多年來(lái)，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者一直在努力解決關(guān)鍵網(wǎng)絡(luò)角色的人才短缺問(wèn)題。面對(duì)不斷升級(jí)的財(cái)務(wù)要求和不斷擴(kuò)大的責(zé)任，這些領(lǐng)導(dǎo)者面臨著更大的壓力，需要用更少的資源實(shí)現(xiàn)更多目標(biāo)，并創(chuàng)建涵蓋多種安全職能的角色。

安全角色通常是多功能的

一份新報(bào)告表明，角色內(nèi)的典型功能組合包括架構(gòu)和工程 (A&E)、應(yīng)用程序安全 (AppSec) 和產(chǎn)品安全。IANS 和 Artico Search 收集了來(lái)自美國(guó)和加拿大各行業(yè)和公司類型的 560 多名網(wǎng)絡(luò)安全員工的回復(fù)。此外，我們還對(duì) 100 名CISO進(jìn)行了非正式訪談，以更好地了解 CISO 在招聘和留住員工方面面臨的挑戰(zhàn)。

在調(diào)查受訪者中，42% 的人負(fù)責(zé)多個(gè)網(wǎng)絡(luò)安全領(lǐng)域。在 AppSec 員工中，74% 還致力于產(chǎn)品安全，67% 參與身份和訪問(wèn)管理 ( IAM )。

在產(chǎn)品安全方面，63% 的員工也支持 IAM。然而，治理、風(fēng)險(xiǎn)和合規(guī)性 ( GRC ) 與其他角色的聯(lián)系較輕。大約 37% 的 GRC 員工還承擔(dān) A&E 職責(zé)，只有 25% 從事 AppSec 工作。

研究還發(fā)現(xiàn)，典型的企業(yè)類別和角色分類通常與信息安全人才市場(chǎng)不一致?！岸嗄陙?lái)，我們聽到許多網(wǎng)絡(luò)安全專業(yè)人士討論他們?cè)诮M織中擔(dān)任的職務(wù)。這份最新報(bào)告清楚地說(shuō)明了按職能劃分的日常職責(zé)的數(shù)量。每個(gè)功能不僅支持自己的一組核心任務(wù)，而且大多數(shù)角色還支持至少兩個(gè)附加功能。這讓許多公司都在努力應(yīng)對(duì)典型的企業(yè)薪資水平，因?yàn)榫W(wǎng)絡(luò)安全需要專門的薪酬方案，以更好地爭(zhēng)奪人才并最大限度地減少人員流失。” Artico Search 網(wǎng)絡(luò)安全實(shí)踐合伙人兼 IANS 教員Steve Martano說(shuō)道。

豐富的經(jīng)驗(yàn)、專業(yè)化和高級(jí)學(xué)位都會(huì)帶來(lái)更高的薪資

擁有至少 12 年相關(guān)經(jīng)驗(yàn)的經(jīng)驗(yàn)豐富的員工的收入比基線高出 22%。AppSec、產(chǎn)品安全或 IAM 方面的專業(yè)知識(shí)，或者碩士或博士學(xué)位的現(xiàn)金報(bào)酬為 21%。

與此同時(shí)，相關(guān)經(jīng)驗(yàn)不足三年的員工的薪酬比基線低 40%。同樣，不持有副學(xué)士學(xué)位以上大學(xué)學(xué)歷的網(wǎng)絡(luò)安全專業(yè)人士的薪酬水平也往往低于平均水平。

不同領(lǐng)域的性別多樣性各不相同，但性別薪酬差距仍然普遍存在

20% 的人自我認(rèn)同為女性、二元性別或其他。GRC 的性別多樣性最高，為 40%，其次是 IAM，為 25%，而 A&E 工作人員的非男性比例最低，為 10%。

研究數(shù)據(jù)顯示，性別薪酬差距約為 7%。在擁有 12 年以上工作經(jīng)驗(yàn)的員工中，性別差距更為明顯，研究人員發(fā)現(xiàn)，男性和女性之間的薪酬差距達(dá)到兩位數(shù)。在擁有三年以下信息安全經(jīng)驗(yàn)的受訪者中，性別多元化專業(yè)人士的支持率差距為 3%。

員工認(rèn)可度和工作福利與更高的保留率相關(guān)

在這四個(gè)標(biāo)準(zhǔn)中，感覺受到重視和支持以及有職業(yè)發(fā)展機(jī)會(huì)與換工作考慮因素的關(guān)系最為密切。

回顧有關(guān)網(wǎng)絡(luò)安全勞動(dòng)力短缺問(wèn)題：

• 盡管這是有史以來(lái)勞動(dòng)力人數(shù)最多的記錄，但報(bào)告顯示需求仍然超過(guò)供應(yīng)。網(wǎng)絡(luò)安全勞動(dòng)力缺口已創(chuàng)歷史新高，需要 400 萬(wàn)專業(yè)人員來(lái)充分保護(hù)數(shù)字資產(chǎn)。
• 該研究還發(fā)現(xiàn)了影響該領(lǐng)域?qū)I(yè)人士的新挑戰(zhàn)，包括經(jīng)濟(jì)不確定性、人工智能、分散的法規(guī)和技能差距。此外，充滿挑戰(zhàn)的威脅形勢(shì)繼續(xù)籠罩該領(lǐng)域，75% 的網(wǎng)絡(luò)安全專業(yè)人士表示，當(dāng)前的威脅形勢(shì)是過(guò)去五年來(lái)最具挑戰(zhàn)性的。
• 只有 52% 的人認(rèn)為他們的組織擁有足夠的工具和人員來(lái)應(yīng)對(duì)未來(lái)兩到三年的網(wǎng)絡(luò)事件。

