對于安全從業(yè)者來說，CSO這一職位可謂硬幣的兩面，一方面是市場需求旺盛，另一方面是招不到合適的人，企業(yè)要求的綜合能力無法衡量，沒有明確的職位定義和職責(zé)規(guī)范從業(yè)者處境尷尬,因此，高就業(yè)率并不足以讓從業(yè)者樂觀，企業(yè)和人才的高匹配度才應(yīng)該是真正的追求。

在美國合格的CSO們基本不用為失業(yè)而煩惱，因?yàn)檫@一職位失業(yè)率非常低。據(jù)2013年初美國勞動統(tǒng)計(jì)局(簡稱BLS)發(fā)布的報告顯示：2012年第四季度安全高管群體的失業(yè)率僅為3%(在美國失業(yè)率低于4%則被視為充分就業(yè))，相對于美國全國平均7.3%的失業(yè)率來講簡直微不足道，這說明CSO職位目前仍屬于“賣方市場”，那些擁有相應(yīng)資歷的從業(yè)者前途依舊光明。

不過，和CSO們的個人就業(yè)狀況相比，企業(yè)安全部門的招聘就沒那么樂觀了，對于大部分企業(yè)來說信息安全官則是一將難求。美國的相關(guān)機(jī)構(gòu)做出預(yù)測：2014年信息安全高管(即CSO)的供應(yīng)量將無法滿足市場需求。更有人認(rèn)為高管層以下的信息安全管理人才同樣十分匱乏。

環(huán)境演變

曾任美國聯(lián)邦通信委員會(簡稱FCC)CSO、現(xiàn)任(ISC)²政府事務(wù)主管兼網(wǎng)絡(luò)安全認(rèn)證合作組織主席的Marc Noble在今年年初接受采訪時指出：人才的短缺一部分原因在于環(huán)境的迅速變化，安全威脅大量增加。“這就需要投入更多的時間來認(rèn)識新技術(shù)，觀察其帶來的安全漏洞以及考慮如何采用最佳安全控制方案，而這一切都給從業(yè)者帶來前所未有的復(fù)雜性，”它要求從業(yè)者能夠高度適應(yīng)新技術(shù)和新規(guī)程，這一點(diǎn)非常不容易。“可以說，攻擊者們始終領(lǐng)先于我們。” Marc Noble感嘆道。

除了要有處理動態(tài)風(fēng)險的能力，優(yōu)秀的CSO還必須超越技術(shù)層面進(jìn)一步豐富自身角色內(nèi)涵。他們需要成為宏觀層面的業(yè)務(wù)與運(yùn)營專家，需要了解營銷、金融以及法律知識。“大部分企業(yè)希望找到一位既能夠出色完成本職工作，同時還諳熟企業(yè)管理和行業(yè)趨勢的安全管理者。”然而對于這樣的職位描述，目前市場上對應(yīng)的人才非常稀缺甚至根本不存在。

定位危機(jī)

美國普渡大學(xué)CSO David Shaw對這種狀況作出了自己的解讀，他認(rèn)為“CISO角色正面臨著一定程度上的定位危機(jī)，因?yàn)槟壳斑@一角色尚缺乏明確的定義，企業(yè)也不知道該將其安排在什么樣的位置上，他們該向誰匯報?董事會、CIO還是CFO?”“我們真的拿不出一套有效的標(biāo)準(zhǔn)化規(guī)范來說明到底哪部分事務(wù)需要CSO的介入，更別說保證其取得成功，”他解釋道。詳情請閱讀本站CSO角色定位不明晰 實(shí)至名歸需企業(yè)魄力一文。

一方面是沒有準(zhǔn)確的職業(yè)定位，另一方面是能力培訓(xùn)的缺失，“對于那些市場需求最旺的人才，需要在安全領(lǐng)域之外擁有更多知識，包括商業(yè)、通信、領(lǐng)域以及法律等。除此之外還要擁有關(guān)系創(chuàng)建、前瞻性以及與企業(yè)中各級別成員交流等一些關(guān)鍵能力。” Marc Noble說, “但這并不列入我們對安全管理者的培訓(xùn)范疇，這方面技能的缺失也直接導(dǎo)致了CSO人選的嚴(yán)重短缺。”

一家風(fēng)險管理咨詢企業(yè)聯(lián)合創(chuàng)始人兼執(zhí)行主席Ed Stroz對此深表贊同，他還指出優(yōu)秀CSO最重要的能力還在于參透“安全性絕不能凌駕于便捷性之上”，現(xiàn)實(shí)工作中如何取舍需要更高的智慧。

