對(duì)于安全從業(yè)者來(lái)說，CSO這一職位可謂硬幣的兩面，一方面是市場(chǎng)需求旺盛，另一方面是招不到合適的人，企業(yè)要求的綜合能力無(wú)法衡量，沒有明確的職位定義和職責(zé)規(guī)范從業(yè)者處境尷尬,因此，高就業(yè)率并不足以讓從業(yè)者樂觀，企業(yè)和人才的高匹配度才應(yīng)該是真正的追求。

在美國(guó)合格的CSO們基本不用為失業(yè)而煩惱，因?yàn)檫@一職位失業(yè)率非常低。據(jù)2013年初美國(guó)勞動(dòng)統(tǒng)計(jì)局(簡(jiǎn)稱BLS)發(fā)布的報(bào)告顯示：2012年第四季度安全高管群體的失業(yè)率僅為3%(在美國(guó)失業(yè)率低于4%則被視為充分就業(yè))，相對(duì)于美國(guó)全國(guó)平均7.3%的失業(yè)率來(lái)講簡(jiǎn)直微不足道，這說明CSO職位目前仍屬于“賣方市場(chǎng)”，那些擁有相應(yīng)資歷的從業(yè)者前途依舊光明。

不過，和CSO們的個(gè)人就業(yè)狀況相比，企業(yè)安全部門的招聘就沒那么樂觀了，對(duì)于大部分企業(yè)來(lái)說信息安全官則是一將難求。美國(guó)的相關(guān)機(jī)構(gòu)做出預(yù)測(cè)：2014年信息安全高管(即CSO)的供應(yīng)量將無(wú)法滿足市場(chǎng)需求。更有人認(rèn)為高管層以下的信息安全管理人才同樣十分匱乏。

環(huán)境演變

曾任美國(guó)聯(lián)邦通信委員會(huì)(簡(jiǎn)稱FCC)CSO、現(xiàn)任(ISC)²政府事務(wù)主管兼網(wǎng)絡(luò)安全認(rèn)證合作組織主席的Marc Noble在今年年初接受采訪時(shí)指出：人才的短缺一部分原因在于環(huán)境的迅速變化，安全威脅大量增加。“這就需要投入更多的時(shí)間來(lái)認(rèn)識(shí)新技術(shù)，觀察其帶來(lái)的安全漏洞以及考慮如何采用最佳安全控制方案，而這一切都給從業(yè)者帶來(lái)前所未有的復(fù)雜性，”它要求從業(yè)者能夠高度適應(yīng)新技術(shù)和新規(guī)程，這一點(diǎn)非常不容易。“可以說，攻擊者們始終領(lǐng)先于我們。” Marc Noble感嘆道。

除了要有處理動(dòng)態(tài)風(fēng)險(xiǎn)的能力，優(yōu)秀的CSO還必須超越技術(shù)層面進(jìn)一步豐富自身角色內(nèi)涵。他們需要成為宏觀層面的業(yè)務(wù)與運(yùn)營(yíng)專家，需要了解營(yíng)銷、金融以及法律知識(shí)。“大部分企業(yè)希望找到一位既能夠出色完成本職工作，同時(shí)還諳熟企業(yè)管理和行業(yè)趨勢(shì)的安全管理者。”然而對(duì)于這樣的職位描述，目前市場(chǎng)上對(duì)應(yīng)的人才非常稀缺甚至根本不存在。

定位危機(jī)

美國(guó)普渡大學(xué)CSO David Shaw對(duì)這種狀況作出了自己的解讀，他認(rèn)為“CISO角色正面臨著一定程度上的定位危機(jī)，因?yàn)槟壳斑@一角色尚缺乏明確的定義，企業(yè)也不知道該將其安排在什么樣的位置上，他們?cè)撓蛘l(shuí)匯報(bào)?董事會(huì)、CIO還是CFO?”“我們真的拿不出一套有效的標(biāo)準(zhǔn)化規(guī)范來(lái)說明到底哪部分事務(wù)需要CSO的介入，更別說保證其取得成功，”他解釋道。詳情請(qǐng)閱讀本站CSO角色定位不明晰 實(shí)至名歸需企業(yè)魄力一文。

一方面是沒有準(zhǔn)確的職業(yè)定位，另一方面是能力培訓(xùn)的缺失，“對(duì)于那些市場(chǎng)需求最旺的人才，需要在安全領(lǐng)域之外擁有更多知識(shí)，包括商業(yè)、通信、領(lǐng)域以及法律等。除此之外還要擁有關(guān)系創(chuàng)建、前瞻性以及與企業(yè)中各級(jí)別成員交流等一些關(guān)鍵能力。” Marc Noble說, “但這并不列入我們對(duì)安全管理者的培訓(xùn)范疇，這方面技能的缺失也直接導(dǎo)致了CSO人選的嚴(yán)重短缺。”

一家風(fēng)險(xiǎn)管理咨詢企業(yè)聯(lián)合創(chuàng)始人兼執(zhí)行主席Ed Stroz對(duì)此深表贊同，他還指出優(yōu)秀CSO最重要的能力還在于參透“安全性絕不能凌駕于便捷性之上”，現(xiàn)實(shí)工作中如何取舍需要更高的智慧。

