网络安全人才框架战略

白皮书

2024年4月

编译 老烦的草根安全观

执行摘要

战略性网络安全人才框架应指导公共和私营部门的决策者建立和维持一支熟练的网络安全队伍。

在当今高度互联的数字环境中，网络安全行业面临着近400万专业人员的严重全球短缺。随着对合格从业人员需求的持续同比增长，赤字并没有减少的迹象。

在网络威胁日益复杂和频繁的时候，网络安全人员作为组织安全的中坚力量，在确保第四次工业革命的利益方面发挥着关键作用。未能确保网络安全专业人员的稳定供应可能会产生深远的影响，全球组织在面对新出现的威胁时会发现自己很脆弱，人手不足。因此，决策者必须将网络安全人才管理作为战略必需品。

世界经济论坛认识到，仅靠一个行为体无法有效解决网络安全劳动力短缺问题，因此制定了“弥合网络技能差距”倡议。该倡议汇集了50多个公共和私人组织，制定了一个战略性的网络安全人才框架（CTF），其中包括可操作的方法，以帮助组织建立可持续的人才管道。

更具体地说，CTF围绕四个关键优先领域构建，旨在为网络安全人才管理提供整体方法。

除其他事项外，优先领域还探讨了如何：

l通过提高对网络安全专业人员工作的理解，消除进入壁垒，提高员工队伍的多样性，可以吸引更多的人才进入网络安全领域

l可以改善网络安全教育和培训，有效地为学生和专业人员提供该领域职业生涯所需的基本技能

l通过解决职位描述中不切实际和苛刻的要求以及招聘经理和人力资源（HR）部门之间的不一致等挑战，可以重新思考招聘实践

l通过解决对该领域缺乏欣赏和认可以及高压力水平等问题，可以提高网络安全专业人员的保留率

作为一个普遍适用的框架，CTF旨在为行业领导者、政府机构、民间社会和学术界提供参考，即所有关心网络安全劳动力短缺并致力于在各自领域培养和培养强大的网络安全人才的利益相关者。

介绍

网络安全行业受到全球劳动力短缺的影响，迫切需要采取可行的方法来吸引和留住熟练员工。

劳动力短缺是一个跨越民族国家和行业的全球性问题。据估计，到2030年，全球人才短缺可能超过8500万人，导致未实现年收入估计损失8.5万亿美元。

网络安全行业也受到这一普遍挑战的影响。虽然2022年至2023年间网络安全劳动力增长了12.6%，但全球网络安全专业人员短缺近400万人。随着对合格从业人员的需求逐年增加，人们对供应能否赶上并不乐观。事实上，只有15%的组织乐观地认为，网络技能和教育将在未来两年内显著改善这一情况。

从区域角度来看，亚太地区的短缺最为明显，该地区缺乏250多万网络安全工作者，其次是北美，该地区面临近522000人的劳动力缺口。在总人口超过14亿的非洲，认证安全专业人员的数量估计仅为20000人左右。

在国家层面，人才短缺在中国、印度、美国和巴西尤为明显。尽管印度拥有世界上最大的青年人口之一和全球31.7%的科学、技术、工程和数学（STEM）毕业生，但2023年5月，印度估计有4万个网络安全专业人员的职位空缺。由于人才短缺，其中30%的空缺无法填补。同样，截至2024年1月，美国估计有448000个私营和公共部门的网络安全职位空缺。

网络安全劳动力短缺在教育、政府和医疗保健部门尤为明显。事实上，《2024年全球网络安全展望》发现，在为52%的公共组织设计网络弹性时，缺乏资源和技能是最大的挑战。同样，中小型企业（SME）由于缺乏网络技能而难以数字化。研究表明，由于缺乏专家或在吸引、招聘和留住网络安全从业者方面面临挑战，43%的英国中小企业无法雇佣网络安全支持。在特定的网络安全职位方面，云安全、网络威胁情报和恶意软件分析等领域的劳动力短缺严重。

