面對不景氣的經(jīng)濟(jì)和高失業(yè)率,信息安全領(lǐng)域一直是IT求職者的希望堡壘,根據(jù)(ISC)2 等組織的保守估計(jì),在未來幾年信息安全行業(yè)將會提供數(shù)十萬就業(yè)機(jī)會。
鑒于合格的IT安全專業(yè)人員稀缺,對于那些試圖尋找好工作和更高薪水的人來說,安全認(rèn)證有多少價值呢?根據(jù)一項(xiàng)新調(diào)查顯示,信息安全領(lǐng)域平均工資正在上升,而安全認(rèn)證可以開啟或改善職業(yè)生涯,但專家質(zhì)疑其真正的價值。
剛剛公布的2014年SANS研究所工資和職業(yè)發(fā)展調(diào)查(對信息安全培訓(xùn)企業(yè)的2008年工資和認(rèn)證調(diào)查的擴(kuò)展更新)對超過4000名受訪者進(jìn)行了采訪,其目的是分析IT專業(yè)人員的目前就業(yè)趨勢,包括工資水平、教育水平和未來職業(yè)期望等。
這個SANS調(diào)查發(fā)現(xiàn),鑒于對合格安全人員的高需求,現(xiàn)在很多信息安全專業(yè)人員待遇很好。近一半的受訪者每年收入超過10萬美元,而在2008年的調(diào)查中,這個數(shù)字只有38%,并且,將近四分之一的受訪者的工資在8萬到99999美元之間。
這個SANS調(diào)查指出,工作經(jīng)驗(yàn)是高工資的主要原因。在所有信息安全職位中,具有三年或更少經(jīng)驗(yàn)的專業(yè)人員平均每年工資低于7.5萬美元,而那些有七年或以上經(jīng)驗(yàn)的受訪者工資則超過10萬美元。是否具有管理能力也對工資有很大影響:管理職位的受訪者平均每年收入超過12萬美元,而非管理人員的平均工資僅為9.5萬美元。
SANS研究所總經(jīng)理Scott Cassity表示,2014年的調(diào)查表明,作為一種職業(yè),信息安全正在朝著正確的方向發(fā)展。
“我認(rèn)為可以準(zhǔn)確地推測,這個領(lǐng)域?qū)l(fā)展,”Cassity表示,“我們看到由于經(jīng)濟(jì)衰敗,工資受到了一些影響,但現(xiàn)在的工資要高于六年前。”
安全認(rèn)證的價值是什么?
雖然這個SANS調(diào)查指出了信息安全專業(yè)人士的工資主要與幾個因素有關(guān),但絕大多數(shù)受訪者認(rèn)為安全認(rèn)證是職業(yè)成功的關(guān)鍵。
事實(shí)上,近五分之三的受訪者表示,安全認(rèn)證是影響其職業(yè)的最大的因素之一。相比之下,不到40%的受訪者認(rèn)為取得成功在于關(guān)系網(wǎng),而不到四分之一的受訪者認(rèn)為關(guān)鍵因素是學(xué)士或碩士學(xué)位。
根據(jù)該調(diào)查顯示,并非所有的認(rèn)證都是一樣。受訪者認(rèn)為SANS自己的GIAC安全專家認(rèn)證和(ISC)2 CISSP 認(rèn)證比其他認(rèn)證更有價值,而CompTIA的Security+則被認(rèn)為是價值最低的認(rèn)證,該認(rèn)證主要針對經(jīng)驗(yàn)較少的安全從業(yè)人員。
SANS是營利性安全培訓(xùn)和認(rèn)證行業(yè)的領(lǐng)導(dǎo)者之一,參與SANS調(diào)查的受訪者可能有些偏頗,但Cassity表示,人力資源人員通常通過證書來判斷應(yīng)聘者是否具備一定的基礎(chǔ)知識來勝任某個安全職位,可以說,證書是應(yīng)聘的主要指標(biāo)。在從業(yè)人員的職業(yè)生涯的早期階段,尤其是如此,因?yàn)槿腴T級安全職位通常是從其他IT領(lǐng)域(例如網(wǎng)絡(luò))過渡到這個行業(yè)的人員。
“很多時候,如果他們想要提高自己的應(yīng)聘競爭力,獲取相應(yīng)的證書是正確的做法,”Cassity表示,“對于學(xué)士學(xué)位和其他正式培訓(xùn),企業(yè)認(rèn)為它們只是提供給應(yīng)聘者理論知識,而證書和認(rèn)證則才能夠證明他們具有相關(guān)能力。”
“他們當(dāng)然需要具有技術(shù)技能,”Cassity繼續(xù)說道,“但伴隨著科學(xué)的還有藝術(shù)。”
有趣的是,根據(jù)SANS調(diào)查顯示,安全認(rèn)證對于獲得更高工資和升值的影響并不像受訪者認(rèn)為的那么高。SANS并沒有提供具體數(shù)據(jù)來表明工資增長和認(rèn)證之間的關(guān)系,而是指出:“高達(dá)5%的薪水增加與很多認(rèn)證有關(guān)”。
