如何克服网络安全人才短缺

最近有报道称，多个勒索软件和手机间谍软件正在发起攻击(最近一次针对全球800至1500家中小企业)，人们越来越意识到远程或在家工作的网络安全风险，防范网络攻击的必要性显而易见。

然而，随着企业对网络安全风险越来越重视的同时，他们发现自己面临着另一种需求:对网络安全专业人员的需求。

网络安全专业人员的短缺是实实在在的，而且预计还会加剧。2020年，国际信息系统安全认证联盟（ISC）的一项网络安全工作人员研究发现，网络安全工作人员面临300多万人的短缺——其中大部分在亚太地区。

为了更好地了解为何频频出现网络安全人才短缺的情况，我采访了Hrtech.sg 的创始人兼首席执行官斯利拉姆·耶尔(Sriram Iyer)。Hrtech.sg是一家新加坡人力资源技术咨询公司，专门为企业提供人力资源技术解决方案和资源。

斯利拉姆说，他看到网络安全职位空缺的数量至少是此类职位的可用人选的3倍。这种情况在新加坡尤其严重，在那里很难找到合适的候选人，特别是像安全架构师这样的高级网络安全职位，导致在过去一年中,大量安全工作机会从新加坡转移到印度等其他地方。

斯利拉姆说：“这并不是说像印度这样的地方可以填补这些职位方面的空缺。”。“在人才吸引和实现方面，挑战无处不在，只是在一些人才供应比新加坡更多的国家，职位相对更容易填补。”

他接着解释说，从广义上讲，组织正在寻找两种类型的网络安全专业人员：

一．全才：对网络安全领域有广泛的了解

二．专家：在网络安全某一特定方面具有深厚专业知识的专家

多面手通常会被中小企业寻找来处理企业的网络安全防御的几乎所有方面。提供网络安全解决方案和服务的系统集成商也在寻找此类人才。

另一方面，大型企业通常会寻求专家来处理企业中的网络安全防御的特定领域，如信息安全、网络安全和数据中心安全。大型安全咨询公司和安全运营中心(SOC)也在寻找此类领域的专家。

虽然这两种类型的网络安全专业人员都存在短缺，但Sriram认为，网络安全专业人员的短缺只会变得更严重。他说：“IT和其他专业人员可以提高自己的技能，并被培训为网络安全通才，但要成为信息安全或云安全等领域的网络安全专家，难度更大，时间更长。”例如，他指出，当前云专业人员的短缺使得找到云安全专业人员变得更加困难。新加坡企业难以招到人才的其他职位包括信息安全开发工程师（DevSecOps）和风险合规专员(Risk Compliance Specialist)。

展望未来，斯利拉姆认为全球范围内的专业人才短缺情况将更为艰难，更多的组织将要求他们的网络安全专业人员获得认证。由于目前拥有安全认证的网络安全专业人员并不多，且此类专业人员持续且日益短缺，我们可以预期那些已经从事网络安全的人员将自我提升，加入网络安全专业人员的行列。

然而，这种升级和技能提升可能无法解决组织面临的网络安全通才和专家短缺问题。斯利拉姆解释说，总会有网络安全专家希望跳出常规工作，成为独立顾问，因为这非常有利可图，特别是从薪酬角度来看。在网络安全多面手中，虽然初级专业人员通常希望长期受雇，但更高级的专业人员也希望成为这样的独立顾问。斯利拉姆指出:“零工经济不仅局限于优步和Grab等公司，还延伸到了网络安全领域。”

这是否意味着企业应该失去所有希望，放弃填补其网络安全职位的计划？或者您必须降低IT基础架构的网络安全期望？一点也不。

您可以做一些事情，如“如何解决网络安全人才缺口”中的建议：

• 回顾您的招聘流程，让安全专家参与进来
• 建立全面的指导模式
• 从现有员工挖掘

但是，我们需要解决的不是网络安全专业人员的短缺问题，而是我们首先需要这些专业人员的根本原因，那就是确保网络安全。在这方面，一旦您意识到您可能无法满足您所有的网络安全人员需求，就必须了解可以采取哪些措施来确保您现有员工的IT安全。

这里有一些关于您能做什么的建议。

首先，我们需要帮助现有的网络安全专业人员更好地开展工作，并为他们提供正确的安全解决方案和工具，帮助他们快速、轻松地发现并弥补IT安全漏洞或网络攻击。我们还应投资于培训和开发他们，使他们了解并知道如何处理您的业务和IT扩展到的新领域的安全问题，以及如何管理现有领域中新出现的威胁。

其次，我们需要为现有的网络安全专业人员提供他们所需要的帮助。网络安全领域非常广阔，而且还在不断增长，我们不能指望他们知道并能够处理一切。我们需要确定我们在哪些领域缺乏IT网络安全通才或网络安全专家，然后寻求外部帮助，无论是临时安全顾问、项目IT安全供应商，还是持续管理安全服务提供商（MSSP）。

第三，我们应该与本行业的其他人接触和合作。您面临的安全问题并不是那么独特！其他组织，尤其是类似行业的组织，也面临同样的问题。当我们分享我们的网络安全挑战以及我们为克服这些挑战所做的努力时，我们可以相互学习并从中吸取对我们有帮助的想法。我们甚至可能会在特定的需要时刻互相帮助、共享资源，或者共同应对网络安全威胁。我们需要从某个地方开始，以建立与他人交往的信任——加入行业协会将是一个良好的开端。

网络安全专业人员的短缺并不意味着您的IT安全也必须短缺。通过采取措施缓解员工短缺，并采取措施弥补短缺，您可以拥有您想要的安全组织。

NetGain Systems可以帮您提供技术及IT安全问题的答疑，随时恭候您的咨询！

想了解更多关于NetGain Systems产品的信息，欢迎访问我们的网站，或与我们联系。

访问我们的网站：https://www.netgain-systems.com.cn/

联系我们的邮箱: info@netgain-systems.com.cn