如果企业不主动应对安全的倦怠问题,预计在未来两年内,网络安全部门将出现相当大的变动。在Gartner 于2月22日发布的一项预测显示,到2025年,将近一半的企业安全负责人将更换工作,其中 25% 完全是由于多种与工作相关的压力因素导致。
根据 Gartner 首席分析师 Deepti Gopal 的说法,网络安全专业人员普遍面临着“不可持续的压力水平”。对于 CISO 和其他安全经理来说,担任替罪羊角色所带来的精神和情感影响不仅促使他们产生离职的想法,甚至还会跳出当前的职业。
长期以来,整个行业对网络安全的需求都没有得到满足。根据2022年ISC的预估,到 2025 年,网络安全专家的人才缺口将达到350 万。即使科技行业的其他工作岗位因行业裁员而开始瘦身,网络安全似乎也没有受此影响。就在今年不久前ISC的一份报告显示,只有 10% 的企业高管预计今年将解雇其网络安全团队的成员。
然而,这些关于网络安全领域“积极数字”的背后,也存在着不佳的工作处境,因倦怠和工作上的不满使招聘和留住人才变得困难。由Magnet Forensics最近进行的另一项调查显示了普通安全分析师和调查人员中的一种现象:超过一半的安全专家表示他们在工作中感到筋疲力尽。
通常,网络安全的倦怠几乎都围绕着告警疲劳和工作量不平衡等话题展开,尤其是在安全运营中心 (SOC) 工作人员中。Magnet 报告显示,64% 的员工认为警觉性疲劳是导致他们精疲力尽的原因。然而,四分之一的 CISO 将更换工作则暗示了更深层次的问题。
CISO 不一定像他们的员工那样不断地疲于告警工作,Gartner 分析师表示,CISO不断试图在高期望值与缺乏满足之间取得平衡。而以合规为中心的网络安全策略、高管的低支持度以及低于行业水平的成熟度表明,企业认为安全风险管理对业务是否成功的影响并不重要。
资深网络安全管理人员、网络安全劳动力规划平台Cybrize的联合创始人兼CSO Diana Kelley表示,如果公司网络被成功入侵,CISO会担心自己的职业声誉因此受损,被拉入行业黑名单,甚至面临刑事指控,就像去年优步安全主管Joe Sullivan因掩盖数据遭遇大规模网络攻击被定罪,这些因素都会迫使CISO重新考虑他们的职业轨迹。
Kelley还表示,虽然一些媒体曾炒作 CISO 的年薪可达百万美元,但实际上大多数CISO的年薪远达不到这个级别。Kelley打趣地说道:“如果你渴望成为薪资100 万美元的 CISO,但实际上你却只拿着20万出头的年薪,还顶着巨大压力周六凌晨 3 点起床处理违规行为,而你的朋友从事 DevOps轻松赚了 25万美元,整个周末都在睡觉,你可能会说,'去见鬼吧,网络!‘“