根據(jù) 2018 年度 (ISC)² 安全人才調(diào)查報(bào)告，全球信息安全人才缺口高達(dá) 293 萬人，其中亞太地區(qū)是人才荒的重災(zāi)區(qū)，安全人才缺口高達(dá) 214 萬，超過六成企業(yè)信息安全崗位缺人。

[[285219]]

與此同時(shí)，報(bào)告還顯示信息安全專業(yè)人士未來最為看好的職業(yè)發(fā)展方向和領(lǐng)域是：

• 云計(jì)算安全
• 滲透測試
• 威脅情報(bào)分析
• 司法取證

進(jìn)入新的安全領(lǐng)域或提升職業(yè)競爭力最有效的辦法之一就是取得權(quán)威安全認(rèn)證，(ISC)² 的報(bào)告顯示，全球超過一半的受訪者 (54%) 正在積極尋求獲得網(wǎng)絡(luò)安全認(rèn)證，或計(jì)劃在明年進(jìn)行認(rèn)證。

對于企業(yè)的人力資源部門來說，識別、甄選并招聘到合格的網(wǎng)絡(luò)安全人才的難度也與日俱增，而信息安全認(rèn)證，則成了人力資源經(jīng)理們挑選安全人才的一個重要評判標(biāo)準(zhǔn)。這導(dǎo)致過去 20 多年間，市場上涌現(xiàn)了超過 100 個信息安全認(rèn)證和相關(guān)機(jī)構(gòu)，對于企業(yè)人力資源部門來說，大量用來標(biāo)記安全人才技能的證書，其自身的含金量和水分卻更難以鑒別，而且持有證書的專業(yè)人士是否具備 “來之能戰(zhàn)” 的實(shí)操能力，也很難確定。以下我們列舉 2019 年在全球信息安全人才市場公認(rèn)的實(shí)戰(zhàn)能力最強(qiáng)的五個安全技能認(rèn)證：

1. OSCP – 進(jìn)攻性安全認(rèn)證專家

在過去的幾年中，OSCP 已成為滲透測試人員及其企業(yè)雇主的首選認(rèn)證，在 2006 年首次引入后，OSCP 的關(guān)注度逐年上升。此實(shí)用性認(rèn)證在準(zhǔn)備、培訓(xùn)和完成方面需要投入大量精力。

盡管 “進(jìn)攻安全性” 網(wǎng)站建議在準(zhǔn)備 2-3 個月后即可獲得 OSCP，但根據(jù)其他專業(yè)人員的親身經(jīng)驗(yàn)，更合理的時(shí)間表是 5-8 個月。贏得了 OSCP 的個人在紅隊(duì)社區(qū)中具有很高的“街頭信譽(yù)”，可信度非常高。

2. CCSP – 認(rèn)證云安全專家

隨著越來越多的企業(yè)遷移到云環(huán)境，受歡迎的 CCSP 認(rèn)證的需求日益增長。(ISC)² 今年慶祝成立 30 周年，但 CCSP 認(rèn)證在 2015 年才推出。過去幾年來，世界各地的企業(yè)和組織都在不遺余力地妥善保護(hù)托管在 Amazon AWS 微軟 Azure 等云提供商那里的數(shù)據(jù)、應(yīng)用程序和基礎(chǔ)架構(gòu)。

3. CRISC – 風(fēng)險(xiǎn)和信息系統(tǒng)控制認(rèn)證

CRISC 認(rèn)證針對負(fù)責(zé) IT 風(fēng)險(xiǎn)管理或合規(guī)性的專業(yè)人員，旨在幫助他們的組織了解業(yè)務(wù)風(fēng)險(xiǎn)并實(shí)施適當(dāng)?shù)男畔⑾到y(tǒng)控制。風(fēng)險(xiǎn)管理人員通常是一群熱愛本職工作的人，如果你致力于在這個職業(yè)道路上發(fā)展，那么 CRISC 是一塊不錯的敲門磚。

4. CySA + – 網(wǎng)絡(luò)安全分析師+認(rèn)證

在 2017 年殺入安全認(rèn)證領(lǐng)域之后，CompTIA 的 CySA +(Cybersecurity Analyst +)迅速獲得認(rèn)可。在美國擁有超過 26,000 個網(wǎng)絡(luò)安全分析師職位空缺，專門針對該角色而設(shè)計(jì)的專業(yè)認(rèn)證必將成為 “爆款”。

網(wǎng)絡(luò)安全分析師需要預(yù)防、檢測、響應(yīng)和詳細(xì)說明網(wǎng)絡(luò)安全威脅，而 CySA+ 認(rèn)證旨在通過側(cè)重于角色內(nèi)部的應(yīng)用行為分析來提供幫助。CySA+是專為中級信息安全專業(yè)人員設(shè)計(jì)的安全證書，持有該證書的求職申請人在崗位競爭中往往更具有優(yōu)勢。

5. CISM – 認(rèn)證信息安全經(jīng)理

通常，與 (ISC)² 的 CISSP 認(rèn)證相比，ISACA 的 CISM 認(rèn)證往往被同級別的 CISA 認(rèn)證所掩蓋。CISM 代表認(rèn)證信息安全管理者。對于致力于在網(wǎng)絡(luò)安全中擔(dān)當(dāng)管理角色的組織和個人，持有 CISM 認(rèn)證表明其持有人可以像領(lǐng)導(dǎo)者一樣思考，同時(shí)仍擁有足夠的 “危險(xiǎn)” 技術(shù)訣竅。

盡管 CISSP 更常見且技術(shù)含量更高，但掌握 CISM 所需的管理觀點(diǎn)使其在高級領(lǐng)導(dǎo)職位中處于優(yōu)勢。

證書不代表一切，企業(yè)最需要什么樣的網(wǎng)絡(luò)安全人才?

除了可靠的經(jīng)驗(yàn)，學(xué)歷和證書，雇主還希望結(jié)識具有某些特征的申請人。一方面，雇主希望聘用那些對網(wǎng)絡(luò)安全職業(yè)道路充滿激情的員工。此外，他們很看重員工是否具備較強(qiáng)的批判性思維能力。最后，也許是最重要的一點(diǎn)是，他們希望雇用具有內(nèi)在好奇心和學(xué)習(xí)意愿的員工。如果您可以迅速掌握新信息并分析，還能將復(fù)雜主題提煉成簡單語言，那么雇主將會想法留下你，不論你是否持有耀眼的證書。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文