计算机世界(Computer world)《2016年度IT薪酬调查》揭示了安全招聘和薪酬趋势,让我们来看看同行们都是怎么看待他们的职业前景的,顺便也比较一下自己的待遇吧。
营销自动化软件厂商Marketo的首席安全官,杰森·霍夫曼在某企业做了7年的内部审计员,之后离开了这个他已经非常熟悉和擅长的工作,去尝试一些别的东西。对于18年前这次华丽转身,霍夫曼甚为庆幸。“1998年的时候,谁能想到安全在今天会如此重要呢?”
安全对业务的重要性已经在研究中被证实了。《2016首席信息官态势报告》揭示:公司CEO目标清单上位列第三的,就是改善网络安全(29%),紧跟在完成重大企业项目(40%)和达成某个利润目标(32%)之后。同时,被调查的IT高管们说,安全是驱动IT投资的主要技术动力之一(29%),几乎与云计算(30%)和大数据/商业分析(27%)并驾齐驱。
公司高管和董事会更为尖锐地意识到了安全不仅仅是个IT问题,而是业务问题。因此,不分行业和公司,大家有志一同地重视起了安全。聪明的公司,将长久成功的公司,必然会投资到安全上,做正确的事情。而在安全上的投资,可被投射到在人才方面的投资。
在《2016 IT 薪酬调查》中,信息安全经理是IT界最热门的职业,平均收入涨幅最大(2015到2016年涨了6.4%)。信息安全专家也以年涨幅4.7%的佳绩荣登热门职业排行榜,与软件开发者并列第五。
信息安全经理 +6.4%
系统分析师 +6.2%
系统管理员 +5.3%
网络管理员 +4.8%
软件开发者 +4.7%
信息安全专家 +4.7%
网络工程师 +4.6%
首席信息官 +4.6%
软件工程师 +4.5%
应用开发者 +4.4%而且,只有一半多一点儿(51.3%)的安全高管和经理认为,IT员工总人数来年将有所上升。以Marketo为例,信息安全总监在其当前招聘职位列表之中,今年也会充实其安全团队的力量配备,主要是增加像安全架构师、安全工程师和安全分析师之类的技术角色。身份认证管理提供商 Ping Identity 的趋势也是如此,其首席信息安全官罗博·雷克称,他们计划年内大幅扩张安全部门,应用安全、开发/基础设施安全、安全监管和合规将是重点招聘领域。
所有这些都为选择了安全为职业的人士铺开了一幅美好的景象。
满意度高 薪酬增涨
调查中,高达89.9%的安全专业人士表示,他们对从事IT行业的决定满意或非常满意。觉得自己当前位置稳固或非常稳固的比例也一样的高。随着大数据的激增和货币化,公司企业需要安全专业人士来帮助他们保护这些数据,安全不会弱化。
73.2%的安全专业人士称,IT职业道路和薪酬增长潜力比大多数其他职业道路要更有前途。安全只会越来越重要,安全专业人士的薪资涨幅会比大多数IT职业角色要高,安全人士的好时光将继续延续。
表示一年来基本工资有所增加的安全专业人士有76.1%。在报告说自己的薪资去年有涨的被调查者中,安全专业人士比其他IT从业者更倾向于将内部升职(14.3% vs. 10.5%)、额外/新的职责(15.2% vs 7.8%)、跳槽升职(10.5% vs. 3.6%)列为增资原因。34.1%的安全专业人士(全部IT从业者是25.3%)认为未来5年内自己将在另一家公司获得更高职位,28.3%觉得会在同一家公司升职。
一个严重的问题
没错,安全专业人士的就业市场很热,对薪水和流动性而言是好事,但这是建立在严重的人才短缺背后的:23.2%的安全专业人士(所有IT从业者是12.3%)认为,IT产业面临的最大挑战就是IT人才的短缺。
在失业率几乎为零的状态下,招聘有经验的安全专业人士基本上意味着要从别的公司挖人。这不过是把人才缺口推给下家而已,只会让人才短缺问题更加恶化。只有更精于发现安全人才,更好地培训出新的安全人才,我们才能从总体上让世界更美好。
人才短缺的影响渗透到方方面面。如果一家公司不能聘用到足够的人手,那它发展路线图的关键部分就缺失了,或者其现有员工不得不透支生命来完成任务。两种情况都不可取,也都会导致发展中期就遭遇毁灭性打击。
安全专业人士比其他IT从业者更易于遭受提高生产力和接受新任务的压力(64.5% vs. 58.7%)。而这种状况在来年不太可能有所好转:60.1%的安全专业人士(所有IT从业者是56.1%)预计自己未来12个月的工作量和职责将会增加。
