信息安全市場(chǎng)預(yù)計(jì)將從2015年的750億美元發(fā)展到2020年的1700億美元，但是，如同其他任何行業(yè)，成長(zhǎng)的煩惱無(wú)法避免。

不斷發(fā)展的威脅態(tài)勢(shì)、網(wǎng)絡(luò)犯罪即服務(wù)和網(wǎng)絡(luò)間諜，是當(dāng)今執(zhí)法機(jī)構(gòu)和CISO們最頭疼的問(wèn)題，更不用說(shuō)屢創(chuàng)新高的數(shù)據(jù)泄露事件了。但，還有個(gè)更大、更基礎(chǔ)的問(wèn)題在折磨信息安全市場(chǎng)。

[[179083]]

信息安全長(zhǎng)久以來(lái)都受制于眾所周知的技術(shù)人才短缺問(wèn)題。(ISC)² 預(yù)測(cè)到2020年將有200萬(wàn)個(gè)信息安全職位無(wú)人可用，思科則將當(dāng)今全球信息安全人才缺口指認(rèn)為近100萬(wàn)個(gè)。半島新聞公布的勞動(dòng)統(tǒng)計(jì)局2015分析數(shù)據(jù)顯示，美國(guó)目前有超過(guò)209000個(gè)網(wǎng)絡(luò)安全職位空缺。

人才缺乏是全行業(yè)的，但其中數(shù)據(jù)科學(xué)家、數(shù)據(jù)分析師、社會(huì)工程和數(shù)字鑒證專家的迫切需求尤其突出。

這不是夸大其詞，該人才短缺已經(jīng)影響到日常的方方面面了。 Frost & Sullivan 咨詢公司和(ISC)² 聯(lián)合進(jìn)行的一項(xiàng)調(diào)查揭示，企業(yè)及其安全人員越來(lái)越將數(shù)據(jù)泄露歸罪于技術(shù)人才的缺乏。技術(shù)市場(chǎng)研究公司 Vanson Bourne 和 英特爾安全的另一項(xiàng)研究，則表明IT經(jīng)理認(rèn)為該人才短缺將讓他們更容易攻擊者盯上，造成專利數(shù)據(jù)損失或聲譽(yù)損害。

然而，找出該人才短缺的根源，并不容易。有人將矛頭指向了STEM(科學(xué)、技術(shù)、工程和數(shù)學(xué))教育體系沒(méi)有涵蓋安全思維，其他人則責(zé)怪隨著計(jì)算機(jī)科學(xué)畢業(yè)生尋求到谷歌、Facebook或推特之類的技術(shù)巨頭就職而導(dǎo)致的大學(xué)校園內(nèi)安全方面興趣的減弱。

然后，還有人才保留問(wèn)題，職業(yè)倦怠是一方面因素，招聘要求高是另一方面因素(信息安全要求的技術(shù)很復(fù)雜，包括了像惡意軟件檢測(cè)、逆向工程、加密和虛擬化之類的東西。)

CISO，以及他們的團(tuán)隊(duì)成員，可以來(lái)自其他領(lǐng)域

不過(guò)，或許有其他方法可以說(shuō)服年輕學(xué)生或有經(jīng)驗(yàn)的職業(yè)人士，轉(zhuǎn)到安全行業(yè)上來(lái)，無(wú)論他們的年齡和所從事的行業(yè)。

傳統(tǒng)的信息安全職業(yè)某種程度上有些僵硬刻板的印象。學(xué)生考進(jìn)大學(xué)，拿到學(xué)位，再考幾個(gè)信息系統(tǒng)安全認(rèn)證專家(CISSP)、信息系統(tǒng)審計(jì)師(CISA)或信息系統(tǒng)經(jīng)理(CISM)之類的認(rèn)證，然后做完安全或網(wǎng)絡(luò)架構(gòu)師入職。

但是，這種模式的問(wèn)題，在于時(shí)間和投入。英特爾安全EMEA(歐洲、中東和亞洲)部的CTO就曾經(jīng)說(shuō)過(guò)，他職業(yè)生涯中累積了近30個(gè)行業(yè)相關(guān)資質(zhì)，表明這一行留給兼職或業(yè)余愛(ài)好者的空間真心不多。

不過(guò)，慢慢地，有一種說(shuō)法開(kāi)始冒頭：高薪與挑戰(zhàn)并存的信息安全職位，可以從其他行業(yè)挑選人才。

提出這種說(shuō)法的人就認(rèn)識(shí)一家從法律界招聘高級(jí)安全主管的專業(yè)安全服務(wù)公司，也有公務(wù)員經(jīng)培訓(xùn)后獲得英國(guó)國(guó)家犯罪局(NCA)高級(jí)網(wǎng)絡(luò)職位的。2014年的一次訪談中，阿卡邁CSO安迪·伊利斯坦陳，自己的安全團(tuán)隊(duì)從通信、客戶支持和幫助臺(tái)員工中招聘人員。

