盡管網(wǎng)絡(luò)安全行業(yè)的工具和技術(shù)不斷發(fā)展，但企業(yè)仍然依賴于受過良好訓(xùn)練的聰明人，他們擁有敏銳的批判性思維技能，以保護(hù)自己免受危險的網(wǎng)絡(luò)威脅。但是，正如威脅范圍不斷擴大一樣，相應(yīng)的技能差距也在擴大，這將使企業(yè)面臨重大財務(wù)損失的風(fēng)險，并對其品牌聲譽造成不可逆轉(zhuǎn)的損害。

正如ISACA最近發(fā)布的《2019年網(wǎng)絡(luò)安全狀況研究報告》(State of cybersecurity 2019 research)所反映的那樣，尋找并留住足夠數(shù)量的合格網(wǎng)絡(luò)安全專業(yè)人士變得越來越具有挑戰(zhàn)性。保留部分可能特別有問題，特別是對于面臨大量資源限制的組織。更好的經(jīng)濟激勵，如更高的薪水和更豐厚的獎金，壓倒性地成為網(wǎng)絡(luò)安全專業(yè)人員跳槽的首要原因，而職業(yè)發(fā)展機會和更好的工作文化/環(huán)境等其他因素也是主要原因之一。

2019年網(wǎng)絡(luò)安全狀況報告》揭示了當(dāng)前網(wǎng)絡(luò)安全勞動力前景的幾個問題數(shù)據(jù)，包括:

·69%的受訪者表示，他們的網(wǎng)絡(luò)安全團(tuán)隊人手不足

·58%的公司表示，他們的網(wǎng)絡(luò)安全職位空缺

·32%的人表示，他們的公司需要6個月或更長時間才能填補網(wǎng)絡(luò)安全職位空缺

最后一項統(tǒng)計數(shù)據(jù)尤其令人不安。想想網(wǎng)絡(luò)攻擊可以在6個小時內(nèi)對一個組織造成的巨大破壞，更不用說3個組織中就有1個需要6個多月的時間來填補一個開放的網(wǎng)絡(luò)安全職位。需要這么多組織這樣一段時間來確保他們正在尋找的候選人是指示性的需要培養(yǎng)更多的人成為網(wǎng)絡(luò)安全行業(yè)感興趣,思考現(xiàn)實,需要組織面對需要reskill和培訓(xùn)的候選人可能不會檢查每一個期望的職位描述。與其等上6個月或更長時間，寄希望于理想人選的到來，各大機構(gòu)還不如聘用一些技術(shù)嫻熟、涉獵廣泛的候選人，把他們納入自己的網(wǎng)絡(luò)安全團(tuán)隊，因為它們意識到，需要對培訓(xùn)和專業(yè)發(fā)展做出承諾。

超越傳統(tǒng)候選人

沿著這些思路，組織應(yīng)該更容易接受從非傳統(tǒng)背景中尋找人才。正如我的ISACA同事本月在RSA大會上的一次小組討論中所指出的那樣，退伍軍人和其他非技術(shù)背景的人，只要有機會，往往可以憑借與網(wǎng)絡(luò)安全角色相匹配的技能和興趣來應(yīng)對這種情況。此外，網(wǎng)絡(luò)安全行業(yè)必須在吸引和留住女性方面做得更好。女性在網(wǎng)絡(luò)安全領(lǐng)域的代表性不足，是全球組織面臨的總體技能差距的一個重要方面。考慮到這些因素，組織可以很好地制定業(yè)務(wù)計劃，重新定義如何吸引和留住安全人才的協(xié)議。

誤差幅度很小

組織可以建立并保留有效的網(wǎng)絡(luò)安全團(tuán)隊，但出錯的可能性很小。高質(zhì)量的網(wǎng)絡(luò)安全從業(yè)人員將有許多選擇，因此企業(yè)領(lǐng)導(dǎo)者有責(zé)任給他們一個令人信服的理由，讓他們想要留在自己的公司。提供有競爭力的薪酬是一個自然的起點，正如網(wǎng)絡(luò)2019年報告所強調(diào)的那樣。在為安全團(tuán)隊的整體范圍做預(yù)算時，如果犧牲了為關(guān)鍵團(tuán)隊成員提供有競爭力的薪水，領(lǐng)導(dǎo)者可能需要抵制購買最新有趣工具或小工具的誘惑。除了薪酬之外，組織還應(yīng)該在其他領(lǐng)域評估他們所提供的內(nèi)容，以確保團(tuán)隊成員感到適當(dāng)?shù)膬r值。為此目的，各組織應(yīng)投資對現(xiàn)有工作人員進(jìn)行基于業(yè)績的培訓(xùn)，以培養(yǎng)更多技術(shù)熟練的從業(yè)人員- -這些人往往是各組織最難找到的專業(yè)人員。灌輸一種積極向上、以團(tuán)隊為導(dǎo)向的文化，也能在很大程度上防止員工跳槽。

隨著時間的流逝，越來越多的人認(rèn)識到，在數(shù)字經(jīng)濟中，強大的網(wǎng)絡(luò)安全是所有組織的核心業(yè)務(wù)需求，這一點變得越來越普遍。但是，了解網(wǎng)絡(luò)安全的重要性與擁有實施有效安全計劃的遠(yuǎn)見和承諾是有區(qū)別的。這首先要引進(jìn)高質(zhì)量的網(wǎng)絡(luò)安全從業(yè)人員，然后提供持續(xù)的培訓(xùn)，以填補知識空白，并讓專業(yè)人員了解他們將受命打擊的最新攻擊方法。盡管人工智能和自動驅(qū)動工具將在未來幾年被證明對提高網(wǎng)絡(luò)安全非常有用，但這并不會改變這樣一個現(xiàn)實，即在找到合適的人選，從戰(zhàn)略上應(yīng)對網(wǎng)絡(luò)攻擊之前，任何組織都不會處于安全的基礎(chǔ)之上。網(wǎng)絡(luò)攻擊的規(guī)模和復(fù)雜性將繼續(xù)增長。

來源于ISACA  Chris K. Dimitriadis