根据IANS和Artico Search的一项联合研究,2023年,美国排名前10%的网络安全人员的平均收入高达78.3万美元。
研究指出,尽管薪酬丰厚,但网络安全角色的职能往往涵盖了多个领域,比如其典型功能组合包括了IAM、应用程序安全(AppSec)和产品安全,因此对网络安全人员来说,薪酬和工作压力已成正比。
2023年4月至2023年11月,该项研究采访了563名安全从业人员,这些人员大多是来自于金融、医疗保健和技术部门的安全分析师和安全经理。
Gartner安全与风险管理总监兼分析师William Candrick表示:“全球网络安全人才短缺是一个长期存在的问题。仅在美国,最优秀的网络安全从业人员也只能满足组织72%的需求,这一数值是十年来的最低点。不幸的是,网络安全中的劳动力市场供求问题不会很快得到解决。因此,网络安全负责人和安全团队往往身兼数职,他们所背负的工作时间和工作压力也是十年来的最高。”
该研究还强调,在薪酬差距持续存在的情况下,各个安全领域的人员多样性将有所改善,而组织所给予的认可和工作津贴则有助于留住人才。
从研究报告来看,网络安全总监、安全经理、安全架构师、安全工程师和安全分析师都获得了丰厚的薪酬,其中有四分之一(前10%-25%)的人员年薪要远高于其职位的平均工资。
研究补充道:“受访人员中不同职位的前四分之一,其总收入要远高于薪酬中位数。在许多情况下,10%收入最高人员的年薪平均值是中位数总薪酬的三倍,这表明每个职位内部的薪酬差距都很大。”
对于网络安全主管来说,平均每年的总薪酬为330,000美元,他们每年收到的现金薪酬为250,000美元。对于更有经验的高级主管和那些比主管拥有更大控制权的人员来说,他们的薪酬分别为402,000美元和325,000美元。
企业管理协会研究副总裁Chris Stefan对此表示:“安全人员的薪酬将会继续增加,这是显而易见的,尤其是考虑到这些专业人士需要精通各种不同的IT和GRC学科,组织在市场上通常很难找到这些能满足要求的人才。”
此外,研究报告还显示了,高级主管中,25%收入最高人员的平均薪酬为424,000美元,而10%收入最高人员的平均薪酬竟高达783,000美元,此数值是该职位中位数薪酬(353,000美元)的两倍之多。
而网络安全架构师、经理、工程师和分析师的平均年薪分别为256,000美元、183,000美元、174,000美元和118,000美元,其中包括了相当于他们基本工资15%至40%的股权价值组成。
另一方面,安全领域具有更好的性别多样性,女性受访者在GRC职位中占40%,在IAM职位中占25%,在A&E职位中占19%,在SecOps职位中占据10%。尽管女性安全从业人员的平均薪酬差距依旧保持在7%,但随着行业不断完善,此差距将被缩短。
根据这项研究,在接受调查的受访者中,有42%的人负责多个网络安全领域的工作,其包含了应用程序安全(AppSec)、产品安全和身份识别与访问管理(IAM)。
报告指出,在应用程序安全(AppSec)工作人员中,74%的人同时也会负责产品安全,67%的人则参与了IAM。而在产品安全领域,支持IAM的受访者占比是63%。
Steffen表示:“这份报告证实了大多数安全专家的观点,即最优秀的安全从业者一般都是IT全才。道理很简单,安全人员若无法对所有要保护的信息系统有所了解,又如何能确保组织的安全性?虽然总会有专注于某个特定领域的安全专家,但大多数组织并没有这种奢侈的条件,可以一一去雇佣那些专家。因此,对组织而言,他们更希望能具备一名对IT各领域都有所了解的全才。”
然而,Candrick认为,对于安全从业人员来说,这种多功能性要求有时可能会过分。“虽然这种额外的工作内容可以促进专业发展,并使得职业不断成长,但这也会导致职业倦怠和精神健康问题。事实上,网络安全行业正面临着严重的精神健康危机,而人才短缺正是这一趋势的主要驱动力。”
随着网络安全工作的要求越来越严,留住人才成为了组织所面临的关键挑战。研究发现,有助于提高留任率的前两个激励因素是员工认可和工作津贴。Candrick指出:“组织只有去与投资网络安全相关的个人复原力计划,才会对人员倦怠问题有所帮助。就像Gartner所预计的那样,网络安全行业将从更通用、由人力资源驱动的健康管理方法,转变为专门针对网络安全专业人士实施的个人复原计划。”
