對(duì)于求職者和雇主而言，IT安全就業(yè)市場(chǎng)是IT行業(yè)最棘手的就業(yè)市場(chǎng)之一。

據(jù)2012年IT薪酬調(diào)查發(fā)現(xiàn)，很多IT安全專(zhuān)業(yè)人士在2012年得到了加薪和獎(jiǎng)金，他們對(duì)2013年充滿(mǎn)期待。但是求職者不切實(shí)際的期望、IT安全就業(yè)市場(chǎng)的技能差距以及缺乏熟練的安全專(zhuān)家等問(wèn)題，給首席信息安全官帶來(lái)招聘挑戰(zhàn)。其結(jié)果是，這個(gè)市場(chǎng)經(jīng)常苦惱于如何找到和聘請(qǐng)所需的人才，而另一方面，IT安全求職者不清楚他們需要學(xué)習(xí)怎樣的技能以在IT安全領(lǐng)域取得成功。

對(duì)于這些問(wèn)題，我們?cè)儐?wèn)了L. J. Kushner and Associates的創(chuàng)始人兼首席執(zhí)行官Lee J. Kushner。Kushner的公司專(zhuān)注于信息安全人才的招聘工作。自1996年以來(lái)，Kushner一直從事信息安全專(zhuān)業(yè)人士招聘工作，也見(jiàn)證了這些年的巨大變化。

就目前來(lái)看，你認(rèn)為這個(gè)市場(chǎng)對(duì)哪些IT安全技能需求較多？

Lee Kushner：很多技能比其他技能需求多，它們也是過(guò)去兩三年中需求的最前沿。我們看到技能需求越來(lái)越多地集中在應(yīng)用安全、事件響應(yīng)、威脅和漏洞管理領(lǐng)域，然后是結(jié)合了一些風(fēng)險(xiǎn)因素和技術(shù)因素的整體混合安全架構(gòu)領(lǐng)域。這些都是現(xiàn)在很多企業(yè)有很大需求的IT安全技能。

此外，企業(yè)尋求什么樣的技能，很多時(shí)候取決于該企業(yè)是否正在響應(yīng)政府監(jiān)管，或者他們是否想要真正實(shí)現(xiàn)高水平的安全性。那些試圖根據(jù)合規(guī)性或外部審計(jì)員的調(diào)查結(jié)果來(lái)建立安全計(jì)劃的企業(yè)，可能并不專(zhuān)注于找到最優(yōu)秀的人才和技術(shù)。他們可能更關(guān)心的是找到一個(gè)解決方案來(lái)滿(mǎn)足合規(guī)要求，而不是保護(hù)其企業(yè)抵御安全威脅。如果他們想要的是安全性，而不是合規(guī)性，他們可能會(huì)更傾向于更高水平的做法，他們會(huì)開(kāi)始尋找這樣的人才：有更高技術(shù)水平、對(duì)外部威脅有更深入的了解，用更多預(yù)防和積極的措施來(lái)確保不會(huì)發(fā)生數(shù)據(jù)泄露事故。

回首過(guò)去的十年到十五年，你會(huì)如何描述當(dāng)前IT安全市場(chǎng)的需求？

Kushner：對(duì)于這個(gè)市場(chǎng)，我唯一可以作比較的是2000年的就業(yè)市場(chǎng)。2000年和現(xiàn)在的區(qū)別是，當(dāng)時(shí)如果你能拼出安全兩個(gè)字，就會(huì)雇用你。當(dāng)時(shí)，安全市場(chǎng)都是千篇一律的需求，并且有著廣泛的需求。從市場(chǎng)來(lái)看，滲透測(cè)試人員、防火墻人員或者網(wǎng)絡(luò)IDS人員之間，并沒(méi)有太大區(qū)別。換句話(huà)說(shuō)，他們都是安全人員，如果你會(huì)做其中一件事，你就能勝任所有這些職位。

企業(yè)是否難以描述和找到他們所需要的技能？

Kushner：我們?cè)鴰图~約市的一家國(guó)際銀行搜尋人才。在我們介入之前，他們已經(jīng)公開(kāi)招聘達(dá)6個(gè)月，他們?cè)噲D尋找負(fù)責(zé)美洲地區(qū)的信息安全官。他們遇到的問(wèn)題是，每個(gè)候選人都非常熟悉政策，而沒(méi)有任何技術(shù)技能。他們需要的是能夠滿(mǎn)足其技術(shù)要求以及領(lǐng)導(dǎo)要求的人才，來(lái)幫助他們制定計(jì)劃。而這是他們遇到的真正難題，你無(wú)法在互聯(lián)網(wǎng)上使用通用關(guān)鍵字來(lái)找到這種人才，并且，很多人可能看起來(lái)符合要求，但當(dāng)你深入到客戶(hù)試圖尋找的人才的具體要求，你會(huì)發(fā)現(xiàn)這比他們預(yù)期的更具挑戰(zhàn)性。