網(wǎng)絡(luò)安全勞動(dòng)力短缺和技能差距

67% 的受訪者表示，他們的組織缺乏網(wǎng)絡(luò)安全人員來(lái)預(yù)防和解決安全問(wèn)題，92% 的網(wǎng)絡(luò)安全專業(yè)人員表示他們的組織存在技能差距。

組織中排名前三的技能差距是云計(jì)算安全（35%）、人工智能/機(jī)器學(xué)習(xí)（32%）、零信任實(shí)施（29%）。

進(jìn)行過(guò)網(wǎng)絡(luò)安全裁員的組織中有 51% 受到一項(xiàng)或多項(xiàng)重大技能缺口的影響，而沒有進(jìn)行過(guò)裁員的組織中這一比例僅為 39%。

經(jīng)濟(jì)不確定性

71% 的受訪者認(rèn)為，經(jīng)濟(jì)不確定時(shí)期會(huì)增加惡意內(nèi)部人員的風(fēng)險(xiǎn)。研究發(fā)現(xiàn)，39% 的網(wǎng)絡(luò)安全專業(yè)人員曾接觸過(guò)或認(rèn)識(shí)曾被惡意行為者接觸過(guò)的人。在網(wǎng)絡(luò)安全領(lǐng)域進(jìn)行過(guò)裁員的公司中，被視為惡意內(nèi)部人員的可能性是其他公司的三倍。

• 47% 的受訪者經(jīng)歷過(guò)削減，包括預(yù)算削減、裁員以及凍結(jié)招聘和晉升
• 35% 的人面臨網(wǎng)絡(luò)安全培訓(xùn)計(jì)劃的削減，這對(duì)于技能發(fā)展和勞動(dòng)力增長(zhǎng)至關(guān)重要
• 三分之二的受訪者表示，裁員對(duì)他們的生產(chǎn)力、團(tuán)隊(duì)士氣產(chǎn)生了負(fù)面影響，并增加了他們的工作量
• 57% 的受訪者表示，他們對(duì)威脅的響應(yīng)因削減而受到抑制，52% 的受訪者認(rèn)為與內(nèi)部風(fēng)險(xiǎn)相關(guān)的事件有所增加
• 31% 的專業(yè)人士認(rèn)為裁員將持續(xù)到 2024 年，70% 的專業(yè)人士預(yù)計(jì)這些裁員將包括裁員

發(fā)現(xiàn)有效的招聘、保留和團(tuán)隊(duì)建設(shè)實(shí)踐

• 47% 的受訪者對(duì)人工智能 (AI) 毫無(wú)了解或了解甚少
• 47% 的人將云計(jì)算安全視為職業(yè)發(fā)展中最受歡迎的技能
• 45% 的受訪者認(rèn)為人工智能是未來(lái)兩年的最大挑戰(zhàn)

ISC2 首席執(zhí)行官Clar Rosso表示：“雖然我們慶祝進(jìn)入該領(lǐng)域的新網(wǎng)絡(luò)安全專業(yè)人員數(shù)量創(chuàng)歷史新高，但緊迫的現(xiàn)實(shí)是，我們必須將勞動(dòng)力數(shù)量增加一倍，以充分保護(hù)組織及其關(guān)鍵資產(chǎn)?！?/span>

“在當(dāng)前前所未有的最復(fù)雜和復(fù)雜的威脅形勢(shì)下，網(wǎng)絡(luò)安全專業(yè)人員面臨的不斷升級(jí)的挑戰(zhàn)凸顯了我們信息的緊迫性：組織必須投資于他們的團(tuán)隊(duì)，無(wú)論是在新人才還是現(xiàn)有員工方面，他們具備應(yīng)對(duì)不斷變化的威脅形勢(shì)的基本技能。這是確保職業(yè)有彈性、加強(qiáng)我們集體安全的唯一途徑，”羅索繼續(xù)說(shuō)道。

組織正在積極采取戰(zhàn)略來(lái)加強(qiáng)其網(wǎng)絡(luò)安全團(tuán)隊(duì)。調(diào)查受訪者表示，他們的組織正在投資于員工培訓(xùn) (72%)、提供靈活的工作條件 (69%)、資助多元化、公平和包容 (DEI) 計(jì)劃 (68%)、支持認(rèn)證 (67%) 以及擴(kuò)大其業(yè)務(wù)范圍團(tuán)隊(duì)通過(guò)招募、雇用和入職新員工（67%）來(lái)防止或緩解員工短缺。

促進(jìn)網(wǎng)絡(luò)安全的多樣性和包容性

為了促進(jìn)員工隊(duì)伍更加多元化，組織正在采用 DEI 舉措，納入基于技能的招聘，并修改職位描述以強(qiáng)調(diào) DEI 目標(biāo)。

采用基于技能的招聘的組織已經(jīng)看到了積極的影響，其勞動(dòng)力中女性平均比例為 25.5%，而未采用這一舉措的組織中女性比例為 22.2%。然而，仍有工作要做，因?yàn)榕詢H占 30 歲以下網(wǎng)絡(luò)安全專業(yè)人員的 26%。

DEI 舉措不僅可以推動(dòng)多元化，還可以提高勞動(dòng)力效率。實(shí)施 DEI 招聘實(shí)踐的組織表示，其網(wǎng)絡(luò)安全專業(yè)人員在未來(lái)兩到三年內(nèi)應(yīng)對(duì)網(wǎng)絡(luò)威脅的準(zhǔn)備意識(shí)更強(qiáng)。

除了各種技能的技術(shù)熟練程度之外，網(wǎng)絡(luò)安全專業(yè)人員還強(qiáng)調(diào)非技術(shù)屬性的重要性。解決問(wèn)題的能力（45%）位居榜首，其次是好奇心和學(xué)習(xí)熱情（39%）以及有效溝通（38%）。