跨部门培训认证能否改善企业网络安全窘境？

Nigro说：“在HCSC时，我们开发了一条提升技能和加强认证的职业道路，其可让员工的技能在职场上互补，目前我已将这套方针运用进新的工作环境。我的建议是，安全部门可以和其他部门一起进行交叉培训，以推动企业前进或说推动个人前进，因为按当前的趋势来看，网络安全对任何部门员工在综合素质上的提升都是有益处的。此外，认证是员工提升技能的一种途径，但我并不认为认证就是技能培训的终点，我觉得它更应该是起点和基础。”

Nigro是刘易斯大学的兼职教授，平时授课研究生级别的安全、风险和治理，同时她还是ISACA的董事会主席和副总裁，在ISACA时她会教授网络安全基础课程，该课程专门为没有安全背景的人员而设计，也是获得信息技术认证助理（ITCA）证书的必经之路，想要通过ITCA认证需要具备五个基本要素的测试：计算机概念、网络和基础设施、网络安全、软件开发和数据科学。

根据CompTIA于2023年4月发布的劳动力和学习趋势调查，75%的受访者表示，他们计划通过增加培训和认证来扩大安全人才的流动。CompTIA行业研究副总裁Seth Robinson表示：“对于那些试图解决供需技能失衡的公司来说，这是一个极好的选择。在这样的模式下，企业可以雇佣一个从未接触过技术工作的员工，经过适当的培训后，可以试着让他们从事安全工作，一开始他们会从基础的安全工作做起，如果他们的能力足够强大，他们就可以晋升到更高级别的安全和合规职位。”

根据国外安全专家的说法，越来越多的组织在研究如何提高员工的技能，并通过培养内部人才来扩张他们的安全团队，同时根据员工现有技能匹配不同的安全角色，以确定员工之后该获得哪种认证，这也能算是一种职业规划。网络安全咨询公司security Curve的创始人戴安娜·凯利建议，要想成功将非技术员工提升为安全角色，正确规划这条道路很重要。

美国 Big Brothers Big Sisters 的CSO Travis Gibson表示，自己重新考虑过安全对于职位本身来说意味着什么。“比如，为什么担任此职位需要至少几年的经验？又为什么一定要大学学位才能担任安全职位？这些要求本身有意义吗？”

这种态度和立场使得Gibson将其组织的IT员工视为安全团队的人才库。他说：“虽然IT人员属于技术人员，但我想表达的是，若所有部门是一个整体，彼此之间环环相扣，那就一定有共通的地方可以相互借鉴、相互学习，非技术人员和技术人员在公司共事的层面上，并没有多大的鸿沟需要跨越。”

另一方面，Gibson 承认，IT 人才确实同样不容易找到，但他表示，招聘 IT 员工并不像招聘安全专家那么难。他还指出，对于像他这样的安全主管来说，与公司CTO建立良好的关系至关重要，这样从IT部门招聘人才不会被视为偷猎。“一样的道理，财务能不能进安全部门？或者在安全部门之外扮演安全人员的角色？人事呢？运维呢？行政呢？其实大家差的只是基础知识而已。”

凯利对此表示：“如果企业想让员工从其他部门进入技术安全领域，请确定员工本来的职能和他将要负责的安全工作之间，有着怎样的差异。比如企业需要一名产品安全人员，企业可以因此培养产品工程师或产品经理的安全技能，因为这些员工知晓产品是如何工作的，但缺少的是安全基础知识。也就是说看清职能之间的关联性很重要，这对于那些将要迎接新挑战的员工而言，也是必须得有所认知的一环。”

在技能提升方面，Kelley建议员工可以去获取CompTIA安全+认证，该认证没有其他先决条件，同时员工可以从与之相关的计算机网络基础知识课程中受益，当然也可以从a+或Network+认证开始，此认证和CompTIA认证相互关联。

