安全人員在這些新數(shù)據(jù)中看到了一些非常積極的趨勢。社區(qū)對冠狀病毒疫情的響應(yīng)及其在幾乎一夜之間將組織的IT系統(tǒng)安全地遷移到遠程工作的能力，在很多方面都是前所未有的成功和最佳案例。網(wǎng)絡(luò)安全專業(yè)人士積極應(yīng)對挑戰(zhàn)，并鞏固了他們對組織的價值。”

網(wǎng)絡(luò)安全技能招聘的價值

出現(xiàn)這種問題的部分原因是組織的招聘人員在招聘時并不知道需要尋找什么樣的求職者。他們傾向于將網(wǎng)絡(luò)安全技能視為千篇一律的需求。他們認為，招聘的員工應(yīng)該能夠處理所有問題。而組織的領(lǐng)導(dǎo)者還經(jīng)常將所有安全問題視為大致相同的問題。另一方面，熟練的專業(yè)人員知道數(shù)據(jù)泄露是通過許多不同的攻擊媒介發(fā)生的，并且有時看起來并不是數(shù)據(jù)泄露。

當(dāng)然，負責(zé)日常事務(wù)的人員總是扮演著同一個角色，而且總是需要新的團隊成員來處理更艱巨的需求。但是，當(dāng)負責(zé)撰寫工作說明并完成招聘流程的人員(通常是人力資源部人員)并不了解其技術(shù)領(lǐng)域的各方面知識時，就難以招募合格的人員。實際上，根據(jù)ISACA公司發(fā)布的《2020年網(wǎng)絡(luò)安全狀況報告》，72%的網(wǎng)絡(luò)安全專業(yè)人士認為人力資源工作人員并不了解組織的基本網(wǎng)絡(luò)安全技能需求。這會逐漸影響組織整體的最佳實踐和防御措施。

這種數(shù)字保護的傳統(tǒng)方法已經(jīng)過時?，F(xiàn)在是時候讓招聘人員意識到，他們必須招募了解當(dāng)今和未來威脅、工具以及網(wǎng)絡(luò)安全技能在工作中所起作用的員工。

為什么組織需要具備云計算網(wǎng)絡(luò)安全技能的人員

根據(jù)Burning Glass公司的調(diào)查，云安全是增長最快的網(wǎng)絡(luò)安全工作技能之一。在未來五年中，對這一特定技能的需求預(yù)計將增長115%。對于擁有云計算技能的人來說有很多工作機會，如今空缺將近2萬個職位。雖然與其他新興的安全工作職位相比，這種技能的職位空缺較少，但擁有云計算專業(yè)知識和技能的人員的薪酬最高。

與其他類似職位相比，云計算保護需要不同的技能，例如了解云計算架構(gòu)背后的技術(shù)、系統(tǒng)配置、身份管理、虛擬化以及有關(guān)使用云計算安全工具的基本知識。

例如，許多云安全工具最大的挑戰(zhàn)之一是正確配置和管理它們所需的時間和技能，更不用說調(diào)整這些配置以消除誤報，或確保它們不會錯過關(guān)鍵事件或丟棄合法流量。

超越IT

盡管DevOps一直對IT和業(yè)務(wù)非常重要，但組織的IT安全團隊并不總是具備處理DevOps流程中發(fā)生的錯誤配置和數(shù)據(jù)泄漏的技能。

云計算網(wǎng)絡(luò)安全技能需要超越對技術(shù)的了解。該領(lǐng)域的專家還必須精通規(guī)則和法規(guī)。他們必須了解最常見的框架，例如美國國家標(biāo)準技術(shù)研究院和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準的框架，以及組織的特定行業(yè)標(biāo)準。他們的工作還包括遵守數(shù)據(jù)隱私法，保護云平臺中的數(shù)據(jù)，保持合規(guī)性，并圍繞數(shù)據(jù)和數(shù)據(jù)訪問建立保障措施。

如何尋找云計算安全專家

需要將具有云計算網(wǎng)絡(luò)安全技能的人員添加到組織的團隊中。云計算安全技能具有很高的溢價，這不僅是因為其在以云計算為中心的行業(yè)中的價值，還因為在已經(jīng)存在網(wǎng)絡(luò)安全技能嚴重短缺的就業(yè)市場上，擁有這些技能的人員很難找到。

是怎么做到的?

首先，組織可以在內(nèi)部尋求具有這些技能的人員。正如從組織內(nèi)部招聘其最新的安全團隊成員一樣，也可以從當(dāng)前的IT或安全團隊內(nèi)部找到并培養(yǎng)云計算安全專家。

如果組織內(nèi)部人員不能勝任這個職位，需要從外部尋求人才。例如參加會議以更好地了解云計算安全專家所需的技能，并與可以推薦熟練工作人員的人員進行交流。雇用大學(xué)實習(xí)生，為他們提供所需的培訓(xùn)。招募退役軍人和執(zhí)法人員(那些了解風(fēng)險評估并且可能具有IT背景的人)是尋找潛在員工的一種很好的方法。組織可能現(xiàn)在無法找到具有所需技能的人員。但是，盡管網(wǎng)絡(luò)安全技能存在差距，但擁有云安全專家仍然很重要，組織愿意為開展培訓(xùn)付出努力，并將發(fā)揮他們的價值。

從內(nèi)部外包或雇傭外部員工

另一個選擇是求助于托管安全服務(wù)提供商(MSSP)。這樣可以為組織的云計算服務(wù)提供全天候的覆蓋率，并減輕了人們對云計算安全的負擔(dān)。但是，它也會給組織帶來更少的控制權(quán)。對于大量使用云計算的小型企業(yè)來說，另一種選擇可能尤其有效，它是與其他組織聯(lián)合起來并共享資源。

最后，招聘人員在搜索求職者時，需要忽略其在簡歷上提到的擔(dān)任的職位。與其相反，需要了解其實際的工作職責(zé)和技能。因為職位并不總是很好地表明求職者的實際工作能力。有些人雖然有“安全運營經(jīng)理”的頭銜，但并不是真的在從事云安全工作。人力資源部或組織高管不要只是因為這些頭銜或職位描述就決定招聘哪些求職者。

在(ISC)²公司的這份研究活動中，40%的受訪者表示，云安全是組織和網(wǎng)絡(luò)安全團隊中最需要的技能，這是因為云計算在當(dāng)今的業(yè)務(wù)中已經(jīng)扮演了重要角色。

擁有適合組織的網(wǎng)絡(luò)安全技能的人員就在那里，組織只需要靈活和更具創(chuàng)造力就可以找到他們。