遥遥领先：当安全人才紧缺时，国外是怎么做的？

ISC2方面表示，在接受调查的14865名网络安全专业人员中，2/3的人指出，他们的组织缺乏能解决安全问题的人员。报告发现，削减预算、裁员和冻结招聘等成本节约措施正在被大量执行。

总体而言，47%的网络安全工作者经历了裁员，其中22%的人受到了裁员的影响。近一半的受访者表示，与组织其他部门的成员相比，裁员对安全团队的影响尤为严重。其中71%的受访者表示，他们的工作量受到了负面影响，57%的受访者认为，裁员使得安全部门应对威胁的能力有所降低。

此外，报告还显示了，娱乐（33%，此数值为占比，下同）、建筑（31%）和汽车（29%）等行业，因安全裁员而受到的打击尤为严重，而军事/军事承包商（8%）、政府（9%）和教育（13%）领域受到的影响最小。ISC2指出，从地理位置来看，拉丁美洲（巴西和墨西哥）的裁员人数最多，其次是尼日利亚和阿拉伯联合酋长国，裁员最少的国家及地区是美国、沙特阿拉伯和中华人民共和国香港特别行政区。

ISC2发现，人员短缺并不是组织网络安全能力不足的唯一原因，网络安全专业技能缺口对组织而言一样致命。技能差距是指“网络安全团队缺乏特定技能的熟练程度，以及缺乏具备专业知识的员工”。

超过一半（59%）的网络安全工作者表示，技能差距可能比整体人员短缺更为严重，而92%的人表示，他们所在组织存在技能差距，其中最常见的是云计算安全、AI/ML和零信任实施。近一半（43%）的受访者认为，公司内部存在一个或多个关键技能差距。报告称，44%的受访者表示，找不到具备合适技能的人才；42%的受访者表示，企业难以留住具有相关技能的人才；41%的受访者表示，缺乏招聘预算是造成这些技能差距的最大原因。

而更重要的是，裁员对技能差距的影响似乎比对人员短缺的影响更大。根据ISC2的数据，51%经历网络安全裁员的组织都受到了一个或多个重大技能缺口的影响，只有39%的组织不被影响。有趣的是，58%的受访者表示，可以通过填补关键技能缺口来减轻人才短缺的问题。

报告发现，各组织正专注于解决人才短缺和技能短缺等问题。72%的组织已投资于培训；69%的组织投资于提供更灵活的工作条件；投资于多样性、公平性和包容性（DEI）的组织，以及招聘、雇用新员工的组织，占比共达67%；使用技术自动化安保工作的组织占比65%。而这些都已被列为各组织议程上的重要内容。

ISC2指出，大环境上尽管出现了重大动荡，但网络安全从业人员似乎对自己的角色很是满意。近四分之三（70%）的受访者对自己的工作感到满足，这一数值与去年相比下降了4%；而82%的受访者表示，他们对安全团队成员之间的合作感到满意。

此外，数据还显示，安全团队配备在性别、种族、民族方面都发生了变化，其中，非白人男性的年龄变化最大。在美国、加拿大、爱尔兰和英国，30岁以下的人中，只有37%是白人；同时在过去12个月里，这些国家中2/3（66%）的安全人员是非白人。

显然，网络安全专业团队开始重视起了多元化的员工队伍，69%的受访者表示，包容性的环境对安全团队至关重要；57%的受访者表示，在未来五年内，DEI对网络安全团队的重要性将继续升高。

关于如何填补人才短缺，HPE的CSO Bobby Ford在最近的《HPE 2023网络安全年度报告》中，讨论了“组织该如何培养、发展安全人员”。Ford认为，“网络安全人才短缺”是错误的，他将这种情况称为“经验短缺”，而获得经验的唯一途径就是行动，因此他致力于为“被忽视”的人才打开大门，创建属于这些人才的网络安全职业重启计划。

该项目的关键因素在于打破了正常人力资源的衡量标准，Ford所在组织HPE会去寻找那些“因为缺乏入门级工作经验而被解雇”的人才。为此，HPE设立了一个为期六个月的内部项目，参与者可以在学习网络安全时获得报酬，并可在HPE内部成员的指导下从事基本的安全工作。

虽然此类本土人才计划的重点是招聘新员工，但CISO也必须关注该如何留住或提高现有人才。Ford对此强烈建议，他觉得企业该确保目前稳定的安全人员正处于巅峰状态，同时企业也需要对他们进行一定的投资培训。

