稀缺安全技能的列表越来越长。安全技能需求增长背后的原因是什么?听听专家怎么说。
Jimmy Sanders手头的工作堆积如山。他想要一支能够完成许多任务的安全团队:从推广公司的零信任安全策略,到保护公司的云部署,再到部署机器学习解决方案。
团队成员必须是效率极高的多面手,还得能够随业务需求转变、技术发展进步和安全风险变化快速调整工作方法和学习新技能。
事实上,Sanders将“适应变化”被列为2021年最受欢迎的技能之一,其它热门技能还包括内在动力和独立工作的能力。
毫无疑问,公司需要很多技能。
作为Netflix DVD安全主管和美国信息系统安全协会(ISSA)旧金山分会主席,Sander表示:“全能人才极其稀缺。”
事实上,网络安全人才供不应求。
2020年7月,ISSA企业战略集团(ESG)发布联合报告,指出70%ISSA会员认为,全球网络安全人才短缺影响了组织。与此同时,2020年 (ISC)2 网络安全劳动力市场研究发现,64%的受访者感受到了公司人才短缺的影响。
然而,这些统计数据只反映了问题的一部分。
安全主管表示,不仅合格的安全工作者短缺,现有的安全人才库也很难找到所需的技能。
考虑到今天需要的技能太多,发出这种感叹并不奇怪。
事实上,安全人员需要通过不止一个认证,或者有使用各种主要工具的经验。随着安全工作逐渐转变为跨学科的复合功能,安全人员需要正确结合各种安全技能和技术、业务和人际沟通能力。
劳动市场分析公司Burning Glass Technologies其执行董事发布了2019年职能混合报告Will Markow称:“只能做好一件事的安全人员不再受到青睐。系统面临的威胁太多,被黑的概率太高。没有广泛的知识,你就不能胜任安全人员的工作。”
2021最紧缺的安全人才反映了这一趋势,安全主管表示,他们需要的安全人才应该能够充分利用各种专业技能来适应新兴的安全和威胁环境,满足整体业务要求。
未来一年,以下10个领域的人才将受到青睐:
1. 风险识别与管理
Jorge Rey是一家专业的服务公司Kaufman Rossin首席信息安全官,他想熟悉公司及其行业的安全员工,所以他非常重视自己部门的离职率。他说,老员工可以带来他所需要的商业洞察力。这种洞察力一旦与技术敏感性和网络安全经验相结合,就有助于识别公司面临的最大威胁,使公司安全部门合理分配有限的资源,实现最佳的安全保护。
“缓解威胁的最好方法是了解风险。因此,我们需要精通治理和战略人才,以确定最佳解决方案,找到正确的技术或合适的外部供应商,或合理建立自己的处理能力。”
其他机构也将风险管理置于2021年理想技能列表的顶端,Burning Glass就将之列为未来五年需求增长最快的安全技能之一,也是能够给安全人员带来1万多美元年终奖的技能之一。
Markow补充道:“CISO能够以风险为基础构建安全数字基础设施的人才。”
2. 技术功底
具有综合技术能力的人才也是CISO毕竟,如果你不了解构成基础设施的对象IT组件无法理解数字世界的风险并制定安全计划。
科技公司Syntax首席信息安全官Matthew Rogers称:“由于缺乏基础知识支持,安全技能毫无价值,因此编程技能、系统管理技能和网络技能都是必要的。
”咨询公司普华永道也将技术敏锐度视为安全人员的重要特征“数字构件块”知识识纳入有效安全项目所需的三个关键专业技能领域(数字技术、业务敏感性和社会技能)。
因此,普华永道网络与隐私创新研究所所长Joe Nocera他说,除了具体的业务和安全解决方案业务和安全解决方案的相关专业知识,还了解结构、登录、监控、身份管理和身份验证。
Jack O’Meara是资深CISO,目前从事技术咨询和外包公司Guidehouse网络安全解决方案团队主任。Joe Nocera并表示:“我想确保我的员工具备现成的专业技能,并能够处理我想要部署的特定技术。他们必须了解技术的运行机制,因为如果他们不理解,他们就永远无法理解攻击者将如何使用它们。”
3. 数据管理与分析
安全部门是企业中最大的数据生成器。在许多企业中,安全部门开始成为最大的数据消费者,因为有必要使用信息驱动更有效的保护策略。
