致 ISC2 董事会的公开信

在我发文批评ISC2忽视许多网络安全专业人士面临的困境后，ISC2执行CEO Debra Taylor回复了一个链接，指向她在ISC2安全大会主题演讲中引用的数据，称目前需要超过100万名新的网络安全专业人士。我查看了该参考资料，发现与她的说法完全相矛盾。甚至其中的一个参考链接——2023年劳动力研究报告——显示去年预计会出现裁员。这是一个严重的问题，暗示了数据的严重误导，无论是否有意。有意的话暗示缺乏道德，不小心的话则暗示无能。这两者都是不可接受的。

大约有20万人浏览了我的帖子；没有与我的解释相悖的回复，同时显示出对ISC2的普遍不信任。最能说明问题的是ISC2前董事会成员和员工的支持。

作为背景，我的 CISSP 编号是 3116。它可能是 ISC2 最早的有效认证。由于当时还没有考试，所以我是元老级的。ISC2 是由 ISSA 的成员创立的，他们希望在这个新兴的行业中建立专业性。该认证并不完美，但我仍然认为有必要建立一个基本标准，以区分专业人员和爱好者。我曾经认识 ISC2 管理团队的大部分成员，但随着人员的大量更替，我目前只认识其中的 3 个人。这一点之所以重要，是因为运营员工似乎并不了解这个行业，而是将 ISC2 视为一个普通的组织/企业。

ISC2在数据呈现方面的问题，主要问题在于“需求”（Demand）和“需要”（Need）两个词的使用。ISC2提到4.8百万人的“劳动力缺口”，并特意且错误地将其称为4.8百万人的“需求”（Demand）。这是一个基于ISC2假设的雇主需求而非雇主实际愿意雇佣和支付的假想缺口，后者才是“需求”的定义。这是一个重大问题。

即使假设 ISC2 确定的"需要NEED"是准确的（这已经是非常慷慨了，因为对 "差距 "甚至实际就业人数的计算方法都没有充分的说明），它也不是 "需求DEMAND "。在 ISC2 的文件中，可能是我见过的字体最小的免责声明：

ISC2网络安全人才缺口是对全球范围内充分保障组织安全所需人才数量的估计。劳动力缺口并不是对现有开放职位或网络安全工作的估计。

他们承认其数据并未反映就业的现实。全球网络安全就业增长停滞。他们自己的数据显示全球网络安全专业人士总数增加了4,442人，年增长率为0.08%。虽然中东和亚洲大约增加了6万个职位，但北美、拉丁美洲和欧洲减少了6万个职位。这一趋势至少已持续了三年。因此，并不存在所谓的“需求Demand”缺口。

ISC2在知情的情况下，还大肆宣扬就业市场充裕的假象，在我看来，这既不道德，也是对长期失业的会员的侮辱。坦率地说，当 ISC2 暗示有 480 万个空缺职位时（这显然是他们正在做的事情），该组织就失去了几乎所有熟悉就业市场的网络安全专业人士的信任。

ISC2并非以利润最大化为目标的独立供应商。它是作为一个非营利性组织成立的，旨在为专业团体提供服务。我不会天真地认为情况不会改变，也不会认为没有必要增加收入。ISC2仍然受制于行业成员，他们非但没有为社区服务，反而滥用成员的声誉，误导那些天真无邪的入门级人员，让他们相信人们会向他们高薪砸钱。

这种商业模式，显然是要说服 100 万初级人员向 ISC2 支付 50 美元/年的费用，以更新他们即将获得的 CC 证书，让他们对高薪职业和无尽的就业机会充满憧憬。这本来是OK的，但他们在误导目标受众，更糟糕的是，公然撒谎，让他们不了解目前从事这一职业的现实情况。

由于 ISC2 本身显然处于动荡之中，以下是我向董事会提出的建议。ISC2 应该：

• 停止对“估计”“缺口”的明显虚假宣传，专注于解决就业前景的现实情况

• 开展和促进有关实施适当的网络安全计划的经济效益的研究，以增加“需求Demand”来满足“需要Need”；

• 宣传聘用认证人员的好处

• 努力帮助长期失业的成员

看来，ISC2 正在失去信誉，同时将自己变成一个掠夺性的企业。CEO已被撤换，现在志愿董事会需要介入，制止这些近乎欺诈的行为。有人已经提出了集体诉讼的想法，而事实上讨论集体诉讼是一件非常糟糕的事情。

ISC2已经失焦，董事会需要将其找回来。虽然董事会成员通常都是走过场，但如此大规模地曲解数据并误导人们，表明董事会需要更积极的监督和行动。比起 5000 万美元，ISC2 更需要信誉。 

难以置信，我是第一个详细查看数据的人。

Ira Winkler，ISC2一再表示愿意与您讨论您的主张和我们的战略。这一提议仍然有效，正如对所有希望以真诚态度参与并理解我们方法的成员一样。

我们的协会及其所有工作旨在支持我们的会员，我们的许多员工也是会员。我们董事会完全由会员组成，负责管理这些活动。我们集体的主要职能是确保CISSP等认证的长期可行性和声誉。同时，我们大量的工作也旨在鼓励政府和雇主创造更多的网络安全岗位，因为我们认为全球的网络安全专业人员还不足以保护全球资产。

我们的《劳动力研究报告》估计，为了有效保护资产，全球网络安全劳动力应该几乎翻一番。该研究只是我们倡导和鼓励创造更多网络安全及相关岗位的一种方式，这将使已经在该领域的所有人受益。该研究使我们能够向全球政府和组织传递来自超过15,000名全球网络安全专业人士和会员的观点，他们认可我们的数据和洞察力的价值。

通过CC计划培养进入网络安全行业的初级人员，只是解决该领域持续且多面临人员短缺问题的一部分。我们承认当前正处于一个具有挑战性的就业市场中，但我们仍坚定不移地鼓励和帮助全球个人为各级网络安全岗位做好准备。

顺便提一下，CC的角色不仅仅是为初级员工设立的，它还旨在鼓励从事网络相关岗位的人通过认证，提升更广泛的工作人口的网络安全意识。CC考试者的平均年龄在40岁左右，许多人从事IT或相关领域工作。这些人属于网络相关岗位，他们希望拓宽技能，了解更多网络安全知识，从而有益于他们自己的工作，并在某些情况下转向网络安全岗位。我们并没有通过数据误导人们，也没有创造无法满足的巨大需求。相反，我们试图强调该行业需要增长，并为人们加入该行业创造路径。