趣事連篇，如今，歡迎來(lái)自其他產(chǎn)業(yè)新人的業(yè)界努力越來(lái)越多了。1年前，信息系統(tǒng)安全協(xié)會(huì)(ISSA)啟動(dòng)了對(duì)技術(shù)缺口的調(diào)查，結(jié)論是需要建立起國(guó)際認(rèn)可的網(wǎng)絡(luò)安全職業(yè)框架。于是，ISSA網(wǎng)絡(luò)安全職業(yè)生命周期(CSCL)誕生。

英國(guó)政府通信總部(GCHQ)和美國(guó)國(guó)家安全局(NSA)之類的政府機(jī)構(gòu)，已經(jīng)開(kāi)始提供獎(jiǎng)學(xué)金和各種競(jìng)賽，盡管他們相對(duì)較低的薪水經(jīng)常被可在私營(yíng)產(chǎn)業(yè)賺取2倍、3倍乃至10倍數(shù)額的員工嘲笑。

City of Atlanta 前CISO，CloudAssurance現(xiàn)CTO泰耶·蘭波，就是從另一個(gè)行業(yè)(工程)轉(zhuǎn)行到安全，且自身經(jīng)歷又反過(guò)來(lái)影響到他的招聘策略的活例子。

“在我作為CISO和創(chuàng)業(yè)者的職業(yè)經(jīng)歷里，我聘用了帶有網(wǎng)絡(luò)安全甚或信息技術(shù)領(lǐng)域以外背景的人士，最初是作為研究實(shí)習(xí)生，給他們機(jī)會(huì)成長(zhǎng)為分析師或工程師、經(jīng)理和總監(jiān)之類的安全角色。其中有些人在我聘用他們?yōu)閷?shí)習(xí)生后幾年就成為了成功的信息安全官。”

特勒爾斯·奧爾汀，Barclays首席信息安全官，之前在丹麥警方和歐洲刑警組織的執(zhí)法部門工作。毫不意外地，他認(rèn)為，由外而內(nèi)地切入確實(shí)可行，尤其在年輕的時(shí)候。

“很多安全方面有才華的年輕人對(duì)傳統(tǒng)的大學(xué)計(jì)算機(jī)科學(xué)教育不感興趣，甚至對(duì)整個(gè)大學(xué)教育就沒(méi)興趣。但他們可能是非常好的互聯(lián)網(wǎng)用戶和專家。”

巴克萊銀行正嘗試與各大學(xué)合作，通過(guò)巴克萊銀行網(wǎng)絡(luò)學(xué)院吸引年輕人才。該短期的“專項(xiàng)”培訓(xùn)項(xiàng)目設(shè)置在美國(guó)、英國(guó)、立陶宛和南非，準(zhǔn)確定位在對(duì)大學(xué)課程不感興趣的人身上。

然后，可以考慮從非傳統(tǒng)網(wǎng)絡(luò)行業(yè)搜羅年長(zhǎng)點(diǎn)兒的人才，只需少量升級(jí)課程就可以順利切換。

但高級(jí)職位是分水嶺

有人認(rèn)為，高級(jí)管理層是從其他行業(yè)招聘最活躍的領(lǐng)域。

曾任英國(guó)考文垂建筑協(xié)會(huì)銀行和英國(guó)能源公司CISO，目前為佛瑞斯特研究公司安全分析師的馬丁·威特沃斯說(shuō)：“我見(jiàn)過(guò)從別的行業(yè)招聘，但大多數(shù)這類活動(dòng)都發(fā)生在中層或高層級(jí)。確實(shí)見(jiàn)過(guò)有員工成功從其他各種各樣的業(yè)務(wù)領(lǐng)域轉(zhuǎn)行安全，包括運(yùn)營(yíng)風(fēng)險(xiǎn)、財(cái)務(wù)、審計(jì)、法務(wù)和項(xiàng)目管理。”

“在最高層級(jí)(比如CISO)，我見(jiàn)過(guò)來(lái)自審計(jì)、風(fēng)險(xiǎn)和財(cái)務(wù)背景的員工進(jìn)入這些管理角色，并且做得非常成功，我甚至聽(tīng)說(shuō)過(guò)有從HR背景進(jìn)入CISO角色的。雖然CISO只是初級(jí)高管職位，但這一職位被看作是通往高管發(fā)展階梯的墊腳石。”

安全公司Forcepoint副CISO尼爾·薩克對(duì)此表示贊同：“我見(jiàn)證過(guò)太多企業(yè)從公司其他領(lǐng)域延攬人才，要么是從入門級(jí)角色踏入網(wǎng)絡(luò)安全，要么是從管理視角切入。”

