多年來，網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者一直在努力解決關(guān)鍵網(wǎng)絡(luò)角色的人才短缺問題。面對不斷升級的財務(wù)要求和不斷擴大的責(zé)任，這些領(lǐng)導(dǎo)者面臨著更大的壓力，需要用更少的資源實現(xiàn)更多目標(biāo)，并創(chuàng)建涵蓋多種安全職能的角色。

安全角色通常是多功能的

一份新報告表明，角色內(nèi)的典型功能組合包括架構(gòu)和工程 (A&E)、應(yīng)用程序安全 (AppSec) 和產(chǎn)品安全。IANS 和 Artico Search 收集了來自美國和加拿大各行業(yè)和公司類型的 560 多名網(wǎng)絡(luò)安全員工的回復(fù)。此外，我們還對 100 名CISO進(jìn)行了非正式訪談，以更好地了解 CISO 在招聘和留住員工方面面臨的挑戰(zhàn)。

在調(diào)查受訪者中，42% 的人負(fù)責(zé)多個網(wǎng)絡(luò)安全領(lǐng)域。在 AppSec 員工中，74% 還致力于產(chǎn)品安全，67% 參與身份和訪問管理 ( IAM )。

在產(chǎn)品安全方面，63% 的員工也支持 IAM。然而，治理、風(fēng)險和合規(guī)性 ( GRC ) 與其他角色的聯(lián)系較輕。大約 37% 的 GRC 員工還承擔(dān) A&E 職責(zé)，只有 25% 從事 AppSec 工作。

研究還發(fā)現(xiàn)，典型的企業(yè)類別和角色分類通常與信息安全人才市場不一致。“多年來，我們聽到許多網(wǎng)絡(luò)安全專業(yè)人士討論他們在組織中擔(dān)任的職務(wù)。這份最新報告清楚地說明了按職能劃分的日常職責(zé)的數(shù)量。每個功能不僅支持自己的一組核心任務(wù)，而且大多數(shù)角色還支持至少兩個附加功能。這讓許多公司都在努力應(yīng)對典型的企業(yè)薪資水平，因為網(wǎng)絡(luò)安全需要專門的薪酬方案，以更好地爭奪人才并最大限度地減少人員流失?！?nbsp;Artico Search 網(wǎng)絡(luò)安全實踐合伙人兼 IANS 教員Steve Martano說道。

豐富的經(jīng)驗、專業(yè)化和高級學(xué)位都會帶來更高的薪資

擁有至少 12 年相關(guān)經(jīng)驗的經(jīng)驗豐富的員工的收入比基線高出 22%。AppSec、產(chǎn)品安全或 IAM 方面的專業(yè)知識，或者碩士或博士學(xué)位的現(xiàn)金報酬為 21%。

與此同時，相關(guān)經(jīng)驗不足三年的員工的薪酬比基線低 40%。同樣，不持有副學(xué)士學(xué)位以上大學(xué)學(xué)歷的網(wǎng)絡(luò)安全專業(yè)人士的薪酬水平也往往低于平均水平。

不同領(lǐng)域的性別多樣性各不相同，但性別薪酬差距仍然普遍存在

20% 的人自我認(rèn)同為女性、二元性別或其他。GRC 的性別多樣性最高，為 40%，其次是 IAM，為 25%，而 A&E 工作人員的非男性比例最低，為 10%。

研究數(shù)據(jù)顯示，性別薪酬差距約為 7%。在擁有 12 年以上工作經(jīng)驗的員工中，性別差距更為明顯，研究人員發(fā)現(xiàn)，男性和女性之間的薪酬差距達(dá)到兩位數(shù)。在擁有三年以下信息安全經(jīng)驗的受訪者中，性別多元化專業(yè)人士的支持率差距為 3%。

員工認(rèn)可度和工作福利與更高的保留率相關(guān)

在這四個標(biāo)準(zhǔn)中，感覺受到重視和支持以及有職業(yè)發(fā)展機會與換工作考慮因素的關(guān)系最為密切。

回顧有關(guān)網(wǎng)絡(luò)安全勞動力短缺問題：

• 盡管這是有史以來勞動力人數(shù)最多的記錄，但報告顯示需求仍然超過供應(yīng)。網(wǎng)絡(luò)安全勞動力缺口已創(chuàng)歷史新高，需要 400 萬專業(yè)人員來充分保護(hù)數(shù)字資產(chǎn)。
• 該研究還發(fā)現(xiàn)了影響該領(lǐng)域?qū)I(yè)人士的新挑戰(zhàn)，包括經(jīng)濟不確定性、人工智能、分散的法規(guī)和技能差距。此外，充滿挑戰(zhàn)的威脅形勢繼續(xù)籠罩該領(lǐng)域，75% 的網(wǎng)絡(luò)安全專業(yè)人士表示，當(dāng)前的威脅形勢是過去五年來最具挑戰(zhàn)性的。
• 只有 52% 的人認(rèn)為他們的組織擁有足夠的工具和人員來應(yīng)對未來兩到三年的網(wǎng)絡(luò)事件。

