在2016年的(ISC)²亞太信息安全峰會上，(ISC)²首席執(zhí)行官David Shearer先生接受了51CTO記者的采訪，分享了自己對于信息安全行業(yè)未來變化趨勢的展望。在Shearer先生看來，各國政府與公民對于個人數(shù)據(jù)的保護意識在增強，而這將可能會深刻的影響信息安全行業(yè)、云計算行業(yè)乃至整個IT行業(yè)未來的格局。

以下為采訪實錄。

51CTO：您之前提到過安全領(lǐng)域的人才狀況，說我們將會面臨嚴峻的安全人才短缺的問題。這是一個全球性的現(xiàn)象嗎？

David Shearer：是的，這是一個全球性的現(xiàn)象。我們每兩年開展一次《全球信息安全人力研究》調(diào)查（Global Information Security Workforce Study），2015年的研究報告采集到將近14000份問卷回復(fù)，這份樣本的平均年齡是42歲，而30歲以下的人群僅占總?cè)藬?shù)的6%。

導(dǎo)致這一現(xiàn)象的原因仍然有待研究。在美國的情況是，這幾年從大學(xué)的計算機科學(xué)系畢業(yè)的學(xué)生越來越少，這可能影響到進入信息安全行業(yè)的畢業(yè)生的人數(shù)。然而在亞太區(qū)，計算機科學(xué)系的優(yōu)秀畢業(yè)生一直都是非常多的，但愿意進入安全行業(yè)的年輕人還是不多，所以在亞太區(qū)可能有一些其他的原因。

我想，這可能跟我們傳達的信息還不夠有關(guān)。我們是否讓年輕人認識到，信息安全行業(yè)是一個充滿刺激的領(lǐng)域？這個行業(yè)可以一直做到老？是否讓他們對這個行業(yè)產(chǎn)生興趣？

總之，這的確是一個全球性的現(xiàn)象，所以我們才要召開更多這樣的活動，向年輕人們傳遞這些信息。

51CTO：人才短缺的現(xiàn)象是否也在整個行業(yè)內(nèi)的不同領(lǐng)域普遍存在呢？比如，我們是更加缺乏業(yè)務(wù)安全咨詢方面的人才？還是系統(tǒng)運維安全方面的？或者是網(wǎng)站應(yīng)用安全方面的？

David Shearer：你的問題涉及到我一直以來強調(diào)的一個觀點，那就是信息安全從業(yè)人員必須要能夠跨界。你想要學(xué)習軟件安全，你就必須了解編程。你要做醫(yī)療安全，就必須了解患者醫(yī)療記錄這種信息的獨特性。

從統(tǒng)計的數(shù)據(jù)來看，我們看到更多的短缺來自入門級別的崗位，這與剛才我們提到的這個行業(yè)缺乏年輕人是有所關(guān)聯(lián)的。入門級別的崗位需求比較廣泛，需要從業(yè)者掌握更加寬泛的一系列技能。而另一方面，一些專業(yè)性很強的領(lǐng)域也有明顯的短缺，比如滲透測試（pentesting）、防火墻等，但總體來說各個方面都呈現(xiàn)人才短缺的現(xiàn)象。

(ISC)²擁有超過115,000名認證會員，由遍布在160多個國家和地區(qū)的網(wǎng)絡(luò)（Cyber）、信息（Information）、軟件（Software）與基礎(chǔ)設(shè)施（Infrastructure）安全專業(yè)人士組成。我們關(guān)心的是一切種類的信息安全，這也包含以物理形式存在的信息。這在現(xiàn)在世界上很多地方還很常見，比如在醫(yī)院或者是律師行，里面的很多內(nèi)容還是沒有數(shù)字化的，這些信息的安全我們一直在關(guān)注?，F(xiàn)在的大趨勢是一切信息都在數(shù)字化，所以網(wǎng)絡(luò)的重要性越來越強。然而在一切信息都數(shù)字化之前，信息安全仍然是一個更加廣泛的工作，并不單純是技術(shù)層面的事情。