随着组织面临不断升级的网络威胁的复杂性——从复杂的勒索软件攻击到阴险的数据泄露——合格的网络安全从业人员的稀缺性正达到惊人的程度，因此，超过三分之二的组织因网络安全技能短缺而面临额外风险也就不足为奇了。

网络安全劳动力短缺的根本原因有很多。一个关键因素是网络安全格局的快速演变，超过了相应劳动力的发展。随着威胁行为者不断改进和创新他们的攻击方法，对具有多样化和专业技能的专业人员的需求超过了供应。然而，能够抵御日益增加的网络风险的熟练专业人员的短缺超出了组织面临的直接挑战。作为一种系统性风险，人们越来越担心网络安全劳动力短缺对国家安全、关键基础设施以及经济和社会的整体弹性和安全的潜在影响。此外，生成人工智能（AI）、量子计算和物联网等尖端技术的激增带来了新的风险，扩大了攻击面，从而进一步扩大了对配备不断发展的专业知识的网络安全人员的需求。网络安全领域也明显缺乏多样性，包括女性、移民、少数民族和神经多样性员工的代表性，因此91%的组织认为有必要推动网络安全领域的人员更加多样化，这并不奇怪

导致劳动力短缺的其他因素包括某些雇主（主要来自公共部门）无法与其他组织提供的工资竞争等问题；教育计划之间的不一致；网络安全行业不断变化的需求；以及该领域的职业机会缺乏明确性。

为了解决网络安全劳动力缺口，以下战略网络安全人才框架（CTF）旨在向全球公共和私人决策者介绍如何培养和维持熟练专业人才的可行方法和最佳实践。

寻找共同语言

在讨论网络安全劳动力短缺时，“技能短缺”“人才短缺””能力短缺”和“经验短缺”等术语尽管有明显的细微差别，但通常可以互换使用。这种不准确导致了对该行业面临的具体稀缺类型的混淆和误解。

仔细研究不同类型的缺陷，“技能短缺”通常是指缺乏网络安全领域特定角色所需的特定技术和软技能或能力。在这种情况下，组织可能很难找到一个精通特定编程或外语的人。另一方面，“人才短缺”表明缺乏具备在各种网络安全角色中脱颖而出所需的更广泛技能、知识和属性的个人。“能力短缺”一词不仅限于网络安全人员，还包括在数字环境中建立和维护强有力的安全措施所需的数字基础设施和监管框架等方面。最后，“经验不足”是指在处理现实世界的网络安全问题时缺乏实用和动手的专业知识。除了这些类型的稀缺之外，组织越来越难以找到具有正确动力和动机的个人。

为了设计出高效和有效的解决方案来解决手头的问题，需要确定特定地理、行业或组织所面临的短缺的确切性质。重要的是要注意，在网络安全中，多种短缺可以同时以相互关联的方式表现出来。例如，应届毕业生可能拥有合适的技能，但缺乏现实生活经验。另一方面，经验丰富的专业人士可能缺乏技能，因为许多组织难以投资于提高技能的举措。最后，具备合适技能和经验的合格专业人士往往会寻求更高的薪水，而组织可能会发现自己正面临劳动力短缺，仅仅是因为他们无力雇佣人才。

采用者和推动者

网络安全劳动力格局是多方面的，涉及各种各样的参与者，形成一个动态的、相互关联的网络，致力于保护一个日益数字化的世界。

最前沿的是CTF的采用者。从本质上讲，任何面临网络安全人才短缺的公共或私人组织都可以采用CTF。更具体地说，采用者承认，吸引、教育、招聘和留住人才是一项战略要务，需要采取可行的方法。

与此同时，某些采用者也可能选择扮演推动者的角色，作为CTF成功实施和持续改进的催化剂。推动者拥有专业知识、资源和工具，可以帮助应对网络安全人才管理的复杂性，从而取得切实成果。促成因素包括：

政府实体：负责根据供需情况制定网络安全劳动力发展的政策和法规，政府实体还可以为网络安全培训计划和举措提供资金、赠款和资源。政府实体的相关例子包括国家网络安全机构、教育部、信息和技术部以及劳动和就业部。

