作為具有多年經(jīng)驗(yàn)的安全管理人員，我們發(fā)現(xiàn)：自上一個(gè)安全從業(yè)人員研究在2008年完成以來(lái)，(ISC)2的第五次全球信息安全從業(yè)人員研究結(jié)果，很好的記錄著信息安全的方向，這個(gè)研究是今年初發(fā)布的。總體來(lái)講，研究結(jié)果反映了以下幾點(diǎn)：

◆在發(fā)達(dá)地區(qū)對(duì)規(guī)則遵從的關(guān)注在增加。

◆在亞太地區(qū)，信息安全在持續(xù)增長(zhǎng)。

◆在北美和歐洲，信息安全逐漸成熟。

◆受到全球經(jīng)濟(jì)不景氣的沖擊，尤其是在歐洲。

◆技術(shù)和安全的焦點(diǎn)從“更高層協(xié)議棧”轉(zhuǎn)向應(yīng)用層，并遠(yuǎn)離基礎(chǔ)架構(gòu)；這一趨勢(shì)反映了威脅在過(guò)去幾年內(nèi)的演化。

◆在企業(yè)中，消費(fèi)電子技術(shù)的影響力不斷增加。

我們贊成這個(gè)研究的主要結(jié)論，即由于這些趨勢(shì)的出現(xiàn)，企業(yè)和信息安全專家正面臨前所未見的壓力。

安全資源和技術(shù)差距

這個(gè)研究顯示，出于為公司和消費(fèi)者的信息提供保護(hù)的要求，監(jiān)管要求繼續(xù)在拓寬其廣度和深度。技術(shù)呈指數(shù)倍的增長(zhǎng)，加上公司期望抓住這次增長(zhǎng)形成自己獨(dú)特的競(jìng)爭(zhēng)力，這也增加了對(duì)信息安全專家的要求。

我們相信：為了跟上這些趨勢(shì)，在這個(gè)研究中描述的安全技術(shù)和從業(yè)人員差距將隨著全球經(jīng)濟(jì)的穩(wěn)步復(fù)蘇變得更加顯著，同時(shí)亞太地區(qū)正經(jīng)歷著對(duì)安全資源的最大需求。由于全球企業(yè)間的相互聯(lián)系，各個(gè)地區(qū)都應(yīng)該關(guān)注這個(gè)趨勢(shì)。正如所有類別的開支都顯著增長(zhǎng)所反映的那樣，亞洲經(jīng)濟(jì)的超凡實(shí)力將繼續(xù)刺激對(duì)安全和規(guī)則遵從資源的需求。因?yàn)橹挥泻苌俚膫鹘y(tǒng)信息技術(shù)系統(tǒng)需要被取代，亞洲國(guó)家可以快速利用更新的技術(shù)，就像他們?nèi)丝诘牧鲃?dòng)性那樣。

作為這一差距的另一個(gè)指標(biāo)，亞太地區(qū)的受訪者認(rèn)為與其他地區(qū)的同行相比，社交媒體在某種程度上顯得更加重要。采用更高層次的新技術(shù)，比如這個(gè)地區(qū)的社交媒體，已經(jīng)被許多研究和調(diào)查所注意。其中一個(gè)例子是，澳大利亞和中國(guó)的消費(fèi)者對(duì)一些社交媒體的使用率處于世界領(lǐng)先。由于只有一個(gè)相對(duì)較小的安全資源池，以及在強(qiáng)大的信息安全教育課程方面的整體不足，亞太地區(qū)的安全資源差距被進(jìn)一步拉大了。

這個(gè)研究中顯示，安全領(lǐng)域資源差距的另一驅(qū)動(dòng)力是公共和私人部門之間對(duì)其需求的不斷起伏?？梢钥闯?，在過(guò)去的幾年里，公共部門對(duì)安全專家的需求呈現(xiàn)爆炸性增長(zhǎng)，尤其是在最發(fā)達(dá)的國(guó)家。然而這種趨勢(shì)可能會(huì)趨于穩(wěn)定，在面對(duì)這些需求的時(shí)候，真正合格的候選人已經(jīng)減少了很多。

