最近，我在LinkedIn上發(fā)表了自己對網(wǎng)絡安全技能差距的看法，這是科技界最熱門的話題之一。技能差距經(jīng)常被緊急討論，鑒于我是一名網(wǎng)絡安全招聘人員，我看到了它在實踐中的作用。但信息安全是一門廣泛的學科，我認為我們在談論“技能差距”時需要更具體。“我認為真正的人才短缺是在實踐領域，比如應用程序安全和DevSecOps。

去年，《福布斯》發(fā)表了一篇文章，稱網(wǎng)絡安全技能差距是一場“行業(yè)危機”。報告指出，隨著網(wǎng)絡攻擊變得越來越嚴重、越來越普遍，企業(yè)越來越需要網(wǎng)絡安全專業(yè)人士。但由于技能匱乏和需求旺盛，保安工作的薪水很高，這意味著企業(yè)不僅很難找到合適的人，還必須支付高薪才能找到合適的人。

所有這一切都意味著網(wǎng)絡犯罪分子正在大干一場，正如這篇文章所闡述的那樣。攻擊者利用準備不足的公司，因為他們知道這些公司很可能會成功。很明顯，為了客戶和企業(yè)的利益，這個行業(yè)確實需要改進。

要做到這一點，我們需要優(yōu)秀的人才，擁有正確的技能。該行業(yè)早就知道這些人不容易找到——他們的數(shù)量根本不夠。造成這種短缺的原因有很多，值得記住的是，這不是最容易工作的行業(yè)工作的壓力意味著心理健康問題很普遍。

特定的安全

但我認為，僅僅說我們需要“彌補技能差距”是不夠的。“我們需要更深入地研究這個差距究竟在哪里，它是如何產(chǎn)生的，以及我們能做些什么來彌補它。

在我看來，真正難以找到的人是具有實踐經(jīng)驗的專業(yè)人士，他們能夠勝任投入應用程序安全和DevSecOps團隊。正如我在最初的LinkedIn帖子中所寫的，這些領域可能是你實際需要動手去做的，而不僅僅是咨詢應該做什么。

從我在網(wǎng)絡安全招聘行業(yè)的經(jīng)驗來看，我認為這種差距的存在，是因為進入技術AppSec最常見的途徑是通過編程背景。這份工作需要具備正確的技術技能和注重安全的心態(tài)的人，創(chuàng)造一個難以找到的利基市場。對于實際操作的角色，您需要精通技術，并且能夠理解并將安全性集成到工作中。這并不容易找到。

解決方案？

一些業(yè)內人士聯(lián)系了我，告訴我他們對這個問題的看法。對于迪克森汽車電話公司(Dixons Carphone)的DevSecOps/安全主管艾倫?通過讓保安人員有機會在繼續(xù)擔任技術職務的同時取得進步，這些有才能的人將能夠取得他們想要的個人成功，同時繼續(xù)擔任他們喜歡并接受過培訓的技術職務，而不是成為管理人員。

Broadlight的網(wǎng)絡安全主管馬里奧?普拉特(Mario Platt)告訴我，這是為了讓非技術人員適應“實際接觸技術”——要做到這一點，需要給他們失敗的空間，他說。

我們不需要更多的顧問。當然，安全顧問是網(wǎng)絡安全領域的重要貢獻者。但就目前而言，我們需要卷起袖子，以有針對性的方式深入解決技能差距問題。

注：來源于ISACA Panashe Garande