多年来,网络安全领导者一直在努力解决关键网络角色的人才短缺问题。面对不断升级的财务要求和不断扩大的责任,这些领导者面临着更大的压力,需要用更少的资源实现更多目标,并创建涵盖多种安全职能的角色。
安全角色通常是多功能的
一份新报告表明,角色内的典型功能组合包括架构和工程 (A&E)、应用程序安全 (AppSec) 和产品安全。IANS 和 Artico Search 收集了来自美国和加拿大各行业和公司类型的 560 多名网络安全员工的回复。此外,我们还对 100 名CISO进行了非正式访谈,以更好地了解 CISO 在招聘和留住员工方面面临的挑战。
在调查受访者中,42% 的人负责多个网络安全领域。在 AppSec 员工中,74% 还致力于产品安全,67% 参与身份和访问管理 ( IAM )。
在产品安全方面,63% 的员工也支持 IAM。然而,治理、风险和合规性 ( GRC ) 与其他角色的联系较轻。大约 37% 的 GRC 员工还承担 A&E 职责,只有 25% 从事 AppSec 工作。
研究还发现,典型的企业类别和角色分类通常与信息安全人才市场不一致。“多年来,我们听到许多网络安全专业人士讨论他们在组织中担任的职务。这份最新报告清楚地说明了按职能划分的日常职责的数量。每个功能不仅支持自己的一组核心任务,而且大多数角色还支持至少两个附加功能。这让许多公司都在努力应对典型的企业薪资水平,因为网络安全需要专门的薪酬方案,以更好地争夺人才并最大限度地减少人员流失。” Artico Search 网络安全实践合伙人兼 IANS 教员Steve Martano说道。
丰富的经验、专业化和高级学位都会带来更高的薪资
拥有至少 12 年相关经验的经验丰富的员工的收入比基线高出 22%。AppSec、产品安全或 IAM 方面的专业知识,或者硕士或博士学位的现金报酬为 21%。
与此同时,相关经验不足三年的员工的薪酬比基线低 40%。同样,不持有副学士学位以上大学学历的网络安全专业人士的薪酬水平也往往低于平均水平。
不同领域的性别多样性各不相同,但性别薪酬差距仍然普遍存在
20% 的人自我认同为女性、二元性别或其他。GRC 的性别多样性最高,为 40%,其次是 IAM,为 25%,而 A&E 工作人员的非男性比例最低,为 10%。
研究数据显示,性别薪酬差距约为 7%。在拥有 12 年以上工作经验的员工中,性别差距更为明显,研究人员发现,男性和女性之间的薪酬差距达到两位数。在拥有三年以下信息安全经验的受访者中,性别多元化专业人士的支持率差距为 3%。
员工认可度和工作福利与更高的保留率相关
在这四个标准中,感觉受到重视和支持以及有职业发展机会与换工作考虑因素的关系最为密切。
回顾有关网络安全劳动力短缺问题:
- 尽管这是有史以来劳动力人数最多的记录,但报告显示需求仍然超过供应。网络安全劳动力缺口已创历史新高,需要 400 万专业人员来充分保护数字资产。
- 该研究还发现了影响该领域专业人士的新挑战,包括经济不确定性、人工智能、分散的法规和技能差距。此外,充满挑战的威胁形势继续笼罩该领域,75% 的网络安全专业人士表示,当前的威胁形势是过去五年来最具挑战性的。
- 只有 52% 的人认为他们的组织拥有足够的工具和人员来应对未来两到三年的网络事件。
网络安全劳动力短缺和技能差距
67% 的受访者表示,他们的组织缺乏网络安全人员来预防和解决安全问题,92% 的网络安全专业人员表示他们的组织存在技能差距。
组织中排名前三的技能差距是云计算安全(35%)、人工智能/机器学习(32%)、零信任实施(29%)。
进行过网络安全裁员的组织中有 51% 受到一项或多项重大技能缺口的影响,而没有进行过裁员的组织中这一比例仅为 39%。
经济不确定性
71% 的受访者认为,经济不确定时期会增加恶意内部人员的风险。研究发现,39% 的网络安全专业人员曾接触过或认识曾被恶意行为者接触过的人。在网络安全领域进行过裁员的公司中,被视为恶意内部人员的可能性是其他公司的三倍。
- 47% 的受访者经历过削减,包括预算削减、裁员以及冻结招聘和晋升
- 35% 的人面临网络安全培训计划的削减,这对于技能发展和劳动力增长至关重要
- 三分之二的受访者表示,裁员对他们的生产力、团队士气产生了负面影响,并增加了他们的工作量
- 57% 的受访者表示,他们对威胁的响应因削减而受到抑制,52% 的受访者认为与内部风险相关的事件有所增加
- 31% 的专业人士认为裁员将持续到 2024 年,70% 的专业人士预计这些裁员将包括裁员
发现有效的招聘、保留和团队建设实践
- 47% 的受访者对人工智能 (AI) 毫无了解或了解甚少
- 47% 的人将云计算安全视为职业发展中最受欢迎的技能
- 45% 的受访者认为人工智能是未来两年的最大挑战
ISC2 首席执行官Clar Rosso表示:“虽然我们庆祝进入该领域的新网络安全专业人员数量创历史新高,但紧迫的现实是,我们必须将劳动力数量增加一倍,以充分保护组织及其关键资产。”
“在当前前所未有的最复杂和复杂的威胁形势下,网络安全专业人员面临的不断升级的挑战凸显了我们信息的紧迫性:组织必须投资于他们的团队,无论是在新人才还是现有员工方面,他们具备应对不断变化的威胁形势的基本技能。这是确保职业有弹性、加强我们集体安全的唯一途径,”罗索继续说道。
组织正在积极采取战略来加强其网络安全团队。调查受访者表示,他们的组织正在投资于员工培训 (72%)、提供灵活的工作条件 (69%)、资助多元化、公平和包容 (DEI) 计划 (68%)、支持认证 (67%) 以及扩大其业务范围团队通过招募、雇用和入职新员工(67%)来防止或缓解员工短缺。
促进网络安全的多样性和包容性
为了促进员工队伍更加多元化,组织正在采用 DEI 举措,纳入基于技能的招聘,并修改职位描述以强调 DEI 目标。
采用基于技能的招聘的组织已经看到了积极的影响,其劳动力中女性平均比例为 25.5%,而未采用这一举措的组织中女性比例为 22.2%。然而,仍有工作要做,因为女性仅占 30 岁以下网络安全专业人员的 26%。
DEI 举措不仅可以推动多元化,还可以提高劳动力效率。实施 DEI 招聘实践的组织表示,其网络安全专业人员在未来两到三年内应对网络威胁的准备意识更强。
除了各种技能的技术熟练程度之外,网络安全专业人员还强调非技术属性的重要性。解决问题的能力(45%)位居榜首,其次是好奇心和学习热情(39%)以及有效沟通(38%)。