面對(duì)不景氣的經(jīng)濟(jì)和高失業(yè)率，信息安全領(lǐng)域一直是IT求職者的希望堡壘，根據(jù)(ISC)2 等組織的保守估計(jì)，在未來幾年信息安全行業(yè)將會(huì)提供數(shù)十萬就業(yè)機(jī)會(huì)。

[[114069]]

鑒于合格的IT安全專業(yè)人員稀缺，對(duì)于那些試圖尋找好工作和更高薪水的人來說，安全認(rèn)證有多少價(jià)值呢?根據(jù)一項(xiàng)新調(diào)查顯示，信息安全領(lǐng)域平均工資正在上升，而安全認(rèn)證可以開啟或改善職業(yè)生涯，但專家質(zhì)疑其真正的價(jià)值。

剛剛公布的2014年SANS研究所工資和職業(yè)發(fā)展調(diào)查(對(duì)信息安全培訓(xùn)企業(yè)的2008年工資和認(rèn)證調(diào)查的擴(kuò)展更新)對(duì)超過4000名受訪者進(jìn)行了采訪，其目的是分析IT專業(yè)人員的目前就業(yè)趨勢(shì)，包括工資水平、教育水平和未來職業(yè)期望等。

這個(gè)SANS調(diào)查發(fā)現(xiàn)，鑒于對(duì)合格安全人員的高需求，現(xiàn)在很多信息安全專業(yè)人員待遇很好。近一半的受訪者每年收入超過10萬美元，而在2008年的調(diào)查中，這個(gè)數(shù)字只有38%，并且，將近四分之一的受訪者的工資在8萬到99999美元之間。

這個(gè)SANS調(diào)查指出，工作經(jīng)驗(yàn)是高工資的主要原因。在所有信息安全職位中，具有三年或更少經(jīng)驗(yàn)的專業(yè)人員平均每年工資低于7.5萬美元，而那些有七年或以上經(jīng)驗(yàn)的受訪者工資則超過10萬美元。是否具有管理能力也對(duì)工資有很大影響：管理職位的受訪者平均每年收入超過12萬美元，而非管理人員的平均工資僅為9.5萬美元。

SANS研究所總經(jīng)理Scott Cassity表示，2014年的調(diào)查表明，作為一種職業(yè)，信息安全正在朝著正確的方向發(fā)展。

“我認(rèn)為可以準(zhǔn)確地推測(cè)，這個(gè)領(lǐng)域?qū)?huì)發(fā)展，”Cassity表示，“我們看到由于經(jīng)濟(jì)衰敗，工資受到了一些影響，但現(xiàn)在的工資要高于六年前。”

安全認(rèn)證的價(jià)值是什么?

雖然這個(gè)SANS調(diào)查指出了信息安全專業(yè)人士的工資主要與幾個(gè)因素有關(guān)，但絕大多數(shù)受訪者認(rèn)為安全認(rèn)證是職業(yè)成功的關(guān)鍵。

事實(shí)上，近五分之三的受訪者表示，安全認(rèn)證是影響其職業(yè)的最大的因素之一。相比之下，不到40%的受訪者認(rèn)為取得成功在于關(guān)系網(wǎng)，而不到四分之一的受訪者認(rèn)為關(guān)鍵因素是學(xué)士或碩士學(xué)位。

根據(jù)該調(diào)查顯示，并非所有的認(rèn)證都是一樣。受訪者認(rèn)為SANS自己的GIAC安全專家認(rèn)證和(ISC)2 CISSP 認(rèn)證比其他認(rèn)證更有價(jià)值，而CompTIA的Security+則被認(rèn)為是價(jià)值最低的認(rèn)證，該認(rèn)證主要針對(duì)經(jīng)驗(yàn)較少的安全從業(yè)人員。

SANS是營利性安全培訓(xùn)和認(rèn)證行業(yè)的領(lǐng)導(dǎo)者之一，參與SANS調(diào)查的受訪者可能有些偏頗，但Cassity表示，人力資源人員通常通過證書來判斷應(yīng)聘者是否具備一定的基礎(chǔ)知識(shí)來勝任某個(gè)安全職位，可以說，證書是應(yīng)聘的主要指標(biāo)。在從業(yè)人員的職業(yè)生涯的早期階段，尤其是如此，因?yàn)槿腴T級(jí)安全職位通常是從其他IT領(lǐng)域(例如網(wǎng)絡(luò))過渡到這個(gè)行業(yè)的人員。

“很多時(shí)候，如果他們想要提高自己的應(yīng)聘競(jìng)爭(zhēng)力，獲取相應(yīng)的證書是正確的做法，”Cassity表示，“對(duì)于學(xué)士學(xué)位和其他正式培訓(xùn)，企業(yè)認(rèn)為它們只是提供給應(yīng)聘者理論知識(shí)，而證書和認(rèn)證則才能夠證明他們具有相關(guān)能力。”

“他們當(dāng)然需要具有技術(shù)技能，”Cassity繼續(xù)說道，“但伴隨著科學(xué)的還有藝術(shù)。”

有趣的是，根據(jù)SANS調(diào)查顯示，安全認(rèn)證對(duì)于獲得更高工資和升值的影響并不像受訪者認(rèn)為的那么高。SANS并沒有提供具體數(shù)據(jù)來表明工資增長(zhǎng)和認(rèn)證之間的關(guān)系，而是指出：“高達(dá)5%的薪水增加與很多認(rèn)證有關(guān)”。

