网络安全人才队伍达到顶峰了吗？

ISC2s 最近发布了其最新的劳动力分析报告，报告继续关注“所需”网络安全专业人员数量与当前劳动力估计数量之间的差距，这引发了强烈讨论。

在与数十名失业的网络安全专业人员进行讨论后，CYE Security CISO Ira Winkler向 ISC2 写了一封公开信，批评 ISC2 一直将缺口作为衡量真实需求的标准。Experian 的高级信息安全经理 Ben Rothke 也对这些数据以及推动网络安全培训项目的营销方式提出了质疑。

网络安全人才市场并不健康，北美和全球的网络安全人才数量一直处于停滞状态，原因是缺乏支付网络安全人员的预算。ISC2 甚至在其报告中也指出了这一点。从本质上讲，无论企业多么想雇佣更多的网络安全专业人员（ISC2 调查的 59% 的专业人员声称需要熟练工人），预算都很紧张，而且花在了其他地方，导致对网络安全人员的需求停滞不前。

温克勒说，现在是时候与未来的网络安全专业人士坐下来进行一次现实世界的谈话了。

“我的直觉是，无论有多少空缺，这都不应该是 [ISC2] 的关注点——他们应该担心那些长期失业的成员，这样的人有很多，”他说。“许多人听说有这么多空缺，却得不到一个工作，真的很沮丧。”

多年来，许多组织在估计网络安全劳动力规模（及其潜在规模）时发布的报告都关注“网络安全劳动力缺口”，即安全经理声称所需的员工数量与他们实际拥有的员工数量之间的差距。这种明显的差距吸引了潜在的学生来接受培训——或者越来越多地再培训——以获得网络安全工作。10 月下旬，当 ISC2 发布上述“2024 年网络安全劳动力研究”报告时，该组织估计北美所需的网络安全工人缺口已增长 4%，达到 543,000 人，而其对现有劳动力的估计则缩减了 2.7%，至 145 万人。

业内观察人士表示，总体而言，网络安全就业市场仍然面临诸多问题，包括需求估计过高、缺乏明确的职业道路以及培训水平不高。

ISC2 对 15,8000 多名从业人员和决策者进行了调查，旨在确定全球企业需要多少网络安全专业人才。但是，即使大多数受访者声称需要雇佣更多人手，当结合其他数据（例如职位空缺和政府数据）时，ISC2 指出，全球“网络安全劳动力增长正在放缓”，增长率基本稳定在 0.1%。

不过，根据相同的数据，全球网络安全工作者的缺口估计为 480 万。

“需要澄清的是，这并不意味着有 480 万个工作岗位，”ISC2 首席信息安全官 Jon France 承认。“这意味着，通过询问近 16,000 人并使用二手数据来源，估计要达到我们所需的安全水平，需要有 480 万人进入市场。”

2023 年，北美的网络安全劳动力数量达到顶峰，全球范围内已趋于稳定，而全球总体“所需”劳动力数量则持续增长。资料来源：作者使用 ISC2 的《2021-2024 年网络安全劳动力研究》中的数据

Cyberseek 是认证机构 CompTIA、劳动力分析公司 Lightcast 和美国国家标准与技术研究院 (NIST) 合作成立的一家公司。据 Cyberseek 网站显示，该公司估计，美国有 457,000 个与网络安全相关的职位空缺，总从业人员为 125 万人。曾就职于 Lightcast、现任培训和咨询服务公司 Cyberwarrior 劳动力解决方案高级副总裁的 Will Markow 表示，该分析将任何承担重要网络安全职责的员工都算作与网络安全相关的人员，并侧重于计算实际发布的职位，同时强调重复计算。

“这让我们了解到实际有多少个职位，而不是公司希望有多少个职位，”他说。“你可以把这些估计值看作是两个极端：它们都显示出差距，但 Cyberseek 的数据将显示一个较小的差距，因为它关注的是公司积极招聘和试图填补的职位数量，而不是在理想情况下，如果安全领导者有尽可能多的预算，他们会招聘多少职位。”

求职者可能也与幽灵招聘信息趋势相悖。近一半的招聘经理承认，即使他们不想填补某个特定职位，也会保持招聘信息开放。根据Clarify Capital 开展的一项调查，这种方式被用来激励员工，给人留下公司正在发展的印象，或安抚过度劳累的员工。

这些幽灵工作对于网络安全求职者来说尤其是一个严重的问题，一家简历网站估计，英国 46% 的网络安全分析师职位是永远不会有人填补的职位，而所有职位中这一比例约为三分之一。

ISC2 的数据显示，预算也越来越紧缩，近一半的安全团队 (49%) 在过去一年面临预算削减，高于 2023 年的 48%。预算削减包括 38% 的公司遭遇招聘冻结、37% 的团队面临预算削减、晋升冻结 (32%) 和裁员 (25%)。

信息技术认证机构 ISACA 的专业实践和创新总监乔恩·布兰特 (Jon Brandt) 表示，经济压力是所谓的工作未能实现的另一个原因。

“人们可以对任何调查做出回应，我们还需要 20 个人，”他说。“但归根结底，除非一个组织正在采取积极的措施来招聘，否则这不是我们现在应该关注的数据点。”

对于没有丰富经验的入门级员工来说，情况尤其严峻。Cyberseek 的职业发展数据显示，对员工的需求呈倒金字塔形。入门级职位较少，约有 20,000 个职位，而中级职位有 34,000 个，高级职位有 73,000 个。

Experian 的 Rothke 表示，入门级网络安全专业人员的需求并不高，因为大多数安全职位都需要自动化，而且人工智能使问题更加严重。

“从某种程度上来说，入门级安全是一个错误的说法，”他说。“安全职位实际上并不是入门级的，因为招聘经理希望你拥有这种 IT 技术水平。所以花几年时间积累工作经验，然后你就可以进入安全领域了。”

拥有丰富技术经验的求职者仍然很抢手，而刚刚完成学位课程的求职者则发现求职更加困难。

虽然技术人员在行业中仍然有很大的潜力，特别是随着未来职业的扩展，求职者目前没有得到很好的服务，网络安全招聘人员Jeff Combs最近在与ISACA的Brandt进行流媒体讨论时表示。

库姆斯说：“我认为，对许多进入这一领域的人来说，一个伤害是这个令人兴奋的新领域的承诺，如果你完成了学位，或者你参加了这个训练营，或者你获得了这个特定的认证，你就可以保证进入每年10万美元的职业道路。老实说，我认为这是犯罪。”"

最后，在安全预算的经济压力之间，没有充分考虑培训的管道，以及努力提供正确技能组合的培训，网络安全专业人员的劳动力试验可能会继续，Cyberwarrior的Markow说。

他说：“我现在喜欢把它看作是两个就业市场的故事，因为一方面，你确实看到了网络整体差距的有力证据，但有两个不同阵营的工人有着截然不同的求职经历。”

他补充道：“许多公司仍然要求提高经验要求，提高学位要求和提高认证要求，这些要求有效地限制了网络安全人才管道，这意味着我们实际上在不同的员工队伍中看到了非常不同的动态。"

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁 多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！