信息安全市場預計將從2015年的750億美元發(fā)展到2020年的1700億美元,但是,如同其他任何行業(yè),成長的煩惱無法避免。
不斷發(fā)展的威脅態(tài)勢、網(wǎng)絡犯罪即服務和網(wǎng)絡間諜,是當今執(zhí)法機構和CISO們最頭疼的問題,更不用說屢創(chuàng)新高的數(shù)據(jù)泄露事件了。但,還有個更大、更基礎的問題在折磨信息安全市場。
信息安全長久以來都受制于眾所周知的技術人才短缺問題。(ISC)2 預測到2020年將有200萬個信息安全職位無人可用,思科則將當今全球信息安全人才缺口指認為近100萬個。半島新聞公布的勞動統(tǒng)計局2015分析數(shù)據(jù)顯示,美國目前有超過209000個網(wǎng)絡安全職位空缺。
人才缺乏是全行業(yè)的,但其中數(shù)據(jù)科學家、數(shù)據(jù)分析師、社會工程和數(shù)字鑒證專家的迫切需求尤其突出。
這不是夸大其詞,該人才短缺已經(jīng)影響到日常的方方面面了。 Frost & Sullivan 咨詢公司和(ISC)2 聯(lián)合進行的一項調查揭示,企業(yè)及其安全人員越來越將數(shù)據(jù)泄露歸罪于技術人才的缺乏。技術市場研究公司 Vanson Bourne 和 英特爾安全的另一項研究,則表明IT經(jīng)理認為該人才短缺將讓他們更容易攻擊者盯上,造成專利數(shù)據(jù)損失或聲譽損害。
然而,找出該人才短缺的根源,并不容易。有人將矛頭指向了STEM(科學、技術、工程和數(shù)學)教育體系沒有涵蓋安全思維,其他人則責怪隨著計算機科學畢業(yè)生尋求到谷歌、Facebook或推特之類的技術巨頭就職而導致的大學校園內安全方面興趣的減弱。
然后,還有人才保留問題,職業(yè)倦怠是一方面因素,招聘要求高是另一方面因素(信息安全要求的技術很復雜,包括了像惡意軟件檢測、逆向工程、加密和虛擬化之類的東西。)
CISO,以及他們的團隊成員,可以來自其他領域
不過,或許有其他方法可以說服年輕學生或有經(jīng)驗的職業(yè)人士,轉到安全行業(yè)上來,無論他們的年齡和所從事的行業(yè)。
傳統(tǒng)的信息安全職業(yè)某種程度上有些僵硬刻板的印象。學生考進大學,拿到學位,再考幾個信息系統(tǒng)安全認證專家(CISSP)、信息系統(tǒng)審計師(CISA)或信息系統(tǒng)經(jīng)理(CISM)之類的認證,然后做完安全或網(wǎng)絡架構師入職。
但是,這種模式的問題,在于時間和投入。英特爾安全EMEA(歐洲、中東和亞洲)部的CTO就曾經(jīng)說過,他職業(yè)生涯中累積了近30個行業(yè)相關資質,表明這一行留給兼職或業(yè)余愛好者的空間真心不多。
不過,慢慢地,有一種說法開始冒頭:高薪與挑戰(zhàn)并存的信息安全職位,可以從其他行業(yè)挑選人才。
提出這種說法的人就認識一家從法律界招聘高級安全主管的專業(yè)安全服務公司,也有公務員經(jīng)培訓后獲得英國國家犯罪局(NCA)高級網(wǎng)絡職位的。2014年的一次訪談中,阿卡邁CSO安迪·伊利斯坦陳,自己的安全團隊從通信、客戶支持和幫助臺員工中招聘人員。
趣事連篇,如今,歡迎來自其他產(chǎn)業(yè)新人的業(yè)界努力越來越多了。1年前,信息系統(tǒng)安全協(xié)會(ISSA)啟動了對技術缺口的調查,結論是需要建立起國際認可的網(wǎng)絡安全職業(yè)框架。于是,ISSA網(wǎng)絡安全職業(yè)生命周期(CSCL)誕生。
英國政府通信總部(GCHQ)和美國國家安全局(NSA)之類的政府機構,已經(jīng)開始提供獎學金和各種競賽,盡管他們相對較低的薪水經(jīng)常被可在私營產(chǎn)業(yè)賺取2倍、3倍乃至10倍數(shù)額的員工嘲笑。
City of Atlanta 前CISO,CloudAssurance現(xiàn)CTO泰耶·蘭波,就是從另一個行業(yè)(工程)轉行到安全,且自身經(jīng)歷又反過來影響到他的招聘策略的活例子。
“在我作為CISO和創(chuàng)業(yè)者的職業(yè)經(jīng)歷里,我聘用了帶有網(wǎng)絡安全甚或信息技術領域以外背景的人士,最初是作為研究實習生,給他們機會成長為分析師或工程師、經(jīng)理和總監(jiān)之類的安全角色。其中有些人在我聘用他們?yōu)閷嵙暽髱啄昃统蔀榱顺晒Φ男畔踩佟?rdquo;