此前,安在新媒体也对43位甲方从业者的年薪状况做了相关调查:43位甲方亲述网络安全的收入、预算和焦虑。
从结果来看,我们发现甲方安全从业者们对于自身薪资结构、工作压力等方面各执一词,有的认为网络安全因为企业的重视开始蒸蒸日上,有的认为企业裁员、降薪以及外部恶劣环境所带来的结构性压力使安全工作难以开展,安全从业者举步维艰。如此两极分化的评价如同“小马过河”一般,让想要加入安全领域的高校毕业生及非专业人士难以分辨。
比如某安全专家表示,自己的年薪在35万人民币,但其对组织的看法是:“公司不给人,不给预算,老板不懂安全,只会乱选产品。”
还有安全总监表示,虽然自己的年薪在70万人民币,但自己时常感到焦虑,因为大环境和行业在持续走低,业务萎缩,部门里也开始了裁员。
而某女性安全总监则指出,对于安全行业而言,进步空间小,安全做再好也不做到核心管理岗位。因此,她表示自己会认清现实,拒绝躺平,不管到什么年龄都会坚持学习。“付出要对得起自己的收入。”而她的年薪在50万人民币。
最后,基于43位甲方安全从业者的回馈,可以总结出几点:
1.男女比例有明显失衡;
2.北上广深安全岗位相对较多;
3.年龄大多超过30岁,但各层职级均有;
4.2023年收入集中在10万-120万之间;
5.工作稳定情况不一;
6.工作压力普遍较大;
7.2024年安全预算有增有减;
8.自评参差不齐,有完蛋啦、躺平观望、未来可期等多种状态。
对国内外安全人员的薪酬差距暂不评论。但对于业内一致认为的压力变化和倦怠问题,国内外安全专家都发表过不同的建议和看法。
比如IANS研究总监Nick Kakolowski曾说过:“对CISO来说,他们会将职业满意度归因于‘企业管理层对网络安全的承诺’,因为在CISO看来,组织能够重视他们的信仰,就是对他们而言最好的回报。正如大多数安全人员之所以会选择这行,是因为对‘能找到漏洞’‘能守护好系统’这些行为本身有着义无反顾的精神。从根本而言,没人愿意自己被称为‘成本中心’,是因为社会需要,所以他们才愿意担起责任。”
再比如,GuidePoint Security的CISO兼顾问Brian Betterton对组织提出了这样的建议,他说,高管和董事会成员必须重新评估他们对CISO职位的认知,不要只会按着绩效指标衡量工作结果,要多去评估关系、报告结构、资源、工作量和CISO的心理健康。“各组织最好能优化当前CISO的有效性,而不是想着‘有钱能使鬼推磨’,多换几个CISO就行,因为接下去越来越多离开安全行业的人员会站向组织的对立面。”
关于安全人员的压力问题,国内安全专家姚俊先曾说,有压力才有动力,有动力才有荣誉。所以他建议团队要树立统一的奋斗目标,共同成长,内部做好对应分工协作机制,建立安全团队人才梯队,培养和储备骨干,才能长期应对压力带来的挑战。同时,安全负责人也需要将安全实施推动,完善对组织其他部门的安全培训,因为外部所带来的压力不能由安全部门独自承受,而是要让组织从上到下都重视起安全,这样压力才会被分摊,安全团队才能有更多的精力去应对威胁。
当然,获得工作资源也可以让个人对自己的工作有更大的控制感,这有助于减少压力和焦虑。所谓工作资源也可理解为权力,也就是说企业要给予员工“权责对等”的工作环境,这可以提高员工的动力,从而防止倦怠的发生。当下许多安全部门没有足够的权利,因此总在落地方案时寸步难行,很多时候安全部门的压力就来自企业本身,若企业没有良好的制度提高安全的实施率,那压力自然会加增到安全人员的身上。
对于国内安全人员的年薪和压力问题,安全专家们如此建议。
某科技公司实验室负责人王延辉表示,国内安全人员当下的年薪是普遍较高的,这主要是因为随着网络安全威胁的增加,国家和企业对安全越来越重视。企业对安全人员的需求也在不断增加。安全人员需要具备专业的技能和经验,因此他们的薪资水平相对较高,也应该较高。
此外,在安全压力方面,王延辉认为该有两个方面的考量:
1、如果是对自身未来职业的顾虑,可以考虑持续学习,提升自己,加强理论和实践的双重进步。充实自己的过程回降低焦虑感,也会赢得未来的主动权。
