趋势与观点 | 网络安全就业形势展望

随着经济发展进入不确定时代,各行各业都在讨论始终存在的技能差距和裁员,网络安全专业人员也在思考未来前景几何。尽管我们愈发需要保护数字生活与信息安全,网络安全行业是否也将迎来裁员潮?

ISACA与几位业内专家探讨了网络安全行业的发展趋势与职业前景,为网络安全新人总结出几大要点,并为雇主提出几点建议。

网络安全专业人员是业务成功的关键

网络安全是保护网络、系统、设备、程序、敏感信息和其他数据免于犯罪活动或未经授权的使用和数字攻击的实践。随着全球数字化程度加深,人们在网上花费更多的时间,网络安全成为几乎所有组织的关键成功要素。企业数字化转型对网络安全的需求加深,随着企业发展、数字业务进一步扩张,对网络安全专业人员的需求也将扩大。

ISACA网络安全现状等调查报告显示,市场对既有技术也有软技能(包括沟通和批判性思维)的IT和数字信任专业人士的需求很大,这类求职者与其他求职者相比更具优势,同时,持有网络安全相关认证也是一大优势。网络安全领域的常见职位包括网络安全工程师、信息安全分析师、渗透测试员和安全架构师。

网络安全就业市场展望

美国劳工统计局的数据显示,预计到2031年,信息安全分析师等职位的网络安全就业人数将增长35%,2021年5月,该类职位的平均薪酬为102,600美元。

网络安全招聘专家、职业顾问、J. Combs Search Advisors的创始人Jeff Combs认为,未来一年的网络安全工作前景喜忧参半。“由于去年许多公司过度招聘或过度扩张,因此今年对人员预算的审查更加严格。预算制订和职位获批都需要更长的时间,也会受到严格审查,需要更多业务上的理由证明其必要性,因为公司内的其他部门也需要这些资源。”

尽管如此,Combs和其他专家预测,未来一年对网络安全岗位的招聘需求仍将保持稳定。虽然不一定大幅增长,但Combs表示,招聘重点将转向更具战略价值、更关键的职位。这可能给招聘工作带来怎样的影响令他感到担忧。“因为许多公司裁撤了招聘人员,所以跟人才的接触会少得多,这将会放大脱节,且缺乏回应,有才能的人很可能因为企业缺少招聘人员而没有被发现,从而感到挫败。”

随着对人才招聘的支持减少,企业可能将更加依赖自动化工具,这使得申请人更难脱颖而出。Combs和其他职业战略师建议网络安全工作的申请人花更多时间准备面试,抓住机会使自己脱颖而出。

对网络安全新人的建议

网络安全是一个很吸引人的领域,原因有很多——薪资高、可远程工作、需求量大以及有机会为世界做出积极贡献——许多人都想进入这个行业。虽然进入网络安全行业说起来容易做起来难,但一旦培养起过硬的专业技能、扎实的知识基础、良好的职业道德,成为一名网络安全工作者将会潜力无限。

“如果你要进入网络安全行业,请想清楚你对这个行业有多少激情、有多大兴趣。”Combs表示,“这条路很漫长,道阻且长。你必须愿意投入时间和精力,特别是在无法获得很多满足感的情况下,坚持走到有所作为的那一步。”

希望进入网络安全行业的新人很少直接入职安全岗位,特别是还没有在其他岗位经历、成长过,难以真正胜任这一职位。Combs建议先从系统管理或其他基础领域做起,“如果你不了解一个实体的所有组成系统,你就无法保护它的安全。”

已经有一定经验的专业人员即使网络安全经验越来越丰富,也必须不断开拓,无论是否得到持续的认可。“网络安全行业让人热血沸腾,也需要从业者时刻紧绷。你工作做得最好的那天风平浪静,一旦有一天出事,所有人都会追究你的责任,质问你为什么出问题。你就会很委屈,因为这些事情平常根本不会发生。”

如今开源学习机会和职业发展资源之多前所未有,Combs建议行业新人充分利用所有这些资源,但要远离那些声称保证就业的训练营。相反,他建议参加职业交流联络活动、招聘会和会议,并开始发展与导师、同行和其他从业者的联系。

Combs表示,“你要有价值,就必须能解决问题。要能解决问题,就必须有人愿意给你机会研究问题到底在哪里。”

网络安全团队招聘建议

网络安全新人正在寻找适合自己的安全团队,企业也一直在寻找填补团队人才的空缺。问题是,要去哪里找到合适的人选?兼具技术和软技能已经成为必须项,但企业要怎样找到适合自己团队的人才?以下几大途径可以保证企业有合格的人才,包括提高现有员工技能水平、采用导师制培养、透明化与外部招聘团队的合作。

Kobalt.io的联合创始人、CEO Michael Argast表示,“网络安全行业不缺有才能、有热情的人才,我们的问题在于资源分配。”

当安全团队出现一个明显的缺口,许多人会立即寻找新员工来填补,这种常见做法是一大陷阱。其实投资于现在的团队、提高现有成员的技能水平就能帮助弥补差距。为团队成员提供资源和机会获得相关认证,可以赋能他们团队所缺少的知识和技能。此外,支持成员参加行业会议和专业发展课程,并面向他们开展所需职位的培训,就可以利用既有的人才优势。

需要雇用尚不具备理想经验水平的新人时,培训是关键。企业的橄榄枝更多抛向更有经验的老手,新人则常常被忽视。但通过适当的培训计划和专业指导,新人也可以成长为团队所需的经验丰富的专家。

Argast表示,“企业人事应该多给年轻人机会,管理层也需要准备好培养、指导团队中的新人。”

企业需要提供高质量的岗位职责描述,清楚阐明职位、职责和发展机会,还需要明确说明除经验积累、丰富履历之外的现实价值。

Combs表示,“提供人性化的职责描述,多根据具体需要进行调整。要认真对待你放出的信息,不是因为对企业有什么巨大的风险,而是因为你在努力吸引重要的人才。”

与招聘人员的关系往往同样重要,因为他们给安全团队带来不可或缺的价值。真正下一步要做的(如果还没有做的话)是把企业内部负责招聘的同事纳入安全团队,他们需要进入团队、有一定能力、接受团队的培训、了解哪些候选人比其他候选人更优秀及其原因。他们可以通过这个过程成为这项工作的专家,最终将招聘工作做得更好。

Combs鼓励团队“面试完之后听一下招聘人员的小结,讨论下反馈。不要再把招聘人员当做交易对象了。”

事实证明,无论什么时候,无论招聘环境如何,这种强调以人为本,认可才能,并给人才学习和成长的机会的做法,在网络安全领域至关重要。如今,数字化转型快速推进,威胁形势不断发展,网络安全专业人员的需求量仍然很大,企业必须愿意给年轻人机会,重视安全团队,并投资于专业人员的持续职业发展和教育,从而在动荡的经济环境中不断向前。