除了CompTIA和ISACA认证外，SANS研究所还开设了几门课程，旨在提高网络新手的技能，包括新的GIAC基础网络安全技术（GFACT）认证和GIAC信息安全基础认证（GISF）。

SANS课程主管Rob Lee表示，SANS还开设了数字取证和云计算的入门课程，后者是当今最热门的培训课程之一。他还指出，为了提高技能，云计算课程还有额外的拓展，比如云架构或云笔测试课程，以及特定的云环境场景运用，如AWS、Azure或Google，Google最近还在其职业证书计划中，增加了一个为期六个月的网络安全证书。

其他专业领域，包括ICS或SCADA系统的安全技能，以及财务系统审计员，为了将技能适配至其他部门的员工， Lee建议企业可使用SANS网络人才技能评估，他说：“SANS网络人才评估可为管理者提供识别团队技能、匹配绩效和培训投资的具体方案。如果企业想培养某员工成为安全人员，评估将有助于确定此员工适合怎样的安全道路，这样企业就可以为他准备好更适合的培训和认证了。”

虽然提高现有员工的技能，提高他们的认证水位，有助于组织留住这些人才，但网络人才搜索公司CyberSN的首席执行官Diedre Diamond警告说，切不可将技术人员转移到安全领域的入门级职位，因为这些职位的薪酬和地位过低，可能会引起员工的不适。她补充道，比如提升金融分析师的合规能力，无论是把他当做网络风险分析师还是GRC分析师去培养，这都需要更高级别的认证，认证水位越高，能担任的职位就越高，所获得的薪酬也就越高，否则谁又愿意放弃原本熟悉的岗位而转投安全部门呢？

Diamond介绍，CyberSN是一个免费的搜索平台，其对45个安全角色具备标准化的工作要求，所有这些角色都需要一定的安全经验，其中大多数都有相适配的认证，比如搜索最多的分析师角色，DevSecOps角色，以及安全工程师等等。

除了显而易见的认证机构外，还有其他各种各样的培训计划，可为非技术员工提供做好网络安全工作的准备，比如Ventura County数字技能提升培训计划，是经济发展合作组织（EDC）领导的试点项目，由国家资助，此项目旨在为当地企业提供免费的认证培训，包括CompTIA A+和Security+认证。

此外，关键基础设施信息共享和分析中心为其成员公司提供了培训课程，比如金融服务ISAC为成员公司的董事会和员工提供了网络基础知识，以及相关攻防、情报、应用程序和云方面的培训。

在英国，国家网络安全中心会为初学者提供培训和认证，例如其信息安全管理原则方面的BCS认证，该认证适用于那些有网络安全背景，希望了解更多安全知识的人，也适用于业务部门信息资产所有者和负有法律合规责任的员工。

国外安全专家例举了一些政府提供的安全培训计划。英国科学创新技术部（DSIT）和SANS研究所宣布了迭代后的网络升级计划，旨在帮助更多工作人员转向网络安全。该项目为期14周，所提供的培训都是免费的。

此外，还有罗格斯大学和得克萨斯大学等网络安全训练营。得克萨斯大学新兵训练营在其文献中分享了技术写作、项目管理、法律、金融、公司安全和执法部门等内容，同时还引用了统计数据，以表明认证对员工和雇主的重要性。

Lee表示，通常而言，非技术人员要花一年左右的时间才能获得进入安全领域所需的大部分基本认证。SANS等大多数顶级认证机构在世界多个国家提供培训和认证。

凯利说：“从原有部门进入安全领域是充满挑战的，无论是对员工本人还是对企业都是如此，因为谁也不知道之后会面临着怎样的风险，因此培训和认证才无比重要，员工可在此过程中衡量自己有无能力胜任之后的安全工作，而企业也可以广撒网，从中拣选出最适合安全工作的员工。与结果相比，培训和认证所带来的成本是微乎其微的。”