無論是任何形式的信息安全，其目的都是對信息進行價值評估，并且確保其收到保護、不會丟失或者被盜。技術(shù)只是實現(xiàn)該目的的一種手段。

51CTO：現(xiàn)在云計算是大趨勢，而基礎(chǔ)架構(gòu)的云化似乎有一個趨勢，就是信息越來越多的集中在全世界少數(shù)幾個公司的數(shù)據(jù)中心里面（而不是自家的硬盤里）。這是否意味著我們未來將會只需要這幾個公司的安全團隊來保護所有人的數(shù)據(jù)？

David Shearer：我們跟云安全聯(lián)盟（Cloud Security Alliance）聯(lián)合推出了云計算安全認證CCSP，因為他們在云計算領(lǐng)域的研究非常收到業(yè)內(nèi)的尊重，他們了解云計算行業(yè)的變化趨勢以及云計算解決方案和云服務(wù)的變化趨勢。

的確，很多公司正在往云計算平臺移動，在這個過程中，他們從“投資硬件模式”轉(zhuǎn)換為“運維投入模式”?？雌饋?，似乎是有可能呈現(xiàn)“集中的安全團隊”這樣的趨勢。

然而，歐盟推出了GDPR條例（General Data Protection Regulation，《通用數(shù)據(jù)保護條例》），這一條例正在個人隱私層面和數(shù)據(jù)主權(quán)層面改變著世界。GDPR關(guān)注個人數(shù)據(jù)的流向，要求存儲個人數(shù)據(jù)的企業(yè)為這些數(shù)據(jù)提供保障：即如果你的業(yè)務(wù)涉及歐盟公民的個人數(shù)據(jù)，則這些數(shù)據(jù)不可以離開歐盟境內(nèi)。這對于云計算服務(wù)商而言可以說是一條顛覆性的法規(guī)。

我認為GDPR的推出會導(dǎo)致更多的合作，即全球的前三大或五大的云計算服務(wù)商將更多的跟本地公司合作，或者是并購，從而形成本地化的云計算服務(wù)。

至于這樣的趨勢會形成更大更集中的安全團隊，還是會使得安全從業(yè)人員更加分散，仍然有待觀察。在我個人看來，如果那些巨頭們以并購為主要的手段，那么安全團隊可能會趨于集中，反之則可能趨于分散。無論如何，GDPR還有兩年的強制執(zhí)行期限，所以還需要時間的驗證。

所以，云計算安全原本就是一個相當復(fù)雜的話題，而現(xiàn)在有了GDPR的介入，事情開始變得更加復(fù)雜。

我們這個行業(yè)很少有什么東西會變得更簡單。在以前，可能大家想到信息保護首先會想到數(shù)據(jù)中心內(nèi)部的保護。然而在今天，個人信息在網(wǎng)絡(luò)上到處流轉(zhuǎn)，GDPR要求你存儲在某國的個人數(shù)據(jù)不能離開某國，而且當用戶離開該系統(tǒng)時確保其信息從系統(tǒng)中清理。從目的的角度來看，這是將用戶的個人信息的支配權(quán)重新還給用戶，強制性的確保個人信息得到正確的處理，然而這其中的執(zhí)行會有很大的挑戰(zhàn)。

GDPR現(xiàn)在只是在歐盟內(nèi)部推行，不過我們可能會看到此類法規(guī)開始在全球蔓延。

51CTO：那么目前來看，是否有一些新創(chuàng)的公司來嘗試處理這方面的要求？或者是傳統(tǒng)的公司在這方面更加積極？

David Shearer：我認為這兩個問題的答案都是肯定的。沒有任何人可以忽視這個法規(guī)的推進，即使你是百年老店，也必須要遵從這些法規(guī)。

到目前為止，我還沒見到很多新創(chuàng)的公司在處理此類問題，畢竟GDPR條例的通過也不過是幾個月之前的事情。不過正如我上面所說，我們應(yīng)該會看到大量的合作。

51CTO：數(shù)據(jù)泄露可能發(fā)生在Web應(yīng)用層面，也可能發(fā)生在硬件的層面。作為業(yè)務(wù)的所有人，面對如此多可能發(fā)生數(shù)據(jù)泄漏的點，要如何盡可能的將問題簡化？

