最新研究表明,多个IT领域(包括网络工程师、系统管理员和云开发人员)也缺乏安全技能。 四分之三的公司企业都在安全技能方面苦苦支撑,而68%的IT和安全专业人员表示,会在工作之余自行开发网络技能。根据Cybrary在9月下旬发布的最新数据,有46%的公司企业不确认新员工是否具备特定职位所需技能,而40%的公司企业很少或从未评估新入职团队成员的技能。网络安全员工短缺的事实已经众所周知。安全团队深受网络安全人才短缺之苦,但IT团队也遭受着类似的安全技能短缺折磨。参Cybrary调查访问的800位IT和安全专家中,有65%表示缺乏安全技能会对团队的效率产生负面影响。在线网络安全职业发展平台Cybrary的首席执行官Ryan Corey称,包括网络工程师、系统管理员和云开发人员在内的所有IT职位都缺乏安全技能。Corey表示:“我们发现,令CISO感到沮丧的是,IT服务和产品总在最后一分钟才交到安全团队手里,没有从一开始就内置安全功能。所以,安全团队就成了拖慢开发进程的背锅侠,被视为其他部门的瓶颈。”他认为,业务主管并不总是清楚自己的团队缺乏足够的安全技能。业务主管常把“安全人人有责”挂在嘴边,但数据总是打脸,表明他们并未严肃对待安全问题。企业战略集团(ESG)高级首席分析师Jon Oltsik表示,公司企业需要进一步将网络安全融入企业文化中,从高层管理人员开始,覆盖整个公司范围。Oltsik称:“需要让业务经理对自己业务部门内的网络安全负责。很多公司已经采纳了业务信息安全官(BISO)的角色,作为CISO/公司安全与适应各业务线的定制安全策略之间的桥梁。这是一个很好的起点。”瓦尔登大学管理与技术学院的学术研究协调员Jodine Burchell表示,新冠病毒疫情爆发后,这半年来公司企业纷纷招募远程员工应对疫情冲击,现在他们可以更加专注于安全和技能开发了。Burchell在瓦尔登大学教授的是信息保障,她在高级数据库课程中花了整整一周的时间来研究安全。她说:“我认为大家已经开始意识到,我们必须利用现有人手,让他们发挥更大作用。以前人们总觉得产品反正要通过测试和质保,安全人员会处理安全方面的事情,但是这种情况正在改变。”Cybrary的Corey指出,希望升级IT团队技能的安全专业人员应咨询NIST网络安全劳动力框架,了解IT工作者需要开发哪些类型的安全技能。https://www.cybrary.it/business/resources/cybersecurity-skills-gap-research-report/NIST网络安全劳动力框架:(点击阅读原文直接查看)https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-181.pdf