对于在安全人员严重缺乏的环境下，培训其他部门的员工成为安全人员是否可行，国内安全专家如此建议。

知乎安全专家李敢敢表示，让其他员工成为相对专业的安全人员，这可能不仅仅止步于员工安全意识培训，因此可能要考虑以下几点问题：

李敢敢指出，对于非安全行业背景的员工，去学习和考取比较有价值的证书可能是很困难的，但是企业也可以考虑让员工去争取一些在安全行业比较有权威性的证书，例如：

某支付企业安全经理沈勇表示，甲方许多企业的安全人员就是从其他部门转岗而来，所以这事在国内并不稀奇。“如果让我来培训非安全人员，我的培训一定会按照目标定方案，比如需要三个安全岗位，安全管理岗、审计岗和数据隐私岗，我就会分别以这三个岗位所需的职能培训员工。安全管理岗的首要职责是要能制定框架和体系，并在落地时具备相应的方法；审计岗需要相关的法律法规知识，所以我会提前让他们获得对应的认证；而数据隐私是当下的一大热门，牵扯较多，但其底层逻辑是万变不离其宗的，一样要从数据相关的法律法规开始入手，然后掌握数据安全治理方面的基础知识，从浅至深，逐渐深谙个人信息保护、隐私等方面的技术手段和理论体系。”

沈勇表示，如果企业不具备培训员工的部门，可以外包让第三方提供服务，在国内，谷安在安全培训方面相对较久。

在认证获取方面，沈勇提出，所有具备技术背景的人员可以考虑cissp、cisp、cisa、cism、ccsk、ccsp、iso27系列等综合性安全管理证书；法务人员可考虑隐私合规类认证；其他特别专项的技术证书，比如渗透攻防、web安全、安全运营、网络安全、ssdlc、devops安全等，更适合正在或即将从事相关工作的人员去学习。

某科技公司安全总监郑太海表示，培训其他部门的员工成为安全人员是行之有效的方法，但有一个前提，公司高层要认可安全的价值，否则会阻力重重。在一些大厂，安全BP是一个不错的模式，BP人员双线考核，业务部门和安全部门各有一部分考核权。仅依靠安全人员了解清楚所有业务场景是不现实的，尤其是在业务线复杂、安全人员较少的情况下。因此，安全团队要设计一套全面的安全BP管理和运营方案，体现他们的价值。

在认证获取方面，郑太海建议，最好是安全部门和人力资源部门达成一致，自己制定符合公司业务场景的安全认证，这样更能掌握认证的尺度和范围。比如，这类认证针对性强，对非专业安全人员来说通过的门槛低，具备一定可行性。举个例子，对科技类企业而言，研发团队较多，可以针对研发、测试、架构等岗位设计SDLC不同环节的认证，并且将认证通过率或者成绩纳入考核。对于运维类岗位，可以设计针对主机漏洞修复、OS安全、简单的安全监控响应等安全运维方面的认证。

而网络安全专家刘顺指出，长期以来，很多企业因网络安全人才少、人才地域分布差异大、地域安全氛围不足、安全人才吸引力低等各种外部原因，以及部分企业对年龄、学历的强制要求，包括薪资水平无竞争力等内部原因，导致了安全团队手握HC而长期无法招到合适安全人才。

“在安全人员严重缺乏的环境下，我认为培训其他部门的员工成为安全人员的方式是可行的，至少可以从一些基础类的安全工作开始做起。比如，通过安全培训可以让桌面运维的同学从事终端安全类工作，可以让网络运维的同学从事网络安全运维类工作，可以让应用架构的同学从事应用安全架构设计类工作，可以让数据治理的同学从事数据安全工作，可以让企业管理类同学从事安全管理类工作，可以让开发同学从事基础的源码审计、安全测试类工作，可以让审计、内控同学从事安全合规类工作。”

关于培训认证，刘顺建议遵循先广度后深度的策略，先从覆盖面比较全的综合类的认证开始，先全面了解整个网络安全体系，类似认证比如ISO、CISP、CISSP等，同时可以在安全岗位上工作一段时间后，然后再参加一些安全细领域类认证。