作為具有多年經(jīng)驗(yàn)的安全管理人員，我們發(fā)現(xiàn)：自上一個安全從業(yè)人員研究在2008年完成以來，(ISC)2的第五次全球信息安全從業(yè)人員研究結(jié)果，很好的記錄著信息安全的方向，這個研究是今年初發(fā)布的?？傮w來講，研究結(jié)果反映了以下幾點(diǎn)：

◆在發(fā)達(dá)地區(qū)對規(guī)則遵從的關(guān)注在增加。

◆在亞太地區(qū)，信息安全在持續(xù)增長。

◆在北美和歐洲，信息安全逐漸成熟。

◆受到全球經(jīng)濟(jì)不景氣的沖擊，尤其是在歐洲。

◆技術(shù)和安全的焦點(diǎn)從“更高層協(xié)議棧”轉(zhuǎn)向應(yīng)用層，并遠(yuǎn)離基礎(chǔ)架構(gòu)；這一趨勢反映了威脅在過去幾年內(nèi)的演化。

◆在企業(yè)中，消費(fèi)電子技術(shù)的影響力不斷增加。

我們贊成這個研究的主要結(jié)論，即由于這些趨勢的出現(xiàn)，企業(yè)和信息安全專家正面臨前所未見的壓力。

安全資源和技術(shù)差距

這個研究顯示，出于為公司和消費(fèi)者的信息提供保護(hù)的要求，監(jiān)管要求繼續(xù)在拓寬其廣度和深度。技術(shù)呈指數(shù)倍的增長，加上公司期望抓住這次增長形成自己獨(dú)特的競爭力，這也增加了對信息安全專家的要求。

我們相信：為了跟上這些趨勢，在這個研究中描述的安全技術(shù)和從業(yè)人員差距將隨著全球經(jīng)濟(jì)的穩(wěn)步復(fù)蘇變得更加顯著，同時亞太地區(qū)正經(jīng)歷著對安全資源的最大需求。由于全球企業(yè)間的相互聯(lián)系，各個地區(qū)都應(yīng)該關(guān)注這個趨勢。正如所有類別的開支都顯著增長所反映的那樣，亞洲經(jīng)濟(jì)的超凡實(shí)力將繼續(xù)刺激對安全和規(guī)則遵從資源的需求。因?yàn)橹挥泻苌俚膫鹘y(tǒng)信息技術(shù)系統(tǒng)需要被取代，亞洲國家可以快速利用更新的技術(shù)，就像他們?nèi)丝诘牧鲃有阅菢印?/p>

作為這一差距的另一個指標(biāo)，亞太地區(qū)的受訪者認(rèn)為與其他地區(qū)的同行相比，社交媒體在某種程度上顯得更加重要。采用更高層次的新技術(shù)，比如這個地區(qū)的社交媒體，已經(jīng)被許多研究和調(diào)查所注意。其中一個例子是，澳大利亞和中國的消費(fèi)者對一些社交媒體的使用率處于世界領(lǐng)先。由于只有一個相對較小的安全資源池，以及在強(qiáng)大的信息安全教育課程方面的整體不足，亞太地區(qū)的安全資源差距被進(jìn)一步拉大了。

這個研究中顯示，安全領(lǐng)域資源差距的另一驅(qū)動力是公共和私人部門之間對其需求的不斷起伏?？梢钥闯?，在過去的幾年里，公共部門對安全專家的需求呈現(xiàn)爆炸性增長，尤其是在最發(fā)達(dá)的國家。然而這種趨勢可能會趨于穩(wěn)定，在面對這些需求的時候，真正合格的候選人已經(jīng)減少了很多。

另一方面，受訪者將應(yīng)用程序漏洞列為他們所關(guān)心的最大威脅。在IT領(lǐng)域，很少有事情可以變得比軟件應(yīng)用的研發(fā)和集成更加復(fù)雜。隨著開發(fā)者致力于提高應(yīng)用程序的靈活性和用戶友好性，這些系統(tǒng)的后臺復(fù)雜性也正在增加。當(dāng)前很多的應(yīng)用程序都是具有網(wǎng)絡(luò)功能的，這就拓寬了必須對其進(jìn)行更多保護(hù)的地方。

填補(bǔ)差距的方法

盡管這個研究表明這方面的職位將從當(dāng)前的228萬個增長到2015年的424萬個，然而問題依然存在：“這些新的專家從哪里來，我們?nèi)绾伪ＷC他們是這個領(lǐng)域有知識有道德的新成員？”

由于經(jīng)常發(fā)生的眾所周知的破壞和數(shù)據(jù)丟失，安全話題已經(jīng)得到了很大的關(guān)注。這些曝光吸引了對這個行業(yè)的注意，進(jìn)而這也成為新成員進(jìn)入這個資源池的催化劑。通常，這些新成員來自傳統(tǒng)的IT教育和培訓(xùn)項(xiàng)目，也是來自IT行業(yè)本身。

直到近幾年，在傳統(tǒng)的大學(xué)和技術(shù)學(xué)校里很少有特定的安全課程可供選擇。不過這種情況已經(jīng)得到改善，現(xiàn)在有許多的特定安全項(xiàng)目提供給給技術(shù)和管理安全教育。為專業(yè)人員提供適合他們繁忙工作日程的相關(guān)培訓(xùn)也是必需的。由于對繼續(xù)教育需求的增加，企業(yè)需要這樣的培訓(xùn)，即它可以幫助企業(yè)最大限度的發(fā)揮旅費(fèi)和培訓(xùn)預(yù)算的作用。通過基于網(wǎng)絡(luò)的技術(shù)和基于計(jì)算機(jī)的課程，培訓(xùn)和認(rèn)證機(jī)構(gòu)可以提高它們的能力從而滿足這些需求。

此外，由于在過去10年，信息安全領(lǐng)域的技術(shù)改變步伐迅速加快，培訓(xùn)的內(nèi)容也必須以相同的步伐更新，從而跟上威脅和技術(shù)演化的腳步。舉例來講，這個研究中指出的最大威脅，比如不安全的應(yīng)用程序和云計(jì)算，在短短的幾年前甚至沒有引起大多數(shù)信息安全專家的關(guān)注。

許多公司都要求對其內(nèi)部安全雇員和外包顧問進(jìn)行認(rèn)證。但這決不是一個能力的保證，行業(yè)認(rèn)證只是對個人到達(dá)了信息安全領(lǐng)域最低知識要求提供保證。進(jìn)一步講，一個最低水平的行業(yè)經(jīng)驗(yàn)也是專業(yè)認(rèn)證的要求，比如那些來自(ISC)2和ISACA的認(rèn)證。企業(yè)在招聘安全雇員的時候利用這些認(rèn)證來驗(yàn)證其具備基本要求。

由于這項(xiàng)業(yè)務(wù)的性質(zhì)，道德行為成為信息安全專業(yè)的一個特征。從業(yè)人員必須服從于一個強(qiáng)有力的行為準(zhǔn)則，并以相似的方式來引導(dǎo)他們自身的行為。培訓(xùn)和認(rèn)證機(jī)構(gòu)必須確保道德行為意識和規(guī)范包含在他們的方案中。