另一方面，受訪者將應(yīng)用程序漏洞列為他們所關(guān)心的最大威脅。在IT領(lǐng)域，很少有事情可以變得比軟件應(yīng)用的研發(fā)和集成更加復(fù)雜。隨著開發(fā)者致力于提高應(yīng)用程序的靈活性和用戶友好性，這些系統(tǒng)的后臺(tái)復(fù)雜性也正在增加。當(dāng)前很多的應(yīng)用程序都是具有網(wǎng)絡(luò)功能的，這就拓寬了必須對(duì)其進(jìn)行更多保護(hù)的地方。

填補(bǔ)差距的方法

盡管這個(gè)研究表明這方面的職位將從當(dāng)前的228萬(wàn)個(gè)增長(zhǎng)到2015年的424萬(wàn)個(gè)，然而問(wèn)題依然存在：“這些新的專家從哪里來(lái)，我們?nèi)绾伪ＷC他們是這個(gè)領(lǐng)域有知識(shí)有道德的新成員？”

由于經(jīng)常發(fā)生的眾所周知的破壞和數(shù)據(jù)丟失，安全話題已經(jīng)得到了很大的關(guān)注。這些曝光吸引了對(duì)這個(gè)行業(yè)的注意，進(jìn)而這也成為新成員進(jìn)入這個(gè)資源池的催化劑。通常，這些新成員來(lái)自傳統(tǒng)的IT教育和培訓(xùn)項(xiàng)目，也是來(lái)自IT行業(yè)本身。

直到近幾年，在傳統(tǒng)的大學(xué)和技術(shù)學(xué)校里很少有特定的安全課程可供選擇。不過(guò)這種情況已經(jīng)得到改善，現(xiàn)在有許多的特定安全項(xiàng)目提供給給技術(shù)和管理安全教育。為專業(yè)人員提供適合他們繁忙工作日程的相關(guān)培訓(xùn)也是必需的。由于對(duì)繼續(xù)教育需求的增加，企業(yè)需要這樣的培訓(xùn)，即它可以幫助企業(yè)最大限度的發(fā)揮旅費(fèi)和培訓(xùn)預(yù)算的作用。通過(guò)基于網(wǎng)絡(luò)的技術(shù)和基于計(jì)算機(jī)的課程，培訓(xùn)和認(rèn)證機(jī)構(gòu)可以提高它們的能力從而滿足這些需求。

此外，由于在過(guò)去10年，信息安全領(lǐng)域的技術(shù)改變步伐迅速加快，培訓(xùn)的內(nèi)容也必須以相同的步伐更新，從而跟上威脅和技術(shù)演化的腳步。舉例來(lái)講，這個(gè)研究中指出的最大威脅，比如不安全的應(yīng)用程序和云計(jì)算，在短短的幾年前甚至沒有引起大多數(shù)信息安全專家的關(guān)注。

許多公司都要求對(duì)其內(nèi)部安全雇員和外包顧問(wèn)進(jìn)行認(rèn)證。但這決不是一個(gè)能力的保證，行業(yè)認(rèn)證只是對(duì)個(gè)人到達(dá)了信息安全領(lǐng)域最低知識(shí)要求提供保證。進(jìn)一步講，一個(gè)最低水平的行業(yè)經(jīng)驗(yàn)也是專業(yè)認(rèn)證的要求，比如那些來(lái)自(ISC)2和ISACA的認(rèn)證。企業(yè)在招聘安全雇員的時(shí)候利用這些認(rèn)證來(lái)驗(yàn)證其具備基本要求。

由于這項(xiàng)業(yè)務(wù)的性質(zhì)，道德行為成為信息安全專業(yè)的一個(gè)特征。從業(yè)人員必須服從于一個(gè)強(qiáng)有力的行為準(zhǔn)則，并以相似的方式來(lái)引導(dǎo)他們自身的行為。培訓(xùn)和認(rèn)證機(jī)構(gòu)必須確保道德行為意識(shí)和規(guī)范包含在他們的方案中。