新聞中心
當(dāng)前位置:網(wǎng)站首頁 > 新聞中心
云計(jì)算專家如何彌補(bǔ)網(wǎng)絡(luò)安全技能差距
網(wǎng)絡(luò)安全技能的差距如今仍然是一個(gè)現(xiàn)實(shí)問題,但最終可能會解決。根據(jù)(ISC)2公司發(fā)布的2020年網(wǎng)絡(luò)安全勞動力的研究報(bào)告,網(wǎng)絡(luò)安全技能差距正在縮小。
這項(xiàng)研究將技能差距定義為“組織需要保護(hù)其關(guān)鍵資產(chǎn)的熟練專業(yè)人員數(shù)量與實(shí)際從事這項(xiàng)工作的求職者數(shù)量之間的差距。這并不是對求職者可經(jīng)獲得的空缺職位的估計(jì)?!?
好消息是,擁有合適技能的員工數(shù)量有所上升。去年增加了70多萬名網(wǎng)絡(luò)防御專家,而提供的職位總數(shù)達(dá)到350萬人。然而在這350萬個(gè)職位中,仍有大約一半需要填補(bǔ)。
壞消息是由于冠狀病毒疫情帶來的不確定性,職位的數(shù)量減少了,但是人們需要知道如何尋求和招聘熟練的專業(yè)人員。
網(wǎng)絡(luò)安全技能差距的現(xiàn)狀
發(fā)生的這場疫情表明了組織擁有網(wǎng)絡(luò)安全團(tuán)隊(duì)的重要性,這些團(tuán)隊(duì)可以解決廣泛的問題,例如讓員工建立虛擬專用網(wǎng)絡(luò),并開展培訓(xùn)進(jìn)修課程。報(bào)告指出,關(guān)鍵是要有組織內(nèi)部人員或值班人員來處理更精細(xì)、更具體的問題(而在本例中是云安全性)。
很多組織在去年就面臨這樣的挑戰(zhàn),需要將他們的員工從現(xiàn)場工作轉(zhuǎn)移到遠(yuǎn)程工作。在(ISC)2的2020年網(wǎng)絡(luò)安全勞動力的研究活動中,將近三分之一的受訪者表示,他們只有很短的時(shí)間進(jìn)行過渡,并確保為員工提供相同質(zhì)量的安全保護(hù)。當(dāng)然,IT專家也在家遠(yuǎn)程工作,不得不自己進(jìn)行調(diào)整。因此,在員工遠(yuǎn)程工作期間,18%的組織的網(wǎng)絡(luò)安全事件增加。
(ISC)2公司首席執(zhí)行官Clar Rosso在一份正式聲明中說:“總體而言,網(wǎng)絡(luò)安全人員在這些新數(shù)據(jù)中看到了一些非常積極的趨勢。社區(qū)對冠狀病毒疫情的響應(yīng)及其在幾乎一夜之間將組織的IT系統(tǒng)安全地遷移到遠(yuǎn)程工作的能力,在很多方面都是前所未有的成功和最佳案例。網(wǎng)絡(luò)安全專業(yè)人士積極應(yīng)對挑戰(zhàn),并鞏固了他們對組織的價(jià)值?!?
網(wǎng)絡(luò)安全技能招聘的價(jià)值
出現(xiàn)這種問題的部分原因是組織的招聘人員在招聘時(shí)并不知道需要尋找什么樣的求職者。他們傾向于將網(wǎng)絡(luò)安全技能視為千篇一律的需求。他們認(rèn)為,招聘的員工應(yīng)該能夠處理所有問題。而組織的領(lǐng)導(dǎo)者還經(jīng)常將所有安全問題視為大致相同的問題。另一方面,熟練的專業(yè)人員知道數(shù)據(jù)泄露是通過許多不同的攻擊媒介發(fā)生的,并且有時(shí)看起來并不是數(shù)據(jù)泄露。
當(dāng)然,負(fù)責(zé)日常事務(wù)的人員總是扮演著同一個(gè)角色,而且總是需要新的團(tuán)隊(duì)成員來處理更艱巨的需求。但是,當(dāng)負(fù)責(zé)撰寫工作說明并完成招聘流程的人員(通常是人力資源部人員)并不了解其技術(shù)領(lǐng)域的各方面知識時(shí),就難以招募合格的人員。實(shí)際上,根據(jù)ISACA公司發(fā)布的《2020年網(wǎng)絡(luò)安全狀況報(bào)告》,72%的網(wǎng)絡(luò)安全專業(yè)人士認(rèn)為人力資源工作人員并不了解組織的基本網(wǎng)絡(luò)安全技能需求。這會逐漸影響組織整體的最佳實(shí)踐和防御措施。
這種數(shù)字保護(hù)的傳統(tǒng)方法已經(jīng)過時(shí)?,F(xiàn)在是時(shí)候讓招聘人員意識到,他們必須招募了解當(dāng)今和未來威脅、工具以及網(wǎng)絡(luò)安全技能在工作中所起作用的員工。
為什么組織需要具備云計(jì)算網(wǎng)絡(luò)安全技能的人員