而根据最近的沉浸式实验室网络劳动力基准报告，这点可能比人们想象的更重要。该报告强调：“经验丰富的安全人员更容易自满。数据显示，与具备相关经验的专业人员相比，初级员工更倾向于用复杂的安全实践来锻炼自己，因此他们更有可能掌握新的安全工具和威胁趋势。”

2023年7月31日，白宫发布了“国家网络劳动力和教育战略，释放美国网络人才”，此举与Ford的想法一致。该战略强调，需要制定一条能解决这些挑战的道路，并努力为工薪家庭填补网络工作。那么其中的挑战是什么？国外安全专家指出，其最大的挑战，是一个缺乏网络关注和“劳动力不够多样化”的教育体系。

Ford介绍，该计划有四个维度：

1、让每个美国人都具备基本的网络技能；

2、转变网络教育；

3、扩大和增强美国的网络劳动力；

4、加强联邦网络工作人员的队伍。

美国联邦政府有一个“网络军团服务奖学金”项目，能为那些学习安全相关领域的人才提供奖学金，同时国家安全局（NSA）为学院和大学提供了卓越的学术中心认证。对于那些需要学历或证书的职位来说，此举大大鼓励了众人的信心，而随着时间的推移，美国政府将把合格的安全人员输送到相应的管道中。

Ford表示，虽然白宫的倡议能大大提高未来的网络劳动力水平，但这还需要一定的时间；而在这当下，组织必须自食其力，自发改进安全团队发展内核，以弥补各种短缺。“组织也要缩小开放式网络职位在要求上的差距，我们必须创建本土解决方案，以确保现有的安全员工能获得培训机会，并接受公司内部或整个网络社区的指导理念。”

在技能短缺方面，国外安全专家Leonard Kleinman表示，组织可以实施以下几种方法：

Kleinman说，如果我们要妥善解决短缺问题，就必须扩大视野。网络安全适用于对技术感兴趣的人，因此我们必须撒下更大的网。“他们可能不会走传统的高等教育道路，因此我们必须找到具备执行能力的人才。同时，我们也要确保这些人知晓何为团结，能与团队进行良好合作，并有很强的道德操守。当我们把新人引入社区时，必须确保他们了解组织的各种界限。”

在网络安全领域，人们往往会关注性别问题，很显然，有必要让更多的女性参与这一领域，但多样性并不仅仅局限于性别问题。Kleinman对此表示：“人们具备不同的维度，地域、文化、年龄、宗教和种族。当我们引进新人时要去思考：来者在文化和适应度方面能给团队带来什么？他们能添加不同的文化特色吗？他们能带来新的想法和观点吗？此外，我们也要思考：在哪里可以找到这些人才？如何能确保他们得到了适当的培训？等等，这都是首要的思考内容。”

正式的导师制计划对目前的安全行业来说，可能是一个相对较新的概念，在识别具备网络安全技能、文化和道德方面，这是一个积极的推动。Kleinman解释：“导师制不仅仅有助于招募新人才，它也是持续培养和留住人才的一个主要因素。作为一名现场CTO，我一直意识到要为团队的新成员提供明确的职业道路，并制定具体的目标和指标。这是因为，人们需要知道他们的余生不只是跟踪警报，或去做重复、单调的工作。”

安全行业和其他职业相比，充其量只有30-40年的历史。在这种环境下，并不是每个领导层都有在前线工作的技术背景或经验。而重要的是，无论是在组织的高层还是底层，都要具备拥有技术、拥有商业头脑的人才，他们可为各层面的团队提供领导能力。“这不是要你成为一名网络安全专家，而是要有鉴赏力和理解力，让你可以处于专家的沟通范围内。”

随着自动化、机器学习和人工智能（AI）的发展，我们可以利用技术来帮助补充人力资源。“当然，这不是用机器取代人类，而是用机器解放我们的员工，并让他们从事更有趣、更具挑战性的工作。如果人们能够专注于对他们有实际意义的工作，他们将更容易被行业所吸引，也更愿意为工作付出。”

ISC2首席执行官Clar Rosso总结道：“虽然进入安全领域的人员数创下了历史新高，但现实情况是，我们必须将员工人数增加一倍，才能充分保护组织及其关键资产。而在当前复杂的威胁形势下，安全人员正面临着不断升级的风险挑战，因此组织必须对新人才和现有安全团队进行投资，使组织具备应对威胁形势的基本能力。”

