信息安全市场预计将从2015年的750亿美元发展到2020年的1700亿美元,但是,如同其他任何行业,成长的烦恼无法避免。
不断发展的威胁态势、网络犯罪即服务和网络间谍,是当今执法机构和CISO们最头疼的问题,更不用说屡创新高的数据泄露事件了。但,还有个更大、更基础的问题在折磨信息安全市场。
信息安全长久以来都受制于众所周知的技术人才短缺问题。(ISC)² 预测到2020年将有200万个信息安全职位无人可用,思科则将当今全球信息安全人才缺口指认为近100万个。半岛新闻公布的劳动统计局2015分析数据显示,美国目前有超过209000个网络安全职位空缺。
人才缺乏是全行业的,但其中数据科学家、数据分析师、社会工程和数字鉴证专家的迫切需求尤其突出。
这不是夸大其词,该人才短缺已经影响到日常的方方面面了。 Frost & Sullivan 咨询公司和(ISC)² 联合进行的一项调查揭示,企业及其安全人员越来越将数据泄露归罪于技术人才的缺乏。技术市场研究公司 Vanson Bourne 和 英特尔安全的另一项研究,则表明IT经理认为该人才短缺将让他们更容易攻击者盯上,造成专利数据损失或声誉损害。
然而,找出该人才短缺的根源,并不容易。有人将矛头指向了STEM(科学、技术、工程和数学)教育体系没有涵盖安全思维,其他人则责怪随着计算机科学毕业生寻求到谷歌、Facebook或推特之类的技术巨头就职而导致的大学校园内安全方面兴趣的减弱。
然后,还有人才保留问题,职业倦怠是一方面因素,招聘要求高是另一方面因素(信息安全要求的技术很复杂,包括了像恶意软件检测、逆向工程、加密和虚拟化之类的东西。)
CISO,以及他们的团队成员,可以来自其他领域
不过,或许有其他方法可以说服年轻学生或有经验的职业人士,转到安全行业上来,无论他们的年龄和所从事的行业。
传统的信息安全职业某种程度上有些僵硬刻板的印象。学生考进大学,拿到学位,再考几个信息系统安全认证专家(CISSP)、信息系统审计师(CISA)或信息系统经理(CISM)之类的认证,然后做完安全或网络架构师入职。
但是,这种模式的问题,在于时间和投入。英特尔安全EMEA(欧洲、中东和亚洲)部的CTO就曾经说过,他职业生涯中累积了近30个行业相关资质,表明这一行留给兼职或业余爱好者的空间真心不多。
不过,慢慢地,有一种说法开始冒头:高薪与挑战并存的信息安全职位,可以从其他行业挑选人才。
提出这种说法的人就认识一家从法律界招聘高级安全主管的专业安全服务公司,也有公务员经培训后获得英国国家犯罪局(NCA)高级网络职位的。2014年的一次访谈中,阿卡迈CSO安迪·伊利斯坦陈,自己的安全团队从通信、客户支持和帮助台员工中招聘人员。
趣事连篇,如今,欢迎来自其他产业新人的业界努力越来越多了。1年前,信息系统安全协会(ISSA)启动了对技术缺口的调查,结论是需要建立起国际认可的网络安全职业框架。于是,ISSA网络安全职业生命周期(CSCL)诞生。
英国政府通信总部(GCHQ)和美国国家安全局(NSA)之类的政府机构,已经开始提供奖学金和各种竞赛,尽管他们相对较低的薪水经常被可在私营产业赚取2倍、3倍乃至10倍数额的员工嘲笑。
City of Atlanta 前CISO,CloudAssurance现CTO泰耶·兰波,就是从另一个行业(工程)转行到安全,且自身经历又反过来影响到他的招聘策略的活例子。
“在我作为CISO和创业者的职业经历里,我聘用了带有网络安全甚或信息技术领域以外背景的人士,最初是作为研究实习生,给他们机会成长为分析师或工程师、经理和总监之类的安全角色。其中有些人在我聘用他们为实习生后几年就成为了成功的信息安全官。”
特勒尔斯·奥尔汀,Barclays首席信息安全官,之前在丹麦警方和欧洲刑警组织的执法部门工作。毫不意外地,他认为,由外而内地切入确实可行,尤其在年轻的时候。