不過，與正式教育差異造成的工資差距相比，這個(gè)5%顯得有些相形見絀。例如，具有四到六年工作經(jīng)驗(yàn)，且只有高中文憑的安全專業(yè)人員的平均工資為75938美元。而具有相同工作經(jīng)驗(yàn)，且具有學(xué)士學(xué)位的人員每年工資為84619美元，另外，具有碩士學(xué)位或MBA的人員平均每年工資為97109美元。

信息安全獵頭公司L.J. Kushner and Associates總裁Lee J. Kushner解釋說，安全認(rèn)證能夠幫助應(yīng)聘者進(jìn)入這個(gè)行業(yè)，特別是當(dāng)不了解行業(yè)技能的人力資源人員負(fù)責(zé)篩選應(yīng)聘者時(shí)，然而，這些安全證書對(duì)工資的影響遠(yuǎn)遠(yuǎn)比不上工作經(jīng)驗(yàn)和技能。

“除非是非常重視人力資源的企業(yè)，否則認(rèn)證變得毫無意義，”Kushner表示，“我們的客戶從來不會(huì)說他們?cè)敢鉃樘囟毼恢Ц?0萬美元的工資，但如果他們有某種證書，他們將支付12萬美元。”

信息安全就業(yè)機(jī)會(huì)在增加，但也在改變

對(duì)于希望進(jìn)入信息安全領(lǐng)域的人，或者想要跳槽的安全人員來說，這個(gè)SANS調(diào)查證實(shí)了一個(gè)事實(shí)：很多企業(yè)正在積極招募安全工作人員。

在過去的一年中，43%的受訪者表示他們的雇主已經(jīng)增加了信息安全工作人員，而只有10%減少了人員。預(yù)計(jì)未來一年，這種趨勢(shì)還將繼續(xù)下去，超過三分之一的受訪者預(yù)計(jì)將增加IT安全人員，不到5%的受訪者計(jì)劃裁減人員。

這個(gè)SANS調(diào)查還指出了在未來兩年可能增長(zhǎng)最明顯的安全領(lǐng)域，受訪者預(yù)計(jì)，事件響應(yīng)、云計(jì)算/虛擬化和分析是最需要的三大技能。

資深SANS分析師Barb Filkins表示，這些技能需求趨勢(shì)突出了該行業(yè)最近幾年所看到的發(fā)展，并通常表明，這個(gè)領(lǐng)域在未來幾年還將繼續(xù)產(chǎn)生新的機(jī)會(huì)。

Filkins表示：“在我看來，這表明安全行業(yè)是有利于職業(yè)發(fā)展的行業(yè)。”

安全認(rèn)證只是職業(yè)“拼圖”的一部分

Kushner警告說，任何大型調(diào)查并不會(huì)對(duì)所有人都有意義。他表示，SANS調(diào)查中指出的最重要的技能可能過于寬泛，或者是因?yàn)樽罱l(fā)生的事件而帶來的影響。

例如，對(duì)事件響應(yīng)技能的需求可能部分是因?yàn)樵谶^去一年發(fā)生的針對(duì)Target和其他零售商的泄露事故。但按需技能可能很快會(huì)發(fā)生變化，例如，如果在未來一年內(nèi)關(guān)鍵基礎(chǔ)設(shè)施遭遇了網(wǎng)絡(luò)攻擊，SCADA安全技能可能會(huì)被很多受訪者提及。

Kushner還警告說，如果沒有在前沿環(huán)境的工作經(jīng)驗(yàn)(例如在云計(jì)算企業(yè)的安全工作)，很多最引人注目的工作機(jī)會(huì)可能與信息安全專業(yè)人員擦肩而過，即使他們獲得了安全證書。他建議試圖發(fā)展職業(yè)的安全專業(yè)人員首先明白“他們最終的目的”，然后采取相應(yīng)的行動(dòng)來到達(dá)目的地。例如，如果有人想成為一名首席安全官，他/她應(yīng)該更多地關(guān)注業(yè)務(wù)技能，而不是純粹的技術(shù)技能，甚至可以考慮獲得MBA學(xué)位。

另外，他表示，招聘經(jīng)理和人力資源人員必須意識(shí)到，如果其提供的機(jī)會(huì)或工資比不上候選者已有的水平，他們將很難從其他公司挖安全人才。Kushner指出，很多職位空缺的時(shí)間要比他們想象得要長(zhǎng)，因?yàn)楹芏喙静辉敢鉃榉弦蟮挠薪?jīng)驗(yàn)的候選者調(diào)整工資水平，這個(gè)SANS調(diào)查和其他調(diào)查只是顯示了行業(yè)工資的實(shí)際情況。

“我有一個(gè)客戶正在招聘滲透測(cè)試人員，他們對(duì)應(yīng)聘者有著很高的要求，”Kushner指出，在這個(gè)調(diào)查提到的薪酬范圍，其客戶永遠(yuǎn)找不到滿足其高要求的候選人。

“毫無疑問，該行業(yè)非常需要信息安全人才，但明白這一點(diǎn)：具有某種區(qū)分性技能的優(yōu)秀的信息安全人才面前有著一個(gè)非常光明的未來，”Kushner說道，“具有一般技能的人才也有機(jī)會(huì)，但大多數(shù)時(shí)候，這并不是一個(gè)不同的或更好的機(jī)會(huì)，只是‘換湯不換藥’。”