渾水摸魚

不過即便要面對(duì)如此復(fù)雜的環(huán)境，鑒于市場(chǎng)需求的客觀存在，短時(shí)間內(nèi)也會(huì)有很多從業(yè)者蜂擁至這一領(lǐng)域當(dāng)中，這在某種程度上又會(huì)帶來(lái)新的問題。某些人肯定會(huì)主動(dòng)請(qǐng)戰(zhàn)，明知能力不足經(jīng)驗(yàn)不夠仍想冒險(xiǎn)一試。

普渡大學(xué)信息保障與安全教研中心執(zhí)行總監(jiān)Eugene Spafford認(rèn)為，旺盛的需求“往往會(huì)讓那些背景存疑的從業(yè)者將自己塑造成該領(lǐng)域的‘專家’。由于缺乏有說服力的競(jìng)爭(zhēng)與參照機(jī)制，其中一些人肯定會(huì)被正式錄用。”而更多時(shí)候，那些真正合格的候選人可能被認(rèn)為不能應(yīng)付惡化的環(huán)境而掃地出門。

他認(rèn)為，目前某些企業(yè)將CSO角色定位為“背黑鍋者而非價(jià)值供應(yīng)者”——也就是說如果敏感數(shù)據(jù)遭遇外泄，CSO將首當(dāng)其沖遭受指責(zé)，即使真正的原因在于某位員工“翻墻”將信息帶到了非安全區(qū)域，CSO仍是替罪羊，這也給“冒險(xiǎn)者”可乘之機(jī)。

如何應(yīng)對(duì)人才短缺

Noble還指出，信息安全被視為增長(zhǎng)速度最快的領(lǐng)域之一，市場(chǎng)上對(duì)CISO需求的增加速度顯然快于人才培養(yǎng)的速度：“信息安全專業(yè)人員的數(shù)量預(yù)計(jì)在未來(lái)五年內(nèi)每年增幅都將超過11%，即便如此人才短缺仍然存在。”

如何解決這樣的困境?目前大家普遍認(rèn)為安全培訓(xùn)應(yīng)該成為優(yōu)先級(jí)更高的主流教育課程，CSO這個(gè)職位本身也需要得到更多宣傳與推廣。Noble認(rèn)為網(wǎng)絡(luò)安全培訓(xùn)必須盡早開始：“安全必須成為早期教育課程中的組成部分，并貫穿從業(yè)者的整個(gè)求學(xué)生涯。”

不過單靠培訓(xùn)還不夠，甚至研究生階段的教育也難以達(dá)到實(shí)際要求，因?yàn)榇蟛糠制髽I(yè)都希望找到一位真正合格的CSO。按照Shaw的說法：“合格的CSO需要能夠在上任的第一天就投入實(shí)際工作。對(duì)于剛剛走出校門的研究生來(lái)說，他們?cè)趯?shí)踐層面的經(jīng)驗(yàn)還非常匱乏。我認(rèn)為這個(gè)難題可以通過充分的實(shí)習(xí)經(jīng)歷以及畢業(yè)后的從業(yè)積累加以解決。”

目前這一計(jì)劃正在進(jìn)行，普渡大學(xué)信息保障與安全教研中心(簡(jiǎn)稱CERIAS)已經(jīng)推進(jìn)類似的方案。Noble說，這類方案在技術(shù)與其它學(xué)科之間建起了橋梁，能夠幫助未來(lái)有意進(jìn)軍CSO角色的學(xué)生提前做好準(zhǔn)備。他還列舉出其他尚處于起始階段的項(xiàng)目，并表示，這些項(xiàng)目旨在幫助成長(zhǎng)中的人才同時(shí)從能力與專業(yè)兩個(gè)方面汲取營(yíng)養(yǎng)。參與項(xiàng)目推動(dòng)的機(jī)構(gòu)包括英國(guó)eSkills、歐洲標(biāo)準(zhǔn)化委員會(huì)(簡(jiǎn)稱CEN)、國(guó)際標(biāo)準(zhǔn)化組織(簡(jiǎn)稱ISO)、國(guó)際電信聯(lián)盟、電信發(fā)展部門(簡(jiǎn)稱ITU-D)以及NICE Framework。(ISC)²同樣以多種方式向其中投入資源作為支持。

但是，對(duì)于那些無(wú)法耐心等待必須盡快找到相關(guān)人才的企業(yè)來(lái)說，Stroz認(rèn)為目前最可選的解決方案在于將工作外包給專業(yè)咨詢企業(yè)。他的理由是：在選拔合適人選的過程中“往往會(huì)涉及企業(yè)現(xiàn)有安全漏洞，這樣的討論內(nèi)容相當(dāng)敏感，因?yàn)殡y免會(huì)涉及大量?jī)r(jià)值極高的知識(shí)產(chǎn)權(quán)信息。”外包會(huì)相對(duì)安全。

所有的問題最終歸結(jié)為人才在技術(shù)與業(yè)務(wù)兩類技能方面的“高度適應(yīng)性”。“目標(biāo)在于建立一套與企業(yè)業(yè)務(wù)目標(biāo)相一致的風(fēng)險(xiǎn)管理環(huán)境，”Stroz指出。“沒有這樣的前提作為輔助，不管是招聘專職還是外包都不可能獲得令人滿意的結(jié)果。”