对于网络安全专业人士来说,2023 年充满了机遇和担忧。好消息是,根据2023 年 ISC2 全球劳动力研究,从事网络安全工作的人数已达到历史最高水平:550 万人。然而,同一项研究报告称,仍然存在严重不足。为了最好地应对威胁形势的挑战,劳动力需要以每年 12.6% 的速度增长。在 2023 年的研究中,它仅增长了 8.7%。
比约 400 万网络安全专业人员的短缺更令人不安的是招聘放缓和裁员的增加。ISC2 研究发现,近一半的受访者表示,他们的公司已经面临裁员、削减预算和/或冻结招聘的问题,预计 2024 年经济增速将进一步放缓。
这真是一个悖论。由于网络威胁、新攻击者和攻击媒介的增加,对熟练网络安全劳动力的需求比以往任何时候都更大。职位空缺。然而,迫在眉睫的经济衰退威胁使得雇主在组建安全团队时过于谨慎,部分原因可能是因为只有一个温暖的人选是不够的;还需要更多的人来填补安全团队的空缺。潜在员工不具备有效防范当今最大风险的适当技能。
那么,进入 2024 年,对网络安全劳动力的需求是什么?需要哪些技能以及潜在的网络专业人员面临哪些障碍?
员工在寻找什么
在谷歌上搜索网络安全职位后,出现了数百条搜索结果。第一页上有招聘网络安全管理员、网络安全分析师、网络情报分析师和网络安全工程师的广告。
询问生成式人工智能工具,了解雇主在网络安全劳动力中寻找的最高技能,使用来自 Indeed、LinkedIn 和 Coursera 等招聘网站的信息得出的最高结果包括:
-
脚本和编程语言
-
入侵和威胁预防
-
风险识别和管理
-
信息安全与保证
-
一般安全操作
-
威胁分析
-
这些描述强调了网络安全专业人员在寻找新工作或开始职业生涯时面临的最大问题之一。职位名称没有标准,职位要求也相当笼统。入门级职位通常需要多年的经验以及CISSP、Security+ 和 CISA 等认证。
随着政府机构、承包商和军队加强网络安全防御,一项关键要求往往成为雇用合格申请人的障碍:安全许可。
加利福尼亚州雷德伍德城峰会公立学校信息技术管理员约瑟夫·杨 (Joseph Yang) 表示:“有许多网络安全工作需要审批,这意味着这些职位的主要渠道来自军方,而且往往没有实际的技术专业知识。” LinkedIn 消息。
获得安全许可是一个复杂的过程,在接受工作邀请后开始。批准许可可能需要一年或更长时间,并且批准存在一些取消资格的因素,例如公民身份和信用评分不佳。
谁最需要网络安全专业人员?
每个企业,无论行业或规模,都需要考虑网络安全。但有些行业比其他行业面临的风险更大。需要强有力的网络安全政策和实践的行业是金融、医疗保健和能源。这三个行业都是受到严格监管的行业,必须遵循严格的合规准则来保护客户数据。由于信息和金钱利益的宝库,医疗保健和金融长期以来一直受到攻击者的欢迎。能源在这里似乎是一个异常值,但能源和公用事业基础设施近年来已成为勒索软件攻击的目标。
但随着威胁形势的变化和新技术推动新行业的发展,风险水平正在向不同行业转移。据Cyber Degrees称,目前对网络安全需求最为迫切的行业是数字资产、电子竞技和人工智能技术开发行业。风险增加的行业包括制造业、专业服务和教育。
提高工人技能
有时,最好的网络安全员工一直在公司内部。事实上,Blue Mantis 的现场 CISO 罗伯特·菲茨杰拉德 (Robert Fitzgerald) 建议培训新的网络安全专业人员。在电话交谈中,菲茨杰拉德指出,专门为您的组织培训人员意味着您确保您拥有一位了解您组织的安全需求的网络专业人员,并且他们不会从过去的工作中带来任何坏习惯。
提高技能是大型企业和政府机构长期以来一直在做的事情,因为研究发现,对员工进行新任务培训可以提高整体保留率。可能已经使用 MSSP 来满足大部分网络安全需求的中小型企业也可以利用技能提升来确保他们拥有一些内部经验,甚至可以帮助其他员工进行安全意识培训并改善整体网络卫生。许多网络安全供应商提供针对其产品的培训计划,而其他供应商则提供基于技能集的供应商中立培训。网络安全和基础设施安全局 (CISA)和ISC2等组织也提供培训选项。
网络劳动力的技能
每个网络安全专业人员都需要了解一些基本的硬技能。操作系统、构建基础设施和数据库、编码语言以及了解计算机网络基础知识方面的技术技能是必须的。
但网络安全正变得更加专业化。更需要了解云计算以及云安全和信息安全之间的差异的人。人工智能将对网络安全提出新的挑战,因此需要那些既能实施人工智能又能防御新威胁的人。数据分析师、进行渗透测试和应用程序开发的白帽黑客也是需求不断增长的技能。
组织需要具有治理框架经验的网络安全专业人员。现在,几乎每个行业都必须满足至少一项政府合规标准,而且每年都会出台新的法律。虽然CompTIA 的一项研究发现,治理并不是受访者所需的高级技能,但合规性质的变化意味着公司将需要具备此技能的人员来制定战略并确保安全措施符合法规,以避免处罚和巨额罚款。
不要忘记软技能
软技能可能与技术技能一样重要。网络安全需要沟通,因此网络安全专业人员需要良好的口头和书面沟通技巧以及与人们面对面合作的能力。ISC2 的调查将沟通技能列为第二大需求,紧随云计算安全之后。良好的网络技能至关重要。如果与安全团队的互动威胁到组织的其他员工,网络安全工作就会失败。
请注意,技能确实会过时并失宠。ISC2 报告发现,对正规网络安全教育的需求较少,尤其是高级学位和高级网络安全概念知识。实践经验变得越来越重要。
从事网络安全职业最重要的要求是兴趣。技术是可以学习的。软技能是可以练习的。但无论您的背景如何,如果您对围绕威胁行为者行为建立知识并制定保护数据和网络的策略感兴趣,那么您已经迈出了成为网络安全专业人员的第一步。
评论