此外，對(duì)于試圖招募IT安全人才的企業(yè)而言，一個(gè)更大的問(wèn)題是，很多企業(yè)不了解將一名安全專(zhuān)業(yè)人士從他滿(mǎn)意的職位和公司挖走是多么的困難。他們會(huì)說(shuō)，“我們已經(jīng)與這些公司討論過(guò)，他們告訴我們，這個(gè)職位的薪水是X。”在企業(yè)內(nèi)部，X可能是入門(mén)工資水平，但你要考慮到，你面對(duì)滿(mǎn)員等因素的市場(chǎng)，你就得面對(duì)厭惡風(fēng)險(xiǎn)的安全人員，經(jīng)濟(jì)環(huán)境讓人們?cè)谧约旱穆殬I(yè)生涯決策中考慮風(fēng)險(xiǎn)溢價(jià)因素，綜合起來(lái)，這種平均報(bào)價(jià)并不會(huì)很吸引人。

是否有很多專(zhuān)業(yè)人士讓自己變得太專(zhuān)業(yè)化？

Kushner：毫無(wú)疑問(wèn)，有一些人呆在固定的位置，這限制了他們。現(xiàn)在，在很多情況下，安全的某些方面被視為其他領(lǐng)域的一部分。例如，為了成為一名良好的網(wǎng)絡(luò)架構(gòu)師，你必須對(duì)安全有一定的了解。而在過(guò)去你不需要這樣?，F(xiàn)在，安全已經(jīng)成為網(wǎng)絡(luò)技術(shù)技能的一個(gè)子集。如果你不具備安全知識(shí)，我不認(rèn)為你能成為一個(gè)全面的網(wǎng)絡(luò)工程師或架構(gòu)師。但如果你將自己定位為安全人員，而你只知道PCI DSS合規(guī)，或者網(wǎng)絡(luò)安全，或者IDS，你可能需要擴(kuò)大自己的技能，以不斷發(fā)展取得成功。

對(duì)于想從相對(duì)較低水平的安全操作職位轉(zhuǎn)到安全管理或領(lǐng)導(dǎo)職位的人，你有什么建議？

Kushner：我認(rèn)為他們應(yīng)該做的是，必須找到可以發(fā)揮其專(zhuān)業(yè)知識(shí)作用的內(nèi)部項(xiàng)目。在那里，他們可以開(kāi)始在內(nèi)部發(fā)揮一定的領(lǐng)導(dǎo)作用。試圖轉(zhuǎn)變你的職位的最佳方法是在內(nèi)部承擔(dān)某些職務(wù)，而不是到外部去尋找。獵頭說(shuō)這樣的話(huà)很蠢，但確實(shí)應(yīng)該這樣。當(dāng)你在內(nèi)部建立了自己的聲譽(yù)，你就有了最好的內(nèi)部?jī)?chǔ)備。

如果你被認(rèn)為是一名優(yōu)秀的網(wǎng)絡(luò)安全工程師或網(wǎng)絡(luò)工程師，現(xiàn)在有一個(gè)項(xiàng)目可以由你來(lái)領(lǐng)導(dǎo)，你應(yīng)該排除萬(wàn)難，抓住這個(gè)機(jī)會(huì)，開(kāi)始發(fā)展一些你的企業(yè)所認(rèn)為的管理層特質(zhì)。接著，在你不知情的情況下，他們將會(huì)給你另一個(gè)項(xiàng)目來(lái)領(lǐng)導(dǎo)，而后再給你另一個(gè)項(xiàng)目，然后，他們會(huì)說(shuō)，‘哇，這個(gè)家伙在過(guò)去18個(gè)月中一直在從事管理人員的工作，我們現(xiàn)在正好需要招聘一名安全管理人員或者網(wǎng)絡(luò)安全管理人員，不用去外面找了，讓我們把這個(gè)機(jī)會(huì)給他吧，他將會(huì)非常勝任。’

從經(jīng)驗(yàn)中獲取技能是非常重要的。你可以在內(nèi)部找機(jī)會(huì)嘗試這樣做。固步自封的人就像是只會(huì)一招的小馬，他們面臨的問(wèn)題是，很難將這一招應(yīng)用到不同的環(huán)境中。