如今有关网络安全人才短缺的讨论虽然很活跃,但成果有限。 几乎每周都会有新的文章、新的研究或在社交媒体上引起轰动,哀叹这场危机。 入门级职位的招聘要求高得离谱,薪酬也低于市场水平,应聘者对大学毕业第一年的工作抱有不切实际的期望,而跳槽和倦怠现象也随着更广泛的技术就业市场而持续存在。 与此同时,大学、加速器和指导计划也抓住了这一市场机遇,向市场输送了比以往更多的“专门培养”人才,通常还承诺在“令人兴奋且利润丰厚”的职业中对他们的技能的需求将大幅增加。 鉴于多年来受到的关注和投入,人才市场应该发出调整信号,但大多数人认为事实并非如此。
这是安全领域的一个存在问题,因为虽然技术在为安全计划提供新颖、更有效的解决方案方面发挥着关键作用,但安全计划评估、投资和实施这些技术的能力取决于是否有合适职位的高素质人才。 技术和安全供应商已经超越了市场,每年都提供更大的进步,这需要那些努力保持人才并跟上技术扩张步伐的客户进行更大的投资。 安全供应商不断提供与其产品捆绑的托管服务,以立即且经济高效的方式向客户运营其产品,使双方受益,这一趋势有所缓和。 然而,随着环境的发展,企业仍然面临着合理化这些投资和不断重新评估覆盖范围的挑战,即使只是一个小型安全团队来管理一个完全由托管服务组成的项目,也需要专业知识。
尽管“压力过大、从不睡觉的安全领导人”这个令人毛骨悚然的笑话仍然在流传,但让人无法入睡的却很少是先进的威胁行为者或好莱坞情节。 这是一些人性化的问题,例如团队是否良好,他们是否拥有所需的一切,合适的人是否担任合适的职务,需要什么新的职务或人员,团队在同行组织中的可信度,领导者在其高管同事中的可信度,等等。 这是领导成本,不仅限于安全领导成本。 这与市场的叙述相反,当我告诉人们我看到安全领导者互相推荐商业和管理书籍而不是技术或安全书籍时,他们感到惊讶。 是的,确实有关于上次被大肆炒作的违规行为或同行如何解决技术问题的讨论,但分享一个成功的新流程、团队结构或沟通方法也同样或更令人兴奋。
我们缺少的是安全技能和领导力,而不是更广泛的安全人才短缺。 这减缓了广泛的安全人才市场的调整,我们必须看到所有企业的弹性增强,而不仅仅是传统的 1% 的安全计划孤岛。 例如:
在过去 5 年多的时间里,我们看到在法规的推动下,企业在提升安全领导者的执行角色方面取得了进展,企业在开源、云和自带设备等技术趋势上的支出激增,勒索软件业务蓬勃发展,以及企业数据管理员备受瞩目的数据处理不当和不安全做法。 这让人想起在萨班斯-奥克斯利法案 (SOX) 颁布以应对备受瞩目的公司和金融丑闻之后,企业与其财务主管所经历的进步,提升了他们在高管层和董事会中的独特观点。 安全领域制定的措施尚未达到 SOX 的严格程度。未来两年将告诉我们,安全领导者的进步是会继续下去,还是会随着宏观经济环境促使企业重新评估其技术和安全投资而减速或倒退。
如果我们重复历史,那么减速或逆转是可能的,因为企业的安全和安全投资通常与市场状况相关,尽管它们的影响通常不相关。 这种不对称的一个例子是,防御者的预算随着公司营收或净利润的缩减而缩减,这可能是合理的(受托责任),但攻击者的资金和激励却并非如此。 显而易见的是,在安全领导者的角色定义、企业责任和个人责任受到公众审查时,这种情况就会发生。 可以合理地预计,如果这些问题的答案不理想而导致安全领导力短缺的情况加剧,一定比例的安全领导者将选择退出公司或担任该职位,从而加剧安全领导力短缺并波及更广泛的安全人才库。 安全领导者及其公司应该立即讨论这些挑战,而不是在逆风最强烈的时候,以了解安全领导角色和组织将如何发展,以及这对项目及其人员的可持续性意味着什么。