2024年，全球網絡安全人才缺口擴大到400萬，但網絡安全企業(yè)卻紛紛裁員過冬。網絡安全行業(yè)到底缺不缺人？在矛盾的現象和數據背后，隱藏著哪些真相？網絡安全教育培訓體系出現了哪些重大問題？

2024年對于企業(yè)CISO和網絡安全從業(yè)者來說可謂機遇和挑戰(zhàn)并存。一方面，人才短缺、技能差距在不斷擴大，企業(yè)需要更多優(yōu)秀網絡安全人才應對新興和未知威脅；另一方面，經濟不確定性導致的裁員、預算縮減正在給企業(yè)網絡安全帶來前所未有的挑戰(zhàn)。

在網絡犯罪規(guī)?；⒌鼐壵螞_突的推動下，2024年全球網絡安全威脅態(tài)勢正在快速惡化，根據CybersecurityVentures的報告，2024年網絡攻擊造成的經濟損失將超過10.5萬億美元，這意味著網絡犯罪已經成為“第三大經濟體”。

然而，面對日益猖獗的網絡犯罪，全球企業(yè)卻面臨著嚴峻的網絡安全人才短缺難題。根據世界經濟論壇和ISC2的報告，目前全球網絡安全專業(yè)人才缺口高達400萬人。但是頗為諷刺的是，2023年以來，網絡安全行業(yè)并未逃脫全球性的科技行業(yè)裁員浪潮。

Observe的調查報告顯示，2023年近半數企業(yè)準備縮減安全人員編制“降本增效”。調查顯示，過去一年中47%的網絡安全團隊經歷了裁員、預算縮減或招聘凍結。22%的受訪個人遭遇過裁員，31%的受訪者預測2024年企業(yè)還將進一步裁員。

眾所周知，人是最關鍵的網絡安全要素。即使擁有最昂貴最可靠的網絡安全解決方案，人手短缺/技能差距和人為疏忽依然是企業(yè)安全防線的最大軟肋。

在人手短缺（導致的過勞）和技能差距的影響下，網絡安全人員容易犯錯，例如忽略警報、誤讀數據等導致數據泄露或安全漏洞的錯誤?？ò退够诘囊豁椦芯勘砻?，過去兩年間，由于缺乏合格網絡安全人員，企業(yè)至少經歷過一次網絡安全事件。

近日，卡巴斯基在調查了全球3500名網絡安全人士后發(fā)布了《現代信息安全專業(yè)人士畫像》報告，分析了全球網絡安全人才短缺背后的真相，并深入研究了網絡安全教育體系和當前勞動力市場的現狀與問題。

以下為報告中的一些主要發(fā)現：

41%的網絡安全團隊人手不足，近一半(48%)聲稱需要六個月以上才能填補空缺職位。全球網絡安全團隊人員短缺最嚴重的國家和地區(qū)是俄羅斯，其次是拉丁美洲、亞太地區(qū)和中東/非洲：

政府、電信、醫(yī)療、零售、化工能源、酒店是網絡安全人才短缺最嚴重的行業(yè)：

圖片

信息安全研究和惡意軟件分析是全球人才短缺最為嚴重的職位（39%）：

調查表明，專家需求量最大的三個專業(yè)是信息安全分析師、威脅情報和惡意軟件研究。另一方面，人們對網絡安全、SOC和安全評估等領域的興趣較低。在我看來，這種差異表明市場對后三個領域的無知在未來將變得顯而易見。

——卡巴斯基美洲區(qū)董事總經理克勞迪奧·馬丁內利(Claudio Martinelli)

企業(yè)尋找和雇傭合格網絡安全人才面臨的主要挑戰(zhàn)（除技術和威脅快速發(fā)展、雇傭成本、時間緊迫、全球競爭、特殊崗位、背景調查外為應聘者面臨的問題）：

企業(yè)招聘網絡安全人才時最看重的因素（更重視安全認證而非大學學位）：

入職前已參加網絡安全/信息安全/數據安全方面的專業(yè)課程培訓/認證的比例（歐洲最少）：

大多數（63%）網絡安全專家認為安全人才的“軟技能”和“硬技能”同等重要：

安全人士參加網絡安全/信息安全/數據安全專業(yè)課程/認證的原因：

如何看待高等教育（學院/大學）中以網絡安全/信息安全為重點的課程的總體可用性：

半數受訪信息安全專業(yè)人士表示，正規(guī)高等教育中網絡安全或信息安全課程的可用性要么很差，要么非常差。擁有兩到五年經驗的專業(yè)人士對高校網絡安全課程持否定態(tài)度的比例高達83%。

高等教育中網絡安全課程可用性評價最低的國家和地區(qū)是中東/非洲、亞太和歐洲：

只有44%的網絡安全專業(yè)人士認為大學中獲得的理論知識對履行工作職責很有用。按工作經驗年限和職位劃分的人群中，75%的擁有2-5年工作經驗的安全專業(yè)人士認為“大學理論知識無用”：

現有網絡安全教育體系與行業(yè)脫節(jié)的最主要原因是缺乏具有網絡安全實際經驗的教學人員，中東/非洲、俄羅斯和亞太地區(qū)的高等教育體系最缺乏具備企業(yè)經驗的培訓師/講師：

拉丁美洲網絡安全高等教育綜合評分最高，非洲/中東和歐洲表現最差：

調查顯示，高校網絡安全教育的理論知識與實踐脫節(jié)：

• 半數受訪者認為，他們在大學或學院獲得的理論知識在實際工作中幾乎無用。
• 不到一半的受訪者表示他們在大學或學院獲得了動手實踐的經驗。
• 許多受訪者認為，獲取最新技術和設備以及實習質量是大多數地區(qū)網絡安全教育最薄弱的方面。

教育體系面臨的挑戰(zhàn)：

• 快速變化的網絡威脅使得教育課程難以跟上最新形勢，導致理論知識與實際脫節(jié)。
• 缺乏具有行業(yè)實踐經驗的合格教師進一步加劇了教育與行業(yè)的脫鉤。
• 正式的網絡安全培訓計劃的創(chuàng)建和審批速度緩慢，也阻礙了將前沿技術領域納入IT教育計劃。

結論：網絡安全教育體系亟需改革

調查結果表明，當前的網絡安全教育體系未能滿足行業(yè)需求。為了培養(yǎng)出合格的網絡安全人才，需要進行以下方面的改革：

• 縮小理論知識與實踐之間的差距，提供更多動手實踐的學習機會。
• 聘請具有行業(yè)經驗的教師，使課程內容與實際工作更加貼近。
• 加快更新課程內容，緊跟網絡威脅的最新發(fā)展趨勢。
• 加強與行業(yè)的合作，提供實習機會，讓學生將理論知識應用于實踐。
• 只有通過不斷改革和創(chuàng)新，教育體系才能為網絡安全行業(yè)輸送合格人才，共同應對日益嚴峻的網絡安全挑戰(zhàn)。