缺乏熟练的网络安全劳动力会阻碍任何组织安全计划的有效性。是的,人工智能 (AI) 和机器学习 (ML) 等自动化工具和技术提供了一层支持,引入托管安全服务提供商 (MSSP) 可提供内部不具备的专业知识。但这还不够,特别是对于最能从内部安全团队中获益的中型企业而言。
然而,人才短缺不仅仅影响当今的安全问题。现在缺乏熟练的劳动力将影响未来。组织难以填补的不仅仅是入门级职位;包括 CISO 和 CSO 在内的领导职位空缺。如果没有掌握诀窍的人才,未来的安全管理可能会成为占位者,而不是积极的领导者。
网络安全需要了解安全在组织业务运营中的作用的领导者。但是,这些领导者将来会从哪里涌现呢?
CISO的由来
第一次使用“首席信息安全官”(CISO)这个头衔是在 20 世纪 90 年代中期。花旗集团(现为花旗集团)在公司遭受一系列网络攻击后聘请了史蒂夫卡茨。当时互联网处于最早阶段,当时组织对计算机和在线连接的依赖程度较低。那时候,员工很幸运能够拥有一个超越内部通信的电子邮件地址。
Katz 在安全方面有经验,或者正如SecurityWeek所说,“在安全存在之前,他一直处于安全的边缘——他致力于产品生命周期和质量保证,并在 COBOL 和 FORTRAN 中包含了对 ID 和密码模块的要求”,然后才接手新发明的 CISO 角色。这本身就很不寻常,因为安全团队及其领导通常来自 IT 部门。他们拥有必要的技术诚意,但在工作中学会了安全。
劳动力缺口
根据(ISC)2 2022 劳动力研究,全球网络安全劳动力数量接近 500 万,并且一直以 26% 的年增长率增长。仍有超过 300 万个工作岗位需要填补。
“网络安全劳动力缺口危及该行业最基本的职能,如风险评估、监督和关键系统修补,”该研究称。目前的网络安全员工认为,人手不足的团队会使组织面临更高的攻击风险。
雪上加霜的是,网络安全行业对专业化的需求日益增长。入门级安全工作者的主要任务是阅读日志的日子已经一去不复返了。根据ISACA 的一项研究,最缺乏的技能包括云计算、编码、安全和数据控制、行为分析和软件开发。研究发现,当今组织需要填补的前五个角色是云安全、身份和访问管理、数据保护、事件响应和 DevSeOps。
缺乏的不仅仅是入门级和中级网络安全人才。虽然这不是什么大问题,但许多公司都有不同级别的管理职位空缺。例如,17% 的受访者表示他们的 CISO 职位空缺。此外,25% 的人需要高级经理或网络安全主管。
CISO 来自哪里
根据 ISACA 的研究,最缺乏的技能不是云计算和数据保护。最大的人才短缺是软技能。网络安全在培养领导技能方面做得不好,包括沟通或灵活性。下一批领导者不会在大学里培养,这将影响 CISO 的未来。
Heidrick & Struggles 的2022 年全球首席信息安全官 (CISO) 调查发现,CISO 经常流动,超过一半的人表示他们是从另一个 CISO 职位转到现在的工作的,尤其是那些已经工作一年的人或更少。那些长期从事本职工作的人来自其他类型的工作。他们之前的大部分经验都来自 IT。然而,该报告称,“我们看到其他类型的功能性专业知识正在出现,尤其是软件工程,它从去年的 7% 增加到今年的 10%。”
预计这种在安全人才库之外寻找领导职位的趋势将继续下去。随着年长的专业人士退休和中年专业人士精疲力尽,这种情况可能会变得更加明显。人才短缺可能会导致雇主优先考虑留住技术工人,尤其是那些在专业领域捍卫流行攻击媒介的工人,而不是将他们提拔到管理职位。或者,CISO 最终可能成为一名混合型员工,他们必须保持自己的实际安全功能,同时还要管理最高管理层的职责。
面对现代威胁
今天的 CISO 应该了解“组织使用和期望的技术范围通过控制框架遵守法规,评估信息资产风险,将安全扩展到组织之外(例如云、移动、社交媒体、威胁情报网络)并知道如何隐私法规会影响组织(数据的位置、使用方式以及保护方式),”Dark Reading 的一篇文章称。按照这个标准,最好的 CISO(或 CSO 或网络安全领导层的任何人)将来自具有强大安全、数据隐私和合规经验的背景。
但是,作为执行团队的一员,CISO 需要在考虑业务运营和目标的同时考虑安全性。组织将寻找具有商业背景和技术背景的候选人。他们还可以培养在没有初始网络安全经验的情况下表现出领导能力的员工。
在花旗集团聘请其首位 CISO 三十年后,Steve Katz 看起来像是一只独角兽:由于他在安全领域的特殊背景而担任这一职务。今天的 CISO 继续来自其他学科并学习安全方面的知识。但随着网络威胁变得越来越复杂,我们对技术的依赖程度越来越高,CISO 将需要扎实的安全背景。只要人才缺口继续扩大,就仍然很难从竞争者中找到领导候选人。
编译自:IBM securityintelligence
原作者:苏波伦巴