網(wǎng)絡(luò)安全勞動力短缺和技能差距

67% 的受訪者表示，他們的組織缺乏網(wǎng)絡(luò)安全人員來預(yù)防和解決安全問題，92% 的網(wǎng)絡(luò)安全專業(yè)人員表示他們的組織存在技能差距。

組織中排名前三的技能差距是云計算安全（35%）、人工智能/機器學(xué)習(xí)（32%）、零信任實施（29%）。

進(jìn)行過網(wǎng)絡(luò)安全裁員的組織中有 51% 受到一項或多項重大技能缺口的影響，而沒有進(jìn)行過裁員的組織中這一比例僅為 39%。

經(jīng)濟不確定性

71% 的受訪者認(rèn)為，經(jīng)濟不確定時期會增加惡意內(nèi)部人員的風(fēng)險。研究發(fā)現(xiàn)，39% 的網(wǎng)絡(luò)安全專業(yè)人員曾接觸過或認(rèn)識曾被惡意行為者接觸過的人。在網(wǎng)絡(luò)安全領(lǐng)域進(jìn)行過裁員的公司中，被視為惡意內(nèi)部人員的可能性是其他公司的三倍。

• 47% 的受訪者經(jīng)歷過削減，包括預(yù)算削減、裁員以及凍結(jié)招聘和晉升
• 35% 的人面臨網(wǎng)絡(luò)安全培訓(xùn)計劃的削減，這對于技能發(fā)展和勞動力增長至關(guān)重要
• 三分之二的受訪者表示，裁員對他們的生產(chǎn)力、團隊士氣產(chǎn)生了負(fù)面影響，并增加了他們的工作量
• 57% 的受訪者表示，他們對威脅的響應(yīng)因削減而受到抑制，52% 的受訪者認(rèn)為與內(nèi)部風(fēng)險相關(guān)的事件有所增加
• 31% 的專業(yè)人士認(rèn)為裁員將持續(xù)到 2024 年，70% 的專業(yè)人士預(yù)計這些裁員將包括裁員

發(fā)現(xiàn)有效的招聘、保留和團隊建設(shè)實踐

• 47% 的受訪者對人工智能 (AI) 毫無了解或了解甚少
• 47% 的人將云計算安全視為職業(yè)發(fā)展中最受歡迎的技能
• 45% 的受訪者認(rèn)為人工智能是未來兩年的最大挑戰(zhàn)

ISC2 首席執(zhí)行官Clar Rosso表示：“雖然我們慶祝進(jìn)入該領(lǐng)域的新網(wǎng)絡(luò)安全專業(yè)人員數(shù)量創(chuàng)歷史新高，但緊迫的現(xiàn)實是，我們必須將勞動力數(shù)量增加一倍，以充分保護(hù)組織及其關(guān)鍵資產(chǎn)。”

“在當(dāng)前前所未有的最復(fù)雜和復(fù)雜的威脅形勢下，網(wǎng)絡(luò)安全專業(yè)人員面臨的不斷升級的挑戰(zhàn)凸顯了我們信息的緊迫性：組織必須投資于他們的團隊，無論是在新人才還是現(xiàn)有員工方面，他們具備應(yīng)對不斷變化的威脅形勢的基本技能。這是確保職業(yè)有彈性、加強我們集體安全的唯一途徑，”羅索繼續(xù)說道。

組織正在積極采取戰(zhàn)略來加強其網(wǎng)絡(luò)安全團隊。調(diào)查受訪者表示，他們的組織正在投資于員工培訓(xùn) (72%)、提供靈活的工作條件 (69%)、資助多元化、公平和包容 (DEI) 計劃 (68%)、支持認(rèn)證 (67%) 以及擴大其業(yè)務(wù)范圍團隊通過招募、雇用和入職新員工（67%）來防止或緩解員工短缺。

促進(jìn)網(wǎng)絡(luò)安全的多樣性和包容性

為了促進(jìn)員工隊伍更加多元化，組織正在采用 DEI 舉措，納入基于技能的招聘，并修改職位描述以強調(diào) DEI 目標(biāo)。

采用基于技能的招聘的組織已經(jīng)看到了積極的影響，其勞動力中女性平均比例為 25.5%，而未采用這一舉措的組織中女性比例為 22.2%。然而，仍有工作要做，因為女性僅占 30 歲以下網(wǎng)絡(luò)安全專業(yè)人員的 26%。

DEI 舉措不僅可以推動多元化，還可以提高勞動力效率。實施 DEI 招聘實踐的組織表示，其網(wǎng)絡(luò)安全專業(yè)人員在未來兩到三年內(nèi)應(yīng)對網(wǎng)絡(luò)威脅的準(zhǔn)備意識更強。

除了各種技能的技術(shù)熟練程度之外，網(wǎng)絡(luò)安全專業(yè)人員還強調(diào)非技術(shù)屬性的重要性。解決問題的能力（45%）位居榜首，其次是好奇心和學(xué)習(xí)熱情（39%）以及有效溝通（38%）。