这就意味着，在人才寻求方面，需要联结更多的领域，招募更多的人才，即使他们没有传统的教育背景或资格。同时这也意味着，要让安全行业、安全工作对不同背景的人才具有吸引力，并要为所有的员工提供快乐的工作环境、适合的安全工具，以及正确的培训和指导。

Kleinman对此表示：“建立一条解决人才短缺、技能短缺问题的管道需要时间，但我们依旧可以做很多事情。尤其是当我们意识到，优秀的安全人才不仅仅是为了降低风险，而是为了成为组织创新的战略推动者时，我们更应该看好这一前景，并为此奋斗。”

对于网络安全人员和网络安全技能短缺，企业该怎么办，国内安全专家如此建议。

知乎相关专家“乐言”表示，对于网络安全人员和网络安全技能短缺的问题，企业可以采取以下措施：

1、内部培训和发展。企业可以组织内部培训，提高现有员工的网络安全技能。这包括提供相关的课程、培训材料和指导，以帮助员工更好地理解和应用网络安全知识和技能。同时，企业还可以鼓励员工参加外部的网络安全培训和认证考试，以提高他们的专业水平；

2、招聘更多网络安全专业人员。企业可以通过招聘更多的网络安全专业人员来弥补技能短缺的问题。在招聘过程中，企业可以更注重候选人的网络安全技能和经验，并提供良好的工作环境和福利待遇，以吸引更多的人才；

3、合作与外包。企业可以与其他公司或专业机构合作，共享网络安全人才和技能。通过外包或合作的方式，企业可以利用外部资源来弥补技能和人员的不足，同时也可以获得更专业的支持和帮助；

4、定期进行安全意识培训。企业可以定期进行安全意识培训，提高全体员工对网络安全的重视程度，让员工明白网络安全的重要性，以及如何在日常工作中遵守相关的安全规定和操作流程。这有助于降低安全风险，减轻安全人员的压力；

5、增加对网络安全的投入。企业应该增加对网络安全的投入，包括资金、技术和人力资源等方面。只有加大对网络安全的投入，才能更好地保障企业的信息安全，提高网络安全人员和技能的水平；

某技术公司安全部经理于利新表示，一般像这样的情况有两种解决方式，第一种是企业招聘高阶的安全人才，用高级的安全人才去补充企业应有的安全人员或者在安全技能方面的缺失。另外，高级人才也可以去创建培训课程，把安全团队的人员或者是其他感兴趣人员培养起来。第二点，可以找寻专业的安全公司合作，由专业的安全公司提供年度安全服务，或者派一个人长期在公司驻场，解决企业在安全方面的问题。

业内资深专家尤其指出，目前我国在网络与数据安全领域，针对在职人员还未建立统一的继续教育和技能提升体系，大多数情况还是自下而上的自我需求的提升。在此情况下，企业更多地还是要发挥自身能动性，想办法提升员工技能。例如：

1. 可以将员工送出，进行脱产的继续教育学习，现在市面上也有很多这类的技能提升课程和证书评价。比如：CCRC的首席安全官，数据安全官等岗位技能评价证书；

2. 建立与高校和科研院所之间的技术交流机制，通过定期的技术交流，提升员工对前沿技术的了解；

3. 内部要建立员工技能提升激励机制，通过机制，鼓励员工参加学习，考取相关证书；

4. 建立同行业，跨行业的企业间交流机制，通过跨行业，跨公司之间的交流，取百家之长。

对于该如何弥补各种短缺，其实文化实施是很重要的一环，CISO或企业在安全部门内就可以进行一定的文化改革，因为安全从业者和其他岗位的人员一样，也会从薪资匹配、个人提升、团队氛围、部门地位等多个方面来进行权衡，因此适合的企业文化会对“填补安全技能”产生积极的影响。

另一方面，安全部门在企业的地位也很重要，地位的高低决定了安全团队的价值以及安全资源投入的倾向性，也决定了整个就业环境的趋向，企业在部门布置上的策略规划很大程度上可助力安全业的发展。

总结而言，安全态势在不断变化、安全技术也在持续更新，因此CISO应该结合内外部态势，不断引入新思路和新技术，这样才能提升安全团队的兴趣和见识面。同时牢记，重复的内容往往容易让人对工作失去兴趣。安全技能短缺已是事实，因此CISO要能提供资源，对员工进行能力培养。而由于安全涉及的知识领域比较广泛，入门门槛相对较高，所以要提供有效的培训和认证课程，这样才能帮助安全人员不断提升。