CSO就業率高匹配度低 安全管理人才相當短缺
對于安全從業者來說,CSO這一職位可謂硬幣的兩面,一方面是市場需求旺盛,另一方面是招不到合適的人,企業要求的綜合能力無法衡量,沒有明確的職位定義和職責規范從業者處境尷尬,因此,高就業率并不足以讓從業者樂觀,企業和人才的高匹配度才應該是真正的追求。
在美國合格的CSO們基本不用為失業而煩惱,因為這一職位失業率非常低。據2013年初美國勞動統計局(簡稱BLS)發布的報告顯示:2012年第四季度安全高管群體的失業率僅為3%(在美國失業率低于4%則被視為充分就業),相對于美國全國平均7.3%的失業率來講簡直微不足道,這說明CSO職位目前仍屬于“賣方市場”,那些擁有相應資歷的從業者前途依舊光明。
不過,和CSO們的個人就業狀況相比,企業安全部門的招聘就沒那么樂觀了,對于大部分企業來說信息安全官則是一將難求。美國的相關機構做出預測:2014年信息安全高管(即CSO)的供應量將無法滿足市場需求。更有人認為高管層以下的信息安全管理人才同樣十分匱乏。
環境演變
曾任美國聯邦通信委員會(簡稱FCC)CSO、現任(ISC)²政府事務主管兼網絡安全認證合作組織主席的Marc Noble在今年年初接受采訪時指出:人才的短缺一部分原因在于環境的迅速變化,安全威脅大量增加。“這就需要投入更多的時間來認識新技術,觀察其帶來的安全漏洞以及考慮如何采用最佳安全控制方案,而這一切都給從業者帶來前所未有的復雜性,”它要求從業者能夠高度適應新技術和新規程,這一點非常不容易。“可以說,攻擊者們始終領先于我們。” Marc Noble感嘆道。
除了要有處理動態風險的能力,優秀的CSO還必須超越技術層面進一步豐富自身角色內涵。他們需要成為宏觀層面的業務與運營專家,需要了解營銷、金融以及法律知識。“大部分企業希望找到一位既能夠出色完成本職工作,同時還諳熟企業管理和行業趨勢的安全管理者。”然而對于這樣的職位描述,目前市場上對應的人才非常稀缺甚至根本不存在。
定位危機
美國普渡大學CSO David Shaw對這種狀況作出了自己的解讀,他認為“CISO角色正面臨著一定程度上的定位危機,因為目前這一角色尚缺乏明確的定義,企業也不知道該將其安排在什么樣的位置上,他們該向誰匯報?董事會、CIO還是CFO?”“我們真的拿不出一套有效的標準化規范來說明到底哪部分事務需要CSO的介入,更別說保證其取得成功,”他解釋道。詳情請閱讀本站CSO角色定位不明晰 實至名歸需企業魄力一文。
一方面是沒有準確的職業定位,另一方面是能力培訓的缺失,“對于那些市場需求最旺的人才,需要在安全領域之外擁有更多知識,包括商業、通信、領域以及法律等。除此之外還要擁有關系創建、前瞻性以及與企業中各級別成員交流等一些關鍵能力。” Marc Noble說, “但這并不列入我們對安全管理者的培訓范疇,這方面技能的缺失也直接導致了CSO人選的嚴重短缺。”
一家風險管理咨詢企業聯合創始人兼執行主席Ed Stroz對此深表贊同,他還指出優秀CSO最重要的能力還在于參透“安全性絕不能凌駕于便捷性之上”,現實工作中如何取舍需要更高的智慧。
渾水摸魚
不過即便要面對如此復雜的環境,鑒于市場需求的客觀存在,短時間內也會有很多從業者蜂擁至這一領域當中,這在某種程度上又會帶來新的問題。某些人肯定會主動請戰,明知能力不足經驗不夠仍想冒險一試。
普渡大學信息保障與安全教研中心執行總監Eugene Spafford認為,旺盛的需求“往往會讓那些背景存疑的從業者將自己塑造成該領域的‘專家’。由于缺乏有說服力的競爭與參照機制,其中一些人肯定會被正式錄用。”而更多時候,那些真正合格的候選人可能被認為不能應付惡化的環境而掃地出門。
他認為,目前某些企業將CSO角色定位為“背黑鍋者而非價值供應者”——也就是說如果敏感數據遭遇外泄,CSO將首當其沖遭受指責,即使真正的原因在于某位員工“翻墻”將信息帶到了非安全區域,CSO仍是替罪羊,這也給“冒險者”可乘之機。
如何應對人才短缺
Noble還指出,信息安全被視為增長速度最快的領域之一,市場上對CISO需求的增加速度顯然快于人才培養的速度:“信息安全專業人員的數量預計在未來五年內每年增幅都將超過11%,即便如此人才短缺仍然存在。”
如何解決這樣的困境?目前大家普遍認為安全培訓應該成為優先級更高的主流教育課程,CSO這個職位本身也需要得到更多宣傳與推廣。Noble認為網絡安全培訓必須盡早開始:“安全必須成為早期教育課程中的組成部分,并貫穿從業者的整個求學生涯。”
不過單靠培訓還不夠,甚至研究生階段的教育也難以達到實際要求,因為大部分企業都希望找到一位真正合格的CSO。按照Shaw的說法:“合格的CSO需要能夠在上任的第一天就投入實際工作。對于剛剛走出校門的研究生來說,他們在實踐層面的經驗還非常匱乏。我認為這個難題可以通過充分的實習經歷以及畢業后的從業積累加以解決。”
目前這一計劃正在進行,普渡大學信息保障與安全教研中心(簡稱CERIAS)已經推進類似的方案。Noble說,這類方案在技術與其它學科之間建起了橋梁,能夠幫助未來有意進軍CSO角色的學生提前做好準備。他還列舉出其他尚處于起始階段的項目,并表示,這些項目旨在幫助成長中的人才同時從能力與專業兩個方面汲取營養。參與項目推動的機構包括英國eSkills、歐洲標準化委員會(簡稱CEN)、國際標準化組織(簡稱ISO)、國際電信聯盟、電信發展部門(簡稱ITU-D)以及NICE Framework。(ISC)²同樣以多種方式向其中投入資源作為支持。
但是,對于那些無法耐心等待必須盡快找到相關人才的企業來說,Stroz認為目前最可選的解決方案在于將工作外包給專業咨詢企業。他的理由是:在選拔合適人選的過程中“往往會涉及企業現有安全漏洞,這樣的討論內容相當敏感,因為難免會涉及大量價值極高的知識產權信息。”外包會相對安全。
所有的問題最終歸結為人才在技術與業務兩類技能方面的“高度適應性”。“目標在于建立一套與企業業務目標相一致的風險管理環境,”Stroz指出。“沒有這樣的前提作為輔助,不管是招聘專職還是外包都不可能獲得令人滿意的結果。”