在被要求提高生产力或接受新的任务的人中,79%的安全专业人士称其工资并未根据增加的工作量进行调整(虽然已经比整个IT行业的总体水平好了),而且他们也比其他IT从业者更容易感到自己的薪酬涨幅没赶上业务增长和要求(60.9% vs. 55.3%)。
这足以让任何人想跳槽。
人往高处走
49.2%的安全专业人士称,他们或主动或被动地在另外的公司谋求新职位。人才少,需求涨,典型的人才卖方市场,人才纷纷去追寻新机会简直天经地义。
73.9%的安全专业人士(所有IT从业者是60.7%)称曾被招聘公司或猎头询问过工作意向。而没兴趣找新工作的安全专业人士中,只有8.5%是因为就业市场不景气,或者机会少(IT行业总体是13.1%)。
对寻找新工作的安全专业人士而言,与其他IT从业者不同,最难的部分不是弄清自己对新职位的期望是什么,而是考虑该为自己定价几何。
安全专业人士远比其他IT从业者更有可能拥有IT相关的各类资质证书(81.9% vs. 54%),也更易于认为拥有证书能帮他们谋得工,获得升职或涨薪(62.8% vs. 41.6%)。但实际上,证书的作用并没有技术和经验那么大。
对新入行的从业者而言,证书是有用的,能证明你基础扎实,表明你对这一职业的热爱。但证书并不是必需品。老板们只关心技术水平——这人能不能做到我需要他做的事啊?这个时候,一张证书根本起不了什么作用。
招聘挑战
如果打算勾引到顶级人才,需要用到的诱饵是相当明显的(79.7%的安全专业人士会因为更高的薪资而跳槽),但这并不意味着你就能很快撬到想要的人才。
IDC对高级信息安全主管的一项调查表明:大多数工作经验要求不到5年的职位只要3个月就能聘到人,但要求10年以上工作经验的职位有21%都要至少1年才能招到人,而要求20年以上工作经验的职位更是几乎有一半要花费1年以上的时间寻觅人才填补空缺。
我们面临的,不仅仅是全球范围内的安全人才荒,还有很多分支领域更加求才无门。
对安全行业最主要的误解之一,就是“安全人”的概念。通常人们谈起安全,总以为这就是个单一的领域。实际上,安全行业中完全没有交汇的工种多达几十甚至上百个。杰出的恶意软件分析师或许会是个糟糕的安全审计员,安全感知程序设计者也无法进行安全代码审核工作。因此,我们面临的不仅仅是安全人才的全球性稀缺,还有很多子领域甚至更加人手不足。
搞安全的兄弟伙必须得是自己负责领域的技术专家。比如说,应用安全团队中,敏捷环境Web开发就是必须精通的。开发人员/工程师则需要了解所处的云计算环境和团队采用的开发工具。基于这一点,找到所需的安全人才并不难。只要狩猎那些要么已经深入理解了这些技术,要么非常期待在公司汲取这方面经验的人就可以。
对安全专业人士来说,习得这些技术,获得极具价值的实际经验,可能需要花去数年的时间。为帮助人们理解安全专业人士是干神马的,通常需要以IT世界为背景舞台进行解释。在IT界,以下几个分类基本是众所周知的:网络、服务器、桌面、应用、数据库。每个分类都有自己的主题专家。在安全界,你需要寻找的安全专业人士必须是掌握所有这些领域知识和经验的全才。作为一名CISO,如果遇到能玩转所有这些领域的人才,那就立马签下来,使尽浑身解数留住他/她吧!这世上可没多少人符合这么苛刻的标准,因此,公司企业通常会退而求其次,寻来技术水平高超的IT人士,再把他们培养成安全专家。相对而言,这是IT人踏入安全门的合理且有效的职业途径。
职业前景
目前是谋求职业发展或者转行到安全界的极好时机。很多公司都在招聘安全领头人,甚至刚开始招募公司历史上首位CISO。即使胜任安全领头人的人才极度稀缺,公司企业依然会招人填充进这一角色,从未担任过CISO的应聘者也有可能成功获得这一职位。
想要建立完善的安全教学体系,让劳动力市场上有充足的安全专家,这一过程可能需要20年。
但选择安全作为职业并不是拿个学位那么简单的事。虽然建议选择入行安全界,却不建议去干诸如“学习安全”这种事。尽管现在已经有学院提供安全学士和硕士学位,作为一个产业,我们还可以在学校以外直接培养未来安全领头人上做到更多。想要建立完善的安全教学体系,让劳动力市场上有充足的安全专家,这一过程可能需要20年。
不过,这20年还是蛮令人激动的。可以做的事很多!
在安全界找种自己爱好的技术或者门类,深入进去,不要想着成为“安全人”,要奔着开发安全工程师而去,解决IT应用环境中的安全问题。或者,成为一名安全合规专家,了解相关合规框架的复杂细节,知道该怎样利用这些框架让公司更加杰出。再或者,当一位安全Java开发大师,为普通问题设计出标准解决方法。