盡管網絡安全行業(yè)的工具和技術不斷發(fā)展，但企業(yè)仍然依賴于受過良好訓練的聰明人，他們擁有敏銳的批判性思維技能，以保護自己免受危險的網絡威脅。但是，正如威脅范圍不斷擴大一樣，相應的技能差距也在擴大，這將使企業(yè)面臨重大財務損失的風險，并對其品牌聲譽造成不可逆轉的損害。

正如ISACA最近發(fā)布的《2019年網絡安全狀況研究報告》(State of cybersecurity 2019 research)所反映的那樣，尋找并留住足夠數量的合格網絡安全專業(yè)人士變得越來越具有挑戰(zhàn)性。保留部分可能特別有問題，特別是對于面臨大量資源限制的組織。更好的經濟激勵，如更高的薪水和更豐厚的獎金，壓倒性地成為網絡安全專業(yè)人員跳槽的首要原因，而職業(yè)發(fā)展機會和更好的工作文化/環(huán)境等其他因素也是主要原因之一。

2019年網絡安全狀況報告》揭示了當前網絡安全勞動力前景的幾個問題數據，包括:

·69%的受訪者表示，他們的網絡安全團隊人手不足

·58%的公司表示，他們的網絡安全職位空缺

·32%的人表示，他們的公司需要6個月或更長時間才能填補網絡安全職位空缺

最后一項統(tǒng)計數據尤其令人不安。想想網絡攻擊可以在6個小時內對一個組織造成的巨大破壞，更不用說3個組織中就有1個需要6個多月的時間來填補一個開放的網絡安全職位。需要這么多組織這樣一段時間來確保他們正在尋找的候選人是指示性的需要培養(yǎng)更多的人成為網絡安全行業(yè)感興趣,思考現實,需要組織面對需要reskill和培訓的候選人可能不會檢查每一個期望的職位描述。與其等上6個月或更長時間，寄希望于理想人選的到來，各大機構還不如聘用一些技術嫻熟、涉獵廣泛的候選人，把他們納入自己的網絡安全團隊，因為它們意識到，需要對培訓和專業(yè)發(fā)展做出承諾。

超越傳統(tǒng)候選人

沿著這些思路，組織應該更容易接受從非傳統(tǒng)背景中尋找人才。正如我的ISACA同事本月在RSA大會上的一次小組討論中所指出的那樣，退伍軍人和其他非技術背景的人，只要有機會，往往可以憑借與網絡安全角色相匹配的技能和興趣來應對這種情況。此外，網絡安全行業(yè)必須在吸引和留住女性方面做得更好。女性在網絡安全領域的代表性不足，是全球組織面臨的總體技能差距的一個重要方面?？紤]到這些因素，組織可以很好地制定業(yè)務計劃，重新定義如何吸引和留住安全人才的協議。

誤差幅度很小

組織可以建立并保留有效的網絡安全團隊，但出錯的可能性很小。高質量的網絡安全從業(yè)人員將有許多選擇，因此企業(yè)領導者有責任給他們一個令人信服的理由，讓他們想要留在自己的公司。提供有競爭力的薪酬是一個自然的起點，正如網絡2019年報告所強調的那樣。在為安全團隊的整體范圍做預算時，如果犧牲了為關鍵團隊成員提供有競爭力的薪水，領導者可能需要抵制購買最新有趣工具或小工具的誘惑。除了薪酬之外，組織還應該在其他領域評估他們所提供的內容，以確保團隊成員感到適當的價值。為此目的，各組織應投資對現有工作人員進行基于業(yè)績的培訓，以培養(yǎng)更多技術熟練的從業(yè)人員- -這些人往往是各組織最難找到的專業(yè)人員。灌輸一種積極向上、以團隊為導向的文化，也能在很大程度上防止員工跳槽。

隨著時間的流逝，越來越多的人認識到，在數字經濟中，強大的網絡安全是所有組織的核心業(yè)務需求，這一點變得越來越普遍。但是，了解網絡安全的重要性與擁有實施有效安全計劃的遠見和承諾是有區(qū)別的。這首先要引進高質量的網絡安全從業(yè)人員，然后提供持續(xù)的培訓，以填補知識空白，并讓專業(yè)人員了解他們將受命打擊的最新攻擊方法。盡管人工智能和自動驅動工具將在未來幾年被證明對提高網絡安全非常有用，但這并不會改變這樣一個現實，即在找到合適的人選，從戰(zhàn)略上應對網絡攻擊之前，任何組織都不會處于安全的基礎之上。網絡攻擊的規(guī)模和復雜性將繼續(xù)增長。

來源于ISACA  Chris K. Dimitriadis