安全人才短缺仍然是行业面临的非常现实的问题。虽然试图进入安全领域的人需要学习很多技能,但有些人认为企业需要调整他们对相关人才的期望值。如果确实存在“饥不择食”原则,那么,企业在聘请安全人员时应该寻找什么样的人才?企业是否应不那么专注于网络安全技能?
Mike O. Villegas:企业是否应不那么专注于网络安全技能?答案是“No”。无论企业时聘请安全人才、外包还是内部培养,网络安全技能都是至关重要的因素,这样才能与网络威胁和攻击相抗衡。当然,企业也可选择不采取任何措施并祈祷不会受到攻击,但这会让企业未来面临风险。
根据2016年ISACA的网络安全状况报告显示,842名接受调查的人员认为了解业务(75%)、良好的沟通能力(61%)以及技术技能(61%)是网络安全专业人员缺乏的能力。该报告还指出,平均60%的受访者认为半数网络安全应聘者有资格胜任工作。
从1983年的青少年黑客到现在国家资助的黑客团伙,网络威胁已经变得更加复杂、蓄意、成功和破坏性。这意味着对网络安全专业人员的需求将持续增加。
聘请网络安全人才是应对技能短缺的一种方法。企业可通过了解网络安全、IT风险、信息系统审计和GRC的猎头公司来聘请专业人员,他们还可寻求独立公司(例如Big 4或者网络安全专业服务公司)的帮助来选择合适的人选。
外包是另一种方法。企业将网络安全外包给服务提供商并不会完全专业企业的风险和责任,但企业可将安全监控和检测最技术的方面外包出去,并让现有工作人员进行跟进和报告,而且,当企业决定自己聘请这些人才时,这还提高他们的熟练程度。
企业还可内部培养网络安全人才。如果聘请和外包都过于昂贵或困难,企业需要在内部培养安全人才。提高内部人员学习的热情,让他们去参加SANS、ISACA和信息系统安全协会培训课程以及研讨会以提高其技能。同时,让他们考取信息系统安全认证专家、认证信息系统审计员、信息安全认证经理和其他SANS技能相关的证书。在他们打下这些基础后,再让他们获得基于性能的认证,例如攻击安全认证专家、伦理黑客认证以及GIAC认证渗透测试员。
还有第四种方法,对网络安全技能短缺,什么都不做。虽然这是不可取的方法,但企业如果认为部署技能的成本要更高,则可考虑承担这种风险以及损失。对于小型私人公司,这也许是可行的选择。企业可不太专注于网络安全技能,而且,IT人员了解IT,他们不应该也理解网络安全吗?
企业可根据自身情况谨慎选择上述四种方法。