特勒爾斯·奧爾汀,Barclays首席信息安全官,之前在丹麥警方和歐洲刑警組織的執(zhí)法部門工作。毫不意外地,他認為,由外而內地切入確實可行,尤其在年輕的時候。
“很多安全方面有才華的年輕人對傳統(tǒng)的大學計算機科學教育不感興趣,甚至對整個大學教育就沒興趣。但他們可能是非常好的互聯(lián)網(wǎng)用戶和專家。”
巴克萊銀行正嘗試與各大學合作,通過巴克萊銀行網(wǎng)絡學院吸引年輕人才。該短期的“專項”培訓項目設置在美國、英國、立陶宛和南非,準確定位在對大學課程不感興趣的人身上。
然后,可以考慮從非傳統(tǒng)網(wǎng)絡行業(yè)搜羅年長點兒的人才,只需少量升級課程就可以順利切換。
但高級職位是分水嶺
有人認為,高級管理層是從其他行業(yè)招聘最活躍的領域。
曾任英國考文垂建筑協(xié)會銀行和英國能源公司CISO,目前為佛瑞斯特研究公司安全分析師的馬丁·威特沃斯說:“我見過從別的行業(yè)招聘,但大多數(shù)這類活動都發(fā)生在中層或高層級。確實見過有員工成功從其他各種各樣的業(yè)務領域轉行安全,包括運營風險、財務、審計、法務和項目管理。”
“在最高層級(比如CISO),我見過來自審計、風險和財務背景的員工進入這些管理角色,并且做得非常成功,我甚至聽說過有從HR背景進入CISO角色的。雖然CISO只是初級高管職位,但這一職位被看作是通往高管發(fā)展階梯的墊腳石。”
安全公司Forcepoint副CISO尼爾·薩克對此表示贊同:“我見證過太多企業(yè)從公司其他領域延攬人才,要么是從入門級角色踏入網(wǎng)絡安全,要么是從管理視角切入。”
“好的經(jīng)理或團隊領袖會是有效溝通者,再帶個正確的團隊,往往都能在網(wǎng)絡安全上取得成功。”
英國國家網(wǎng)絡研究中心研究主任理查德·本漢姆對此存有疑慮,他見到的大多數(shù)新入行者來自IT背景,但坦誠所有的職位角色都需要集成進安全。
“網(wǎng)絡影響到我們生活的方方面面。HR、市場營銷、法務、客戶體驗等等領域的專家,都應該具備一定的網(wǎng)絡專業(yè)知識。這是必備的教育。”
招聘人員也看到了這一轉變
網(wǎng)絡安全專業(yè)招聘機構BeecherMadden總監(jiān)卡拉·喬斌稱:“不進行再培訓,是無法填補網(wǎng)絡人才空缺的。”
“網(wǎng)絡職位的應聘者漸漸來自風險管理、危機管理、項目管理和市場營銷。我們的研究顯示,這些人通常因具備寬泛的技術面而能獲得更高的薪水。”
有趣的是,她提到,女性應聘者應獲得更多的工作機會和更高的薪水(信息安全行業(yè)中只有11%是女性)。
從博主變身安全顧問的李·忙森就是這些轉職者之一,從零售管理轉到了安全意識領域,為法國廣告公司Publicis的 Re:Sources UK 分部工作。
“我從中學時期開始就對計算機感興趣。不過,直到我親眼看到朋友和家人淪為網(wǎng)絡詐騙和惡意軟件的受害者,我才漸漸開發(fā)出對安全的興趣。
為了幫助他們,我進行了必要的研究,在隨后多年中慢慢筑成了我的安全知識庫。直到最近,我在各種會議上碰到的人才建議說,我應該考慮在安全行業(yè)中謀個職位了。
我的建議是,堅持進入該行的傳統(tǒng)途徑,但不要完全依賴這些。可以去各種安全大會,加入論壇,在社交媒體和網(wǎng)絡上與信息安全專業(yè)人士瘋狂交流的同時順便發(fā)展溝通技巧。然后你會發(fā)現(xiàn)你的競爭力和業(yè)內很多人都缺乏的軟技能同時得到了最佳提升。”
聘到正確的人才
CISO需要停止恐懼未知事物,在審查自家團隊的能力上保持積極主動。
所有CISO都應該審查自家團隊的能力,據(jù)此進行調整,以便保持良好的平衡。培訓是很重要的,在職培訓也一樣。咨詢顧問能在短期內提振競爭力。
團隊指導也是一個常被忽視了的成功策略。招攬未來替代你的人,指導他們及時替上你的角色,將會對你有所輔助并給你的履歷添上光輝一筆。讓他們也對自己的角色做出同樣的舉動,并層層傳導至團隊中最初級的成員。
安全主管應打造扎根公司的多技術和分析型團隊。
CISO需首先建立起自己的策略,而該策略必須真正符合公司業(yè)務發(fā)展。
一旦安全支持業(yè)務的方式被確立起來,所需的業(yè)務(和技術性)技能就能被標繪出來。只有到這一步,招聘和人才保留計劃才被制訂。如同對待任何復雜業(yè)務問題,別以為你能獨立搞定,與你的HR團隊合作來認清該怎樣最好地招到合適的人才吧。