私营部门：私营部门通常是网络安全专业人员的最大雇主，通过支持和促进培训计划，并通过实习和学徒为能力的实际发展提供多种途径，在促进网络人才发展方面发挥着至关重要的作用。

国际/区域组织和发展机构：欧洲联盟、国际电信联盟、美洲国家组织、世界银行和联合国等组织通过一系列活动，包括制定政策、促进能力建设方案以及提供技术和财政援助，帮助建立一支精通网络的员工队伍。

教育机构：网络安全正规教育在系统、结构化的环境中进行，包括小学、中学和大学。非正规培训包括旨在为学习者提供正规教育系统之外的网络安全技能、知识和能力的计划和课程，包括社区教育、新兵训练营和实践比赛以及专业发展课程。

民间社会：民间社会组织通过提供负担得起和可获得的教育和培训，通过导师机会支持妇女和青年等代表性不足的群体，举办网络活动和倡导支持政策，促进网络安全劳动力的发展。

CTF的采用者和推动者之间的协同作用构成了网络安全劳动力发展综合方法的基石。

图1 网络安全人才框架的推动者

四个优先领域

为了全面解决不同类型的短缺问题，并建立可持续的网络安全人才管道，必须找出并解决导致更广泛的网络安全劳动力差距的根本原因。

世界经济论坛的“弥合网络技能差距”倡议汇集了50多个致力于建立可持续网络安全人才管道的全球公共和私人组织。作为对世界经济论坛现有技能工作的补充和配合，包括“再技能革命”和“技能第一”，该倡议确定了以下四个对CTF至关重要的优先领域：

l吸引网络安全人才

l教育和培训网络安全专业人员

l招聘合适的网络安全人才

l留住网络安全专业人员

值得注意的是，不应孤立地看待这四个优先领域，而应将其视为全面网络安全人才管理方法的相互关联的组成部分。

图2 网络安全人才框架的可视化表示

吸引网络安全人才

尽管网络安全职业往往薪酬丰厚、目标明确，并提供职业发展机会，但该行业仍难以吸引人才。对网络安全专业人员在日常工作中的工作缺乏了解，再加上对如何进入网络安全行业以及可能提供的职业机会认识不足，阻碍了个人从事网络安全职业。此外，缺乏多样性（这使得可用员工的人才库小于所需）、对细分领域人才的激烈竞争以及不断变化的工作需求加剧了组织吸引熟练人才的困难。

可以采取哪些措施来吸引网络安全人才？

教育和培训

网络安全专业人员无论是针对小学生、中学生、大学生还是专业人士，网络安全教育课程都面临着诸多挑战，包括过时和错位的课程、合格教师短缺以及缺乏结构化的导师计划。对具有不同认可度和相关性的昂贵网络安全学位和证书的频繁需求进一步加剧了这种挫折。承认学习者需求、背景和学习偏好多样性的培训供应有限，也阻碍了网络安全教育的有效性。

如何改进网络安全教育，使学生和专业人员有效掌握基本技能？

招聘合适的网络安全人才

虽然许多网络技能是可转移的，但雇主对正规网络安全教育的需求造成了入学障碍。此外，由于职位描述中列出的广泛要求，包括证书和几年的经验，许多潜在的（入门级）候选人都不愿申请网络安全职位。这种不切实际和苛刻要求的根本原因之一是，人力资源部门往往不了解他们招聘的工作，也不会说网络安全语言。

组织如何重新思考招聘和人才招聘实践？

留住网络安全专业人员

网络专业人员持续承受的压力、疲劳和压力导致员工流失率很高。导致网络安全人员任期较短的另一个因素是缺乏对网络安全人员的欣赏和认可。有时，个人会为了其他内部机会而离开网络安全职位，寻求职责的改变，而其他人则完全退出组织。网络安全专家的离职不仅会给组织带来财务影响，因为他们试图取代人才，还会导致宝贵的机构知识的流失，并可能对受影响组织的安全态势产生影响。

原文始发于微信公众号（老烦的草根安全观）：网络安全人才框架战略2024