根据 2018 年度 (ISC)² 安全人才调查报告,全球信息安全人才缺口高达 293 万人,其中亚太地区是人才荒的重灾区,安全人才缺口高达 214 万,超过六成企业信息安全岗位缺人。
与此同时,报告还显示信息安全专业人士未来最为看好的职业发展方向和领域是:
- 云计算安全
- 渗透测试
- 威胁情报分析
- 司法取证
进入新的安全领域或提升职业竞争力最有效的办法之一就是取得权威安全认证,(ISC)² 的报告显示,全球超过一半的受访者 (54%) 正在积极寻求获得网络安全认证,或计划在明年进行认证。
对于企业的人力资源部门来说,识别、甄选并招聘到合格的网络安全人才的难度也与日俱增,而信息安全认证,则成了人力资源经理们挑选安全人才的一个重要评判标准。这导致过去 20 多年间,市场上涌现了超过 100 个信息安全认证和相关机构,对于企业人力资源部门来说,大量用来标记安全人才技能的证书,其自身的含金量和水分却更难以鉴别,而且持有证书的专业人士是否具备 “来之能战” 的实操能力,也很难确定。以下我们列举 2019 年在全球信息安全人才市场公认的实战能力很强的五个安全技能认证:
1、OSCP – 进攻性安全认证专家
在过去的几年中,OSCP 已成为渗透测试人员及其企业雇主的首选认证,在 2006 年首次引入后,OSCP 的关注度逐年上升。此实用性认证在准备、培训和完成方面需要投入大量精力。
尽管 “进攻安全性” 网站建议在准备 2-3 个月后即可获得 OSCP,但根据其他专业人员的亲身经验,更合理的时间表是 5-8 个月。赢得了 OSCP 的个人在红队社区中具有很高的“街头信誉”,可信度非常高。
2、CCSP – 认证云安全专家
随着越来越多的企业迁移到云环境,受欢迎的 CCSP 认证的需求日益增长。(ISC)² 今年庆祝成立 30 周年,但 CCSP 认证在 2015 年才推出。过去几年来,世界各地的企业和组织都在不遗余力地妥善保护托管在 Amazon AWS 微软 Azure 等云提供商那里的数据、应用程序和基础架构。
3、CRISC – 风险和信息系统控制认证
CRISC 认证针对负责 IT 风险管理或合规性的专业人员,旨在帮助他们的组织了解业务风险并实施适当的信息系统控制。风险管理人员通常是一群热爱本职工作的人,如果你致力于在这个职业道路上发展,那么 CRISC 是一块不错的敲门砖。
4、CySA + – 网络安全分析师+认证
在 2017 年杀入安全认证领域之后,CompTIA 的 CySA +(Cybersecurity Analyst +)迅速获得认可。在美国拥有超过 26,000 个网络安全分析师职位空缺,专门针对该角色而设计的专业认证必将成为 “爆款”。
网络安全分析师需要预防、检测、响应和详细说明网络安全威胁,而 CySA+ 认证旨在通过侧重于角色内部的应用行为分析来提供帮助。CySA+是专为中级信息安全专业人员设计的安全证书,持有该证书的求职申请人在岗位竞争中往往更具有优势。
5、CISM – 认证信息安全经理
通常,与 (ISC)² 的 CISSP 认证相比,ISACA 的 CISM 认证往往被同级别的 CISA 认证所掩盖。CISM 代表认证信息安全管理者。对于致力于在网络安全中担当管理角色的组织和个人,持有 CISM 认证表明其持有人可以像领导者一样思考,同时仍拥有足够的 “危险” 技术诀窍。
尽管 CISSP 更常见且技术含量更高,但掌握 CISM 所需的管理观点使其在高级领导职位中处于优势。
证书不代表一切,企业最需要什么样的网络安全人才?
除了可靠的经验,学历和证书,雇主还希望结识具有某些特征的申请人。一方面,雇主希望聘用那些对网络安全职业道路充满激情的员工。此外,他们很看重员工是否具备较强的批判性思维能力。最后,也许是最重要的一点是,他们希望雇用具有内在好奇心和学习意愿的员工。如果您可以迅速掌握新信息并分析,还能将复杂主题提炼成简单语言,那么雇主将会想法留下你,不论你是否持有耀眼的证书。