技术研究公司Gartner安全与风险管理领导合作伙伴Brandon S. Dunlap表示:“安全部门希望充分发挥手中大量数据的作用,但工具的作用就是这样。越来越多CISO招聘数据科学家、数据工程师和数据官。”
4. DevSecOps
公司正从开发、运营和维护转向DevSecOps,寻求将安全考虑纳入应用程序设计和开发周期,以确保更安全的应用程序输出。这就要求安全人员具备开发和操作的知识和经验。
IT 人力资源公司Robert Half Technology执行董事Jeffrey Weber称:“在过去的几年里,我们已经意识到应用程序本身存在安全风险。因此,我们的软件开发需要从一开始就融入安全考虑。”
Burning Glass将应用开发安全列为增长最快的头号技术,预计未来五年需求将增长164%。
5. 云
云的大规模采用,特别是多云战略的兴起,增加了对具有云部署经验的安全人员的需求,需要将云部署经验融入企业安全战略。Rey只想熟悉一个或多个公共云平台(AWS、Azure、GCP)以及私有云架构的安全人才收入。“要做好云安全工作,需要了解各方面的知识,这实际上是在云环境中开发安全网络。”
6. 自动化
ESG根据2020年《网络安全人员生活与时间》报告,企业可以利用自动化技术解决网络安全人才短缺问题。专家同意了这一点,并解释说,自动化重复任务可以产生效率,提高效率,并将宝贵的时间转移到只有人类才能完成的复杂工作中。
然而,自动化安全功能要求安全员工具备实现自动化解决方案的技术和能力。
Rey认为自动化有助于弥补人才短缺,自动化技能应该成为IT或安全员工的内化技能。他想要的安全人才应能够鉴别可以自动化的任务,并能运用Python、PowerShell其他脚本语言自动化。
7. 威胁追捕
威胁追捕是一种新兴的安全策略,越来越受到关注。根据安全解决方案,制造商DomainTools 在2020年的一项调查中,93%的公司认为,为了提供早期检测和降低风险,威胁追捕应该成为主要的安全项目。威胁追捕实践越来越受欢迎。事实上,越来越多的人实现了这一点,对具有相应技能组合的人才的需求也在上升。Burning Glass将威胁追捕列为第四需求增长最快的技能。
安全技术公司VMware Carbon Black首席网络安全策略师Rick McElroy威胁追捕需要数据分析技能MITRE ATT&CK以及其他这样的框架,了解各种企业技术栈(这样才能发现“异常情况”),还要有探索问题的好奇心。McElroy表示:“威胁追捕者要像攻击者一样思考,问问自己‘攻击者将如何绕过我的防守?’”
8. 人际交往技巧
随着数字经济的兴起,网络安全功能只会变得越来越重要,网络安全人员也越来越受到重视安全人员越来越频繁地出现在高管、董事会成员和业务人员面前。因此,他们必须能够与各种利益相关者合作、沟通和讨论,突出人际交往技能有多受欢迎。能源公司PNM Resources网络安全副总监Gary Todd表示:“销售销售一样,我们应该能够将他们在保护公司安全方面需要做安全。”
9. 业务敏锐度
首席信息安全官惠普Joanna McDaniel Burkey我希望招聘那些了解业务、用业务语言交流并将自己视为商人和技术人员复合体的人才。她认为,网络安全人员需要这些技能来帮助管理风险,风险管理是现代安全团队的主要目标。
安全人员需要帮助公司平衡安全和成本、市场需求和其他业务指标。“我称之为管理的两极和选择。为了与利益相关者和谐共创,我们需要照顾问题的两面,从对方的角度思考。”
10. 敏捷性
2020年 (ISC)2 网络劳动力市场研究表明,30%的受访者表示,由于新冠肺炎疫情,自己的企业在短短一天内切换到远程办公模式,47%的受访者在短短几天到一周内完成了工作模式迁移(只有16%的受访者花了一周多的时间。)专家预测,这种快速劳动力转型不会成为常态,但他们确实认为技术和业务转型会继续加快。
安全需要迅速跟上。密歇根州奥克兰县首席技术官E.J. Widun称:“新冠肺炎疫情带来了全新的诈骗攻击手段和新的工作方式。新冠肺炎疫情向我们展示,我们需要能够快速适应的人才。”
本文转载自微信官方账号“数世咨询”(ID:dwconcn)。