不過,與正式教育差異造成的工資差距相比,這個5%顯得有些相形見絀。例如,具有四到六年工作經(jīng)驗(yàn),且只有高中文憑的安全專業(yè)人員的平均工資為75938美元。而具有相同工作經(jīng)驗(yàn),且具有學(xué)士學(xué)位的人員每年工資為84619美元,另外,具有碩士學(xué)位或MBA的人員平均每年工資為97109美元。
信息安全獵頭公司L.J. Kushner and Associates總裁Lee J. Kushner解釋說,安全認(rèn)證能夠幫助應(yīng)聘者進(jìn)入這個行業(yè),特別是當(dāng)不了解行業(yè)技能的人力資源人員負(fù)責(zé)篩選應(yīng)聘者時,然而,這些安全證書對工資的影響遠(yuǎn)遠(yuǎn)比不上工作經(jīng)驗(yàn)和技能。
“除非是非常重視人力資源的企業(yè),否則認(rèn)證變得毫無意義,”Kushner表示,“我們的客戶從來不會說他們愿意為特定職位支付10萬美元的工資,但如果他們有某種證書,他們將支付12萬美元。”
信息安全就業(yè)機(jī)會在增加,但也在改變
對于希望進(jìn)入信息安全領(lǐng)域的人,或者想要跳槽的安全人員來說,這個SANS調(diào)查證實(shí)了一個事實(shí):很多企業(yè)正在積極招募安全工作人員。
在過去的一年中,43%的受訪者表示他們的雇主已經(jīng)增加了信息安全工作人員,而只有10%減少了人員。預(yù)計(jì)未來一年,這種趨勢還將繼續(xù)下去,超過三分之一的受訪者預(yù)計(jì)將增加IT安全人員,不到5%的受訪者計(jì)劃裁減人員。
這個SANS調(diào)查還指出了在未來兩年可能增長最明顯的安全領(lǐng)域,受訪者預(yù)計(jì),事件響應(yīng)、云計(jì)算/虛擬化和分析是最需要的三大技能。
資深SANS分析師Barb Filkins表示,這些技能需求趨勢突出了該行業(yè)最近幾年所看到的發(fā)展,并通常表明,這個領(lǐng)域在未來幾年還將繼續(xù)產(chǎn)生新的機(jī)會。
Filkins表示:“在我看來,這表明安全行業(yè)是有利于職業(yè)發(fā)展的行業(yè)。”
安全認(rèn)證只是職業(yè)“拼圖”的一部分
Kushner警告說,任何大型調(diào)查并不會對所有人都有意義。他表示,SANS調(diào)查中指出的最重要的技能可能過于寬泛,或者是因?yàn)樽罱l(fā)生的事件而帶來的影響。
例如,對事件響應(yīng)技能的需求可能部分是因?yàn)樵谶^去一年發(fā)生的針對Target和其他零售商的泄露事故。但按需技能可能很快會發(fā)生變化,例如,如果在未來一年內(nèi)關(guān)鍵基礎(chǔ)設(shè)施遭遇了網(wǎng)絡(luò)攻擊,SCADA安全技能可能會被很多受訪者提及。
Kushner還警告說,如果沒有在前沿環(huán)境的工作經(jīng)驗(yàn)(例如在云計(jì)算企業(yè)的安全工作),很多最引人注目的工作機(jī)會可能與信息安全專業(yè)人員擦肩而過,即使他們獲得了安全證書。他建議試圖發(fā)展職業(yè)的安全專業(yè)人員首先明白“他們最終的目的”,然后采取相應(yīng)的行動來到達(dá)目的地。例如,如果有人想成為一名首席安全官,他/她應(yīng)該更多地關(guān)注業(yè)務(wù)技能,而不是純粹的技術(shù)技能,甚至可以考慮獲得MBA學(xué)位。
另外,他表示,招聘經(jīng)理和人力資源人員必須意識到,如果其提供的機(jī)會或工資比不上候選者已有的水平,他們將很難從其他公司挖安全人才。Kushner指出,很多職位空缺的時間要比他們想象得要長,因?yàn)楹芏喙静辉敢鉃榉弦蟮挠薪?jīng)驗(yàn)的候選者調(diào)整工資水平,這個SANS調(diào)查和其他調(diào)查只是顯示了行業(yè)工資的實(shí)際情況。
“我有一個客戶正在招聘滲透測試人員,他們對應(yīng)聘者有著很高的要求,”Kushner指出,在這個調(diào)查提到的薪酬范圍,其客戶永遠(yuǎn)找不到滿足其高要求的候選人。
“毫無疑問,該行業(yè)非常需要信息安全人才,但明白這一點(diǎn):具有某種區(qū)分性技能的優(yōu)秀的信息安全人才面前有著一個非常光明的未來,”Kushner說道,“具有一般技能的人才也有機(jī)會,但大多數(shù)時候,這并不是一個不同的或更好的機(jī)會,只是‘換湯不換藥’。”