根據(jù)Burning Glass公司的調(diào)查,云安全是增長最快的網(wǎng)絡(luò)安全工作技能之一。在未來五年中,對這一特定技能的需求預(yù)計(jì)將增長115%。對于擁有云計(jì)算技能的人來說有很多工作機(jī)會,如今空缺將近2萬個(gè)職位。雖然與其他新興的安全工作職位相比,這種技能的職位空缺較少,但擁有云計(jì)算專業(yè)知識和技能的人員的薪酬最高。
與其他類似職位相比,云計(jì)算保護(hù)需要不同的技能,例如了解云計(jì)算架構(gòu)背后的技術(shù)、系統(tǒng)配置、身份管理、虛擬化以及有關(guān)使用云計(jì)算安全工具的基本知識。
例如,許多云安全工具最大的挑戰(zhàn)之一是正確配置和管理它們所需的時(shí)間和技能,更不用說調(diào)整這些配置以消除誤報(bào),或確保它們不會錯(cuò)過關(guān)鍵事件或丟棄合法流量。
超越IT
盡管DevOps一直對IT和業(yè)務(wù)非常重要,但組織的IT安全團(tuán)隊(duì)并不總是具備處理DevOps流程中發(fā)生的錯(cuò)誤配置和數(shù)據(jù)泄漏的技能。
云計(jì)算網(wǎng)絡(luò)安全技能需要超越對技術(shù)的了解。該領(lǐng)域的專家還必須精通規(guī)則和法規(guī)。他們必須了解最常見的框架,例如美國國家標(biāo)準(zhǔn)技術(shù)研究院和支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)的框架,以及組織的特定行業(yè)標(biāo)準(zhǔn)。他們的工作還包括遵守?cái)?shù)據(jù)隱私法,保護(hù)云平臺中的數(shù)據(jù),保持合規(guī)性,并圍繞數(shù)據(jù)和數(shù)據(jù)訪問建立保障措施。
如何尋找云計(jì)算安全專家
需要將具有云計(jì)算網(wǎng)絡(luò)安全技能的人員添加到組織的團(tuán)隊(duì)中。云計(jì)算安全技能具有很高的溢價(jià),這不僅是因?yàn)槠湓谝栽朴?jì)算為中心的行業(yè)中的價(jià)值,還因?yàn)樵谝呀?jīng)存在網(wǎng)絡(luò)安全技能嚴(yán)重短缺的就業(yè)市場上,擁有這些技能的人員很難找到。
是怎么做到的?
首先,組織可以在內(nèi)部尋求具有這些技能的人員。正如從組織內(nèi)部招聘其最新的安全團(tuán)隊(duì)成員一樣,也可以從當(dāng)前的IT或安全團(tuán)隊(duì)內(nèi)部找到并培養(yǎng)云計(jì)算安全專家。
如果組織內(nèi)部人員不能勝任這個(gè)職位,需要從外部尋求人才。例如參加會議以更好地了解云計(jì)算安全專家所需的技能,并與可以推薦熟練工作人員的人員進(jìn)行交流。雇用大學(xué)實(shí)習(xí)生,為他們提供所需的培訓(xùn)。招募退役軍人和執(zhí)法人員(那些了解風(fēng)險(xiǎn)評估并且可能具有IT背景的人)是尋找潛在員工的一種很好的方法。組織可能現(xiàn)在無法找到具有所需技能的人員。但是,盡管網(wǎng)絡(luò)安全技能存在差距,但擁有云安全專家仍然很重要,組織愿意為開展培訓(xùn)付出努力,并將發(fā)揮他們的價(jià)值。
從內(nèi)部外包或雇傭外部員工
另一個(gè)選擇是求助于托管安全服務(wù)提供商(MSSP)。這樣可以為組織的云計(jì)算服務(wù)提供全天候的覆蓋率,并減輕了人們對云計(jì)算安全的負(fù)擔(dān)。但是,它也會給組織帶來更少的控制權(quán)。對于大量使用云計(jì)算的小型企業(yè)來說,另一種選擇可能尤其有效,它是與其他組織聯(lián)合起來并共享資源。
最后,招聘人員在搜索求職者時(shí),需要忽略其在簡歷上提到的擔(dān)任的職位。與其相反,需要了解其實(shí)際的工作職責(zé)和技能。因?yàn)槁毼徊⒉豢偸呛芎玫乇砻髑舐氄叩膶?shí)際工作能力。有些人雖然有“安全運(yùn)營經(jīng)理”的頭銜,但并不是真的在從事云安全工作。人力資源部或組織高管不要只是因?yàn)檫@些頭銜或職位描述就決定招聘哪些求職者。
在(ISC)2公司的這份研究活動中,40%的受訪者表示,云安全是組織和網(wǎng)絡(luò)安全團(tuán)隊(duì)中最需要的技能,這是因?yàn)樵朴?jì)算在當(dāng)今的業(yè)務(wù)中已經(jīng)扮演了重要角色。
擁有適合組織的網(wǎng)絡(luò)安全技能的人員就在那里,組織只需要靈活和更具創(chuàng)造力就可以找到他們。
|