“好的經(jīng)理或團(tuán)隊(duì)領(lǐng)袖會(huì)是有效溝通者，再帶個(gè)正確的團(tuán)隊(duì)，往往都能在網(wǎng)絡(luò)安全上取得成功。”

英國(guó)國(guó)家網(wǎng)絡(luò)研究中心研究主任理查德·本漢姆對(duì)此存有疑慮，他見(jiàn)到的大多數(shù)新入行者來(lái)自IT背景，但坦誠(chéng)所有的職位角色都需要集成進(jìn)安全。

“網(wǎng)絡(luò)影響到我們生活的方方面面。HR、市場(chǎng)營(yíng)銷、法務(wù)、客戶體驗(yàn)等等領(lǐng)域的專家，都應(yīng)該具備一定的網(wǎng)絡(luò)專業(yè)知識(shí)。這是必備的教育。”

招聘人員也看到了這一轉(zhuǎn)變

網(wǎng)絡(luò)安全專業(yè)招聘機(jī)構(gòu)BeecherMadden總監(jiān)卡拉·喬斌稱：“不進(jìn)行再培訓(xùn)，是無(wú)法填補(bǔ)網(wǎng)絡(luò)人才空缺的。”

“網(wǎng)絡(luò)職位的應(yīng)聘者漸漸來(lái)自風(fēng)險(xiǎn)管理、危機(jī)管理、項(xiàng)目管理和市場(chǎng)營(yíng)銷。我們的研究顯示，這些人通常因具備寬泛的技術(shù)面而能獲得更高的薪水。”

有趣的是，她提到，女性應(yīng)聘者應(yīng)獲得更多的工作機(jī)會(huì)和更高的薪水(信息安全行業(yè)中只有11%是女性)。

從博主變身安全顧問(wèn)的李·忙森就是這些轉(zhuǎn)職者之一，從零售管理轉(zhuǎn)到了安全意識(shí)領(lǐng)域，為法國(guó)廣告公司Publicis的 Re:Sources UK 分部工作。

“我從中學(xué)時(shí)期開(kāi)始就對(duì)計(jì)算機(jī)感興趣。不過(guò)，直到我親眼看到朋友和家人淪為網(wǎng)絡(luò)詐騙和惡意軟件的受害者，我才漸漸開(kāi)發(fā)出對(duì)安全的興趣。

為了幫助他們，我進(jìn)行了必要的研究，在隨后多年中慢慢筑成了我的安全知識(shí)庫(kù)。直到最近，我在各種會(huì)議上碰到的人才建議說(shuō)，我應(yīng)該考慮在安全行業(yè)中謀個(gè)職位了。

我的建議是，堅(jiān)持進(jìn)入該行的傳統(tǒng)途徑，但不要完全依賴這些?？梢匀ジ鞣N安全大會(huì)，加入論壇，在社交媒體和網(wǎng)絡(luò)上與信息安全專業(yè)人士瘋狂交流的同時(shí)順便發(fā)展溝通技巧。然后你會(huì)發(fā)現(xiàn)你的競(jìng)爭(zhēng)力和業(yè)內(nèi)很多人都缺乏的軟技能同時(shí)得到了最佳提升。”

聘到正確的人才

CISO需要停止恐懼未知事物，在審查自家團(tuán)隊(duì)的能力上保持積極主動(dòng)。

所有CISO都應(yīng)該審查自家團(tuán)隊(duì)的能力，據(jù)此進(jìn)行調(diào)整，以便保持良好的平衡。培訓(xùn)是很重要的，在職培訓(xùn)也一樣。咨詢顧問(wèn)能在短期內(nèi)提振競(jìng)爭(zhēng)力。

團(tuán)隊(duì)指導(dǎo)也是一個(gè)常被忽視了的成功策略。招攬未來(lái)替代你的人，指導(dǎo)他們及時(shí)替上你的角色，將會(huì)對(duì)你有所輔助并給你的履歷添上光輝一筆。讓他們也對(duì)自己的角色做出同樣的舉動(dòng)，并層層傳導(dǎo)至團(tuán)隊(duì)中最初級(jí)的成員。

安全主管應(yīng)打造扎根公司的多技術(shù)和分析型團(tuán)隊(duì)。

CISO需首先建立起自己的策略，而該策略必須真正符合公司業(yè)務(wù)發(fā)展。

一旦安全支持業(yè)務(wù)的方式被確立起來(lái)，所需的業(yè)務(wù)(和技術(shù)性)技能就能被標(biāo)繪出來(lái)。只有到這一步，招聘和人才保留計(jì)劃才被制訂。如同對(duì)待任何復(fù)雜業(yè)務(wù)問(wèn)題，別以為你能獨(dú)立搞定，與你的HR團(tuán)隊(duì)合作來(lái)認(rèn)清該怎樣最好地招到合適的人才吧。

【本文是51CTO專欄作者李少鵬的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】