ISACA Blog | 网络安全技能差距：消除误解

每年，ISACA和其他机构都会报告网络安全领域数十万个空缺职位。报告参考了各种指标，从填补一个职位所需的时间到员工的流动率，而根据我的经验，人们往往会得到错误的信息。

当人们转发和分享这些数据时，我们听到的是网络安全人才短缺。我们需要更多的大学项目、高中项目，甚至是小学和学前班项目，以便在年轻时选拔人才，让他们对网络安全产生兴趣。如果我们要有足够的专业人员填补这些职位，就需要在年轻人很小的时候就开始培养。

图片来源于公共图片库

作为一名在这一领域工作了20多年的人，我看到了许多导致这种假设的误解。这些误解如下：

这显然是错误的。这并不是说ISACA和其他机构提供的优秀认证项目没有价值，也不是说在教育上持续投资没有价值。但是，正如我们大多数在该领域工作过的人所知，该领域的绝大多数“老手”都是从相邻领域（如IT、计算机编程、犯罪学、武装部队等）甚至完全不相关的学习和工作领域进入的。这些不同的背景为团队带来了宝贵的视角。

越来越少的公司要求网络安全相关的学位；通常认为，实践培训或认证同等重要。但你并不需要所有的证书——从一个受人尊敬的、与你的职业需求和目标匹配的组织的证书开始。

这不仅是不真实的，而且是危险的假设。以云服务、IaaS平台、SaaS应用程序和远程工作者为主流模式的现代IT堆栈充其量只有几年的历史。几十年前我学习电气工程时，有人告诉我，我们的教育半衰期是六年。时至今日，我们看到，需要不断更新和完善我们对网络安全的理解，快速适应新的最佳实践，并最终发展强大的变革管理文化才能取得成功。任何停滞不前或依赖陈旧知识的组织都会很快被威胁者超越。

注意那些招聘广告，因为公司希望这个神兽拥有20年的经验，既了解古老的技术，也了解现代技术，并且拥有从SOC管理到合规再到appsec的经验。问题不仅在于雇佣的团队在技能和成本方面与现实严重脱节，而且公司还认为，如果能雇佣神兽，所有的安全问题就会得到解决。现实情况是，组织范围内的安全文化和利用具有不同经验的多元化团队的技能对于解决现代组织中的安全问题至关重要。任何试图将其隔离在IT、合规或组织的某个小角落的尝试都注定失败，而希望由超级技术安全救世主拯救的愿望也同样注定失败。

那么，既然不能遵循这些安全反面模式，有哪些成功方法可推荐呢？

图片来源于公共图片库

要认识到每个人都有贡献

“用户”不仅是保护组织的最佳资产，而且对安全和人才的兴趣也将隐藏在显而易见的地方。也许行政助理对社会工程很有热情，开发人员可以将appsec作为系统开发生命周期（SDLC）的一部分，而不是作为外部团队的事后考虑，而财务部门是保护组织免受欺诈的第一线。正如前面提到的，大多数老手都是通过非安全领域进入的，人才和兴趣随处可见。

年轻人和多样性的价值

安全思维与“这就是我们这里的运作方式”相反。拥有不同生活经历的人和较为年轻的人通常会以完全无法预见的方式处理问题，可以极大地补充安全组织。没有人在3年前的编程语言、2年前的云技术或12个月前的SaaS平台上拥有数十年的经验。因此，您的年轻员工通常会快速使用这些技术，并为安全对话带来价值。我可能不愿意在繁忙的日程中自学机器学习，但一个年轻的毕业生应该已经沉浸在其中，并了解如何以富有成效的方式运用。这也同样适用于年长的员工和转行者，他们有着不同的背景和视角，但在安全方面还是新手。

辅导和指导是关键

当然，如果打算雇佣经验较少的员工，需要将他们的热情和技术能力与组织知识和商业策略结合。如果将招聘与指导和辅导相结合，就可以显著提高员工的影响力，并为领导团队带来急需的新知识。正确的指导在两个方向都有价值。

以这种方式面试和培养人才不同于简单地堆砌技术挑战和认证门槛，需要不同的组织力量。人才短缺并不如人们常说的那样严重。从某种程度上说，问题存在于管理者和领导者身上，他们很难看到市场上已经存在的人力资本。

编者按：本文于2022年10月17日首次发表 于ISACA官网ISACA Now Blog。文章内容仅代表作者本人观点。

作者：Michael Argast是一位经验丰富的网络安全专家，拥有超过20年的行业经验。他是Kobalt Security Inc.的联合创始人兼首席执行官。

翻译：唐四宝（Jerry Tang），CISA， CDPSE，CZTP，ISACA微信公众号特邀通讯员。

校对：姚凯（Kevin Yao），CISA，CISM，CRISC，CGEIT，CDPSE，ISACA微信公众号特邀通讯员，关注IT安全，隐私保护和数字化。