渾水摸魚

不過即便要面對如此復(fù)雜的環(huán)境，鑒于市場需求的客觀存在，短時間內(nèi)也會有很多從業(yè)者蜂擁至這一領(lǐng)域當(dāng)中，這在某種程度上又會帶來新的問題。某些人肯定會主動請戰(zhàn)，明知能力不足經(jīng)驗(yàn)不夠仍想冒險一試。

普渡大學(xué)信息保障與安全教研中心執(zhí)行總監(jiān)Eugene Spafford認(rèn)為，旺盛的需求“往往會讓那些背景存疑的從業(yè)者將自己塑造成該領(lǐng)域的‘專家’。由于缺乏有說服力的競爭與參照機(jī)制，其中一些人肯定會被正式錄用。”而更多時候，那些真正合格的候選人可能被認(rèn)為不能應(yīng)付惡化的環(huán)境而掃地出門。

他認(rèn)為，目前某些企業(yè)將CSO角色定位為“背黑鍋者而非價值供應(yīng)者”——也就是說如果敏感數(shù)據(jù)遭遇外泄，CSO將首當(dāng)其沖遭受指責(zé)，即使真正的原因在于某位員工“翻墻”將信息帶到了非安全區(qū)域，CSO仍是替罪羊，這也給“冒險者”可乘之機(jī)。

如何應(yīng)對人才短缺

Noble還指出，信息安全被視為增長速度最快的領(lǐng)域之一，市場上對CISO需求的增加速度顯然快于人才培養(yǎng)的速度：“信息安全專業(yè)人員的數(shù)量預(yù)計(jì)在未來五年內(nèi)每年增幅都將超過11%，即便如此人才短缺仍然存在。”

如何解決這樣的困境?目前大家普遍認(rèn)為安全培訓(xùn)應(yīng)該成為優(yōu)先級更高的主流教育課程，CSO這個職位本身也需要得到更多宣傳與推廣。Noble認(rèn)為網(wǎng)絡(luò)安全培訓(xùn)必須盡早開始：“安全必須成為早期教育課程中的組成部分，并貫穿從業(yè)者的整個求學(xué)生涯。”

不過單靠培訓(xùn)還不夠，甚至研究生階段的教育也難以達(dá)到實(shí)際要求，因?yàn)榇蟛糠制髽I(yè)都希望找到一位真正合格的CSO。按照Shaw的說法：“合格的CSO需要能夠在上任的第一天就投入實(shí)際工作。對于剛剛走出校門的研究生來說，他們在實(shí)踐層面的經(jīng)驗(yàn)還非常匱乏。我認(rèn)為這個難題可以通過充分的實(shí)習(xí)經(jīng)歷以及畢業(yè)后的從業(yè)積累加以解決。”

目前這一計(jì)劃正在進(jìn)行，普渡大學(xué)信息保障與安全教研中心(簡稱CERIAS)已經(jīng)推進(jìn)類似的方案。Noble說，這類方案在技術(shù)與其它學(xué)科之間建起了橋梁，能夠幫助未來有意進(jìn)軍CSO角色的學(xué)生提前做好準(zhǔn)備。他還列舉出其他尚處于起始階段的項(xiàng)目，并表示，這些項(xiàng)目旨在幫助成長中的人才同時從能力與專業(yè)兩個方面汲取營養(yǎng)。參與項(xiàng)目推動的機(jī)構(gòu)包括英國eSkills、歐洲標(biāo)準(zhǔn)化委員會(簡稱CEN)、國際標(biāo)準(zhǔn)化組織(簡稱ISO)、國際電信聯(lián)盟、電信發(fā)展部門(簡稱ITU-D)以及NICE Framework。(ISC)²同樣以多種方式向其中投入資源作為支持。

但是，對于那些無法耐心等待必須盡快找到相關(guān)人才的企業(yè)來說，Stroz認(rèn)為目前最可選的解決方案在于將工作外包給專業(yè)咨詢企業(yè)。他的理由是：在選拔合適人選的過程中“往往會涉及企業(yè)現(xiàn)有安全漏洞，這樣的討論內(nèi)容相當(dāng)敏感，因?yàn)殡y免會涉及大量價值極高的知識產(chǎn)權(quán)信息。”外包會相對安全。

所有的問題最終歸結(jié)為人才在技術(shù)與業(yè)務(wù)兩類技能方面的“高度適應(yīng)性”。“目標(biāo)在于建立一套與企業(yè)業(yè)務(wù)目標(biāo)相一致的風(fēng)險管理環(huán)境，”Stroz指出。“沒有這樣的前提作為輔助，不管是招聘專職還是外包都不可能獲得令人滿意的結(jié)果。”