現(xiàn)在企業(yè)越來越需要同時具備計算機(jī)科學(xué)和網(wǎng)絡(luò)背景的專業(yè)人員，因而填補(bǔ)網(wǎng)絡(luò)安全崗位并不容易，而技術(shù)扮演的角色將愈發(fā)重要起來。

對于任何行業(yè)來說，100萬名工人的缺口都是一個問題。然而在網(wǎng)絡(luò)攻擊事件每年攀升的背景下，探討網(wǎng)絡(luò)安全專業(yè)人員的缺口，一百萬則是一個令人警醒的數(shù)字，網(wǎng)絡(luò)安全行業(yè)必須要認(rèn)真面對起來。

網(wǎng)絡(luò)安全技能鴻溝隨著時間的推移不斷拉大，而我則是這一鴻溝的見證者。十年前，我已在IT領(lǐng)域工作，不過并未專事安全，但當(dāng)時網(wǎng)絡(luò)安全技能鴻溝并不存在。

當(dāng)然，一些組織，特別是在有關(guān)于“管理與人有關(guān)的數(shù)據(jù)”的那些行業(yè)，如金融、醫(yī)療、軍隊和保險業(yè)，幾年來一直都有內(nèi)部的安全團(tuán)隊。然而對于大部分企業(yè)來說，這并未形成其IT的必選項目。那時候網(wǎng)絡(luò)攻擊也不常見，因而對專業(yè)的、內(nèi)部的安全團(tuán)隊的需求還不明朗。

那時候，安全是臨時性的、活動式的。你可以按需設(shè)置安全委員會，但并不需要專設(shè)部門。如果數(shù)據(jù)泄漏事件發(fā)生，IT團(tuán)隊意識到網(wǎng)絡(luò)遭到攻擊時，安全團(tuán)隊僅僅是增加其網(wǎng)絡(luò)周邊安全并采取額外的措施以防事故再度發(fā)生。

安全由專家牽頭

如今一切變得不同。現(xiàn)在安全是主動式的，由內(nèi)部專家負(fù)責(zé)。如此，對于專有安全專家的要求變得更高，以至于組織機(jī)構(gòu)，包括政府在內(nèi)，很難找到他們需要的人才。在今年夏天OPM數(shù)據(jù)泄漏事故發(fā)生后，美首席信息官Tony Scott說道，如今世界上最難招聘的就是安全專業(yè)人才。

那么，為什么網(wǎng)絡(luò)安全技能鴻溝會出現(xiàn)呢?甚至政府也很難尋到技術(shù)人才呢?這是多種因素造成的。

首先，網(wǎng)絡(luò)安全是一個十分特定的領(lǐng)域。如果你想要在網(wǎng)絡(luò)安全領(lǐng)域里工作，你要同時有計算機(jī)和網(wǎng)絡(luò)的背景。你需要熟知網(wǎng)絡(luò)安全的發(fā)展脈絡(luò)，從老的、靜態(tài)的類似惡意軟件這樣的威脅到新型的APT這樣的威脅，你都要了解。而能做到兼具見識廣度和技能深度的專家少之又少。

其次，企業(yè)建立自己的安全團(tuán)隊，不過通常都是從普通IT部門挑人才。很可能這些系統(tǒng)管理員此前從未從事過安全方面的事，而如今卻要負(fù)責(zé)保護(hù)企業(yè)網(wǎng)絡(luò)的核心元素。而對安全不感興趣的人和沒有安全專業(yè)技能的人無甚差別。

這種“角色與技能”不匹配在如今IT安全高管(如CIO、CISO)中十分常見。就其角色而言，他們要負(fù)責(zé)建設(shè)并管理一個值得信賴的安全專家和資源團(tuán)隊，而過去，他們只是關(guān)注信息技術(shù)系統(tǒng)的構(gòu)建和管理而已。

彈性也是要因之一

這關(guān)系到最后一個因素，那就是IT安全專家需要“厚臉皮”一些。對于安全團(tuán)隊，特別是C級安全官來說，如果公司遭遇攻擊相應(yīng)這些官員就會遭到譴責(zé)，也不管因果如何。大概一定程度上這也導(dǎo)致了CIO的平均任期只有四年。如今的現(xiàn)實是絕大多數(shù)的公司都在經(jīng)歷著這樣那樣的攻擊。安全團(tuán)隊得經(jīng)得起推敲，能夠快速響應(yīng)，從中吸取教訓(xùn)，以防其再度發(fā)生。

100萬IT安全專業(yè)人員的缺口不會在一夜之間被填補(bǔ)，對于很多企業(yè)來說，更是需要數(shù)年。同時，人手不足和IT安全部門資源不足都需要靠安全技術(shù)來彌補(bǔ)，從集中管理遠(yuǎn)程接入VPN到威脅檢測系統(tǒng)防火墻等等，用這些技術(shù)來幫助其獲得更好的安全保護(hù)。

如此這般，強(qiáng)健和自動化將使公司能夠從當(dāng)今最為巨大的威脅中保全自身，也不管企業(yè)中到底缺了多少安全人才了。