“很多安全方面有才华的年轻人对传统的大学计算机科学教育不感兴趣,甚至对整个大学教育就没兴趣。但他们可能是非常好的互联网用户和专家。”
巴克莱银行正尝试与各大学合作,通过巴克莱银行网络学院吸引年轻人才。该短期的“专项”培训项目设置在美国、英国、立陶宛和南非,准确定位在对大学课程不感兴趣的人身上。
然后,可以考虑从非传统网络行业搜罗年长点儿的人才,只需少量升级课程就可以顺利切换。
但高级职位是分水岭
有人认为,高级管理层是从其他行业招聘最活跃的领域。
曾任英国考文垂建筑协会银行和英国能源公司CISO,目前为佛瑞斯特研究公司安全分析师的马丁·威特沃斯说:“我见过从别的行业招聘,但大多数这类活动都发生在中层或高层级。确实见过有员工成功从其他各种各样的业务领域转行安全,包括运营风险、财务、审计、法务和项目管理。”
“在最高层级(比如CISO),我见过来自审计、风险和财务背景的员工进入这些管理角色,并且做得非常成功,我甚至听说过有从HR背景进入CISO角色的。虽然CISO只是初级高管职位,但这一职位被看作是通往高管发展阶梯的垫脚石。”
安全公司Forcepoint副CISO尼尔·萨克对此表示赞同:“我见证过太多企业从公司其他领域延揽人才,要么是从入门级角色踏入网络安全,要么是从管理视角切入。”
“好的经理或团队领袖会是有效沟通者,再带个正确的团队,往往都能在网络安全上取得成功。”
英国国家网络研究中心研究主任理查德·本汉姆对此存有疑虑,他见到的大多数新入行者来自IT背景,但坦诚所有的职位角色都需要集成进安全。
“网络影响到我们生活的方方面面。HR、市场营销、法务、客户体验等等领域的专家,都应该具备一定的网络专业知识。这是必备的教育。”
招聘人员也看到了这一转变
网络安全专业招聘机构BeecherMadden总监卡拉·乔斌称:“不进行再培训,是无法填补网络人才空缺的。”
“网络职位的应聘者渐渐来自风险管理、危机管理、项目管理和市场营销。我们的研究显示,这些人通常因具备宽泛的技术面而能获得更高的薪水。”
有趣的是,她提到,女性应聘者应获得更多的工作机会和更高的薪水(信息安全行业中只有11%是女性)。
从博主变身安全顾问的李·忙森就是这些转职者之一,从零售管理转到了安全意识领域,为法国广告公司Publicis的 Re:Sources UK 分部工作。
“我从中学时期开始就对计算机感兴趣。不过,直到我亲眼看到朋友和家人沦为网络诈骗和恶意软件的受害者,我才渐渐开发出对安全的兴趣。
为了帮助他们,我进行了必要的研究,在随后多年中慢慢筑成了我的安全知识库。直到最近,我在各种会议上碰到的人才建议说,我应该考虑在安全行业中谋个职位了。
我的建议是,坚持进入该行的传统途径,但不要完全依赖这些。可以去各种安全大会,加入论坛,在社交媒体和网络上与信息安全专业人士疯狂交流的同时顺便发展沟通技巧。然后你会发现你的竞争力和业内很多人都缺乏的软技能同时得到了最佳提升。”
聘到正确的人才
CISO需要停止恐惧未知事物,在审查自家团队的能力上保持积极主动。
所有CISO都应该审查自家团队的能力,据此进行调整,以便保持良好的平衡。培训是很重要的,在职培训也一样。咨询顾问能在短期内提振竞争力。
团队指导也是一个常被忽视了的成功策略。招揽未来替代你的人,指导他们及时替上你的角色,将会对你有所辅助并给你的履历添上光辉一笔。让他们也对自己的角色做出同样的举动,并层层传导至团队中最初级的成员。
安全主管应打造扎根公司的多技术和分析型团队。
CISO需首先建立起自己的策略,而该策略必须真正符合公司业务发展。
一旦安全支持业务的方式被确立起来,所需的业务(和技术性)技能就能被标绘出来。只有到这一步,招聘和人才保留计划才被制订。如同对待任何复杂业务问题,别以为你能独立搞定,与你的HR团队合作来认清该怎样最好地招到合适的人才吧。
【本文是51CTO专栏作者李少鹏的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】