2、如果是对所在公司的安全现状的顾虑,可以考虑整体评估,全面规划,然后根据公司实际可投入资源以及对安全风险的接受程度,来逐步按计划推进安全防御计划。兼顾安全提升和企业实际情况。
某互联网企业安全专家郑欢表示,安全人员的年薪因行业、地域及岗位的不同,会有较大的差异。疫情前几年,得益于近几年国家政策法规的出台,HW行动等活动的推动,安全人员的整体薪资情况在IT行业属于相对较高的水平。但随着疫情三年带来的全球经济衰退、国际地缘政治冲突加剧的影响,不管是甲方安全团队,还是作为乙方的安全厂商,缩编、降薪、减员已成为常态,安全从业人员也需要适当调低薪资预期,同时做好自身的职业规划,紧跟科技发展方向,在不断提升专业水平的同时,也要关注工作成果转化为业务价值的能力。
而对于安全压力,郑欢表示,这是一个老生常谈的问题了,既然选择了安全行业,高压的工作环境就是一个不得不面对的事实。为此,郑欢觉得可以从以下几个方面释放、缓解自己的压力;
1、有效的目标管理,制定的目标合理,而非要不能及,同时做好对上、对下及横向的沟通工作。对上应提供合理的目标预期,且获得相应的资源和授权;横向关联好其他部门的目标,获得更多的支持;对下做好目标分解和对齐,确保大家劲往一处使;
2、通过持续的风险评估和有效性验证等手段,了解清楚自身安全体系的短板,有针对性的提升安全水位。风险低了,压力自然会适度减轻。同时,不要忽略了员工安全意识的培养,弱口令、网络钓鱼常常成为低成本、高回报的攻击方式。也是很多企业在堆砌了大量高端安全产品后,容易被忽视的安全弱点。
3、提升软技能,包括文档能力、沟通能力等,不管是推动工作落地,还是想领导汇报,都需要简短准确的表达、清晰易读的文档等,不过现在LLM在这方面提供了很大的便捷,不用再为文档烦恼;
4、拥有自己的爱好,最好其中的一个爱好是一项运动,长期保持运动能够有效减压,保持身心健康;
5、保持好心态,毕竟,生死之外无大事。
九方云业务安全负责人刘欣表示,在信息安全行业,甲方和乙方的信息安全人员年薪因角色、经验和技能差异而有所不同。甲方的安全负责人负责制定策略、管理团队,年薪在几十万至数百万人民币之间;信息安全工程师执行日常安全操作,年薪大致在15万至60万元区间,随经验与专长增长。乙方的项目经理或高级顾问提供客户解决方案并推动项目实施,年薪同样可达几十万至数百万人民币;信息安全工程师承担技术支持、漏洞扫描等工作,年薪也在15万至60万元人民币范围内,且具备特殊技术能力者薪资更高。实际年薪受地域经济、行业状况、供需关系及个人背景等多因素影响。
而在压力问题方面,刘欣认为要从两方面来理解,其分别为就业压力与工作压力。
另一方面,安全人员在应对工作压力时,刘欣建议,安全人员要持续技术学习以适应威胁环境变化;合理规划工作负载与团队协作减轻压力;明确职业定位并制定发展计划;积极心理调适保持工作生活平衡;参与行业交流拓宽资源和视野。
结合国内外各行各业的发展趋势来看,确实部分安全从业人员的平均薪资较高,待遇较好,但反观薪资待遇不那么理想的安全从业人员,他们一样为企业殆精竭力、呕心沥血,可为什么他们的工作回报会偏低呢?这在同样要经受倦怠、压力、经济下行的环境中,确实更让人觉得雪上加霜。其在国内更甚。
因此,这也就导致了“一半海水一半火焰”的现象,火焰之中的安全人员看到了国家对安全的重视度,认为安全行业一定会蒸蒸日上,安全从业人员的未来也一定会越发辉煌;而海水之中的安全人员则逐渐平静,他们只感受到了安全赛道在不断被稀释,人工智能等新型领域都在瓦解企业对安全的关注。
那到底是什么导致了如此结果?其根本原因和底层逻辑在哪儿?同时,对于这样的情况又有什么较好的改善措施?欢迎大家来讨论,踊跃发表自己的观点。
https://www.csoonline.com/article/1310710/top-cybersecurity-salaries-shoot-past-780k.html
作者:
Shweta Sharma
资深记者
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...