David Shearer：對于業(yè)務(wù)的所有人，我經(jīng)常強調(diào)的一點是，有關(guān)數(shù)據(jù)保護最根本的事情就是建立起清晰的“信息資產(chǎn)清單”（inventory）。

信息資產(chǎn)清單首先關(guān)注的是你所掌握的信息：涉及你業(yè)務(wù)知識產(chǎn)權(quán)的信息有哪些？涉及用戶個人可識別信息（Personal Identifiable Information，PII）的信息有哪些？根據(jù)相應(yīng)的評估（隱私影響力評估，privacy impact assessment），不同級別的信息需要不同的控制強度。這個階段的工作是最基本的，而這并不涉及技術(shù)層面的堆棧，數(shù)據(jù)在上層還是底層是之后才考慮的事情。

首先為你的信息重要性做好上述評估，需要怎樣的控制強度，然后根據(jù)其所需的控制強度，安排它們存儲在哪里，如何存儲，如何流轉(zhuǎn)，需要怎樣的加密等等這些技術(shù)細節(jié)。

數(shù)據(jù)的流動是個復(fù)雜的問題，尤其是在移動設(shè)備如此普及的今天，有關(guān)個人信息的控制充滿挑戰(zhàn)。就GDPR而言，如果你的企業(yè)達不到其要求，你的企業(yè)最終會面臨一系列的處罰。

如果你的業(yè)務(wù)是開發(fā)應(yīng)用，那么在設(shè)計階段就需要將用戶場景考慮在內(nèi)，搞清楚使用過程中涉及了哪些人，他們之間如何互相通訊，當中的數(shù)據(jù)如果有法規(guī)要求予以保護的，則需要被標記并予以恰當?shù)奶幚?，如不能流出歐盟，以及用戶退出之后需要將其數(shù)據(jù)刪除等等。

很多人都在研究GDPR對自己的業(yè)務(wù)可能造成的影響。雖然該法規(guī)現(xiàn)在僅限于歐盟，而全球還沒有統(tǒng)一的類似限制，但即使你今天的業(yè)務(wù)跟歐盟沒有關(guān)系，也不排除你未來的業(yè)務(wù)不會受到相應(yīng)的影響。也許到某一天，你的業(yè)務(wù)是否能夠成熟的處理數(shù)據(jù)主權(quán)的問題，可能會成為對方采購時考慮的因素之一。早點做好準備總是沒錯的。

51CTO：最后，對于您之前提到的入門級安全從業(yè)人員短缺的問題，能夠給想要進入該行業(yè)的、但是還沒有從業(yè)經(jīng)驗的年輕人們提供一些建議嗎？

David Shearer：我可以推薦我們(ISC)2的準會員計劃（Associate Program）。大家都知道像是我們的CISSP認證是要求很高的，首先你得有五年的業(yè)內(nèi)經(jīng)驗，然后通過考試，才能成為會員。還有像是面向IT系統(tǒng)與基礎(chǔ)設(shè)施管理的SSCP，也需要一年的從業(yè)經(jīng)驗。

而準會員計劃則是，即使你沒有過從業(yè)經(jīng)驗，也可以通過考試而成為我們的準會員。以準會員的身份參與業(yè)內(nèi)的工作積累經(jīng)驗，比如CISSP需要六年，SSCP需要兩年；同時在這段期間，你一直維持你的認證以證明你正在不斷的更新你的知識積累。那么當時間要求達到的時候，你就從準會員成為了正式的會員。

準會員計劃不僅適合那些畢業(yè)生們，同時也適合那些希望從其他行業(yè)轉(zhuǎn)到安全行業(yè)的人們。這可以給他們一個很好的過渡。

準會員計劃并不意味著我們希望降低認證的標準，我們將一直用高水準的標準來要求我們的會員，確保他們是專業(yè)的行業(yè)實踐者。通過準會員計劃，我們希望能夠提供多一種途徑，幫助更多的人成為安全領(lǐng)域的專家。而需要安全人才的企業(yè)，也可以從中吸納到一些新鮮的血液。

51CTO：好的，我的問題就這些。謝謝Shearer先生接受我們的采訪！