网络安全技能差距被误解了

几乎每一年,一个贸易协会,一个大学,一个独立的研究人员,或大型企业——有时他们和许多between-push最新研究网络安全技能差距,now-decade-plus-old认为全球经济缺乏无法找到越来越多的网络安全的专业人士。

正如一份报告所说，这是“紧急状态”。如果这些数字更有意义就好了。

2010年，一项针对美国的研究显示，网络安全技能缺口至少有1万人。在2015年,根据另一项分析，这个数字是209,000。此外，2015年，根据另一份报告，这个数字超过100万。如今，该号码均为预计350万，到2021年，全球407亿日。

加州大学圣克鲁兹分校硅谷分校(University of California Santa Cruz Silicon Valley Extension)院长PK Agarwal多年来一直关注这些数字。他从个人利益出发，对这些数据进行了跟踪。他在位于波士顿的私立大学创办的教育中心东北大学硅谷分校(Northeastern University Silicon Valley)建立项目时，对这些数据进行了更深入的跟踪。他最近担任了该大学的地区院长兼首席执行官。在他的研究中，他发现了一些东西。

“就实际数字而言，如果您正在寻找网络安全的供需差距，您将看到大量的报告，”Agarwal表示。“他们将全部在地图上。”

他接着说:“是的，存在短缺，但这不是系统性的短缺。它是在某些甜蜜的地方。这就是现实。这是事实。”

就像阿加瓦尔说的，网络安全技能缺口存在“甜蜜点”——在截止日期驱动的项目中找到即时需求可能会很困难，或者在公司无法花时间培训现有员工的关键软件工具中找到受过培训的专业人员可能会很困难。

但更广泛地，网络安全技能差距，据招聘人员，招聘经理和学者，误解了。而不是缺乏人才，有时候，代表公司，如何在如何找到和雇用那种人才。

通过张贴过度限制的工作要求，要求涉及矛盾的技能，拒绝聘请偏远工人，提供不竞争力的速度，并且未能看到少数民族，妇女和退伍军人作为可行的候选人，企业可能错过了非常真实，非常无障碍的网络安全人才在那里。

换句话说，如果你不能为你的公司找到一个网络安全专家，那并不意味着他们不存在。这意味着你可能需要帮助才能找到他们。

数字游戏

2010年，战略和国际研究中心（CSIS）发布了其报告“网络安全中的人力资本危机根据这份报告，“美国面临的网络威胁影响到社会、企业和政府的各个方面，但既没有一个广泛的网络专家队伍，也没有一个建立起来的网络职业领域，尤其是在联邦政府内部。”

此外，据当时到访的美国国家安全局科学家、中央情报局秘密信息技术办公室(CIA’s秘密信息技术办公室)的创始人吉姆·高斯勒(Jim Gosler)说，美国只有1000名具备“在网络空间有效运作的专业技能”的安全专家。高斯勒在采访中说，这个国家需要1万到3万名志愿者。

虽然网络安全技能差距很可能在2010年之前就被发现了，但CSIS的这篇论文在一定程度上抓住了一个如今仍得到支持的理论——技能差距是人才的缺乏。

几年后，据报道，网络安全技能差距变成了一个鸿沟。它很快就会跨越世界。

2016年，企业战略集团将网络安全技能缺口称为“紧急状态该研究显示，在中端市场和企业中，46%的高级IT和网络安全专业人士认为他们的部门缺乏网络安全技能是“有问题的”。同年，由专业IT协会ISACA单独编制的数据预计整个世界将缺少200万网络安全专业人员到2019年。

但到2019年，根据当年通过国际信息系统安全认证财团或（ISC）的调查报告，这一预测已经成真。或（ISC）²．该组织表示，全世界雇佣了280万名网络安全专业人员，但是需要407万．

与此同时，最近的一项研究预测，2021年的技能缺口将低于(ISC)²估计今天而是在明年之前预测需要350万个专业人士．这些年来,独立研究提供了同样的冲突的数量．

这种差异可能会让人眼花缭乱，但可以用动机的差异来解释，阿加瓦尔说。他说，这些报告并非凭空而来，而是为公司和主要大学起草的，这或许并不令人意外。这些大学依赖这些数据来帮助创建新项目，开发课程，以吸引现有和未来的学生。

这是阿加瓦尔多年前在东北大学硅谷分校开发计算机科学硕士项目时走的一条路。他说，数据支持这一计划，显示旧金山湾区约有1.4万个工作岗位要求有硕士学位，而邻近的旧金山湾区学校当年只培养出不到500名硕士毕业生。

阿加瓦尔说:“由于存在巨大的差距，所以我们成立了校园。”这个项目引起了人们的兴趣，但没有数据显示的那么多。

agarwal当时记得思考：“到底是怎么回事？”

阿加瓦尔说:“事实证明，发生了很多事情。对于许多学生来说，更多的学生债务和可能更高的工资并不能让他们进入这个项目。此外，学士毕业生和硕士毕业生的工资非常接近，以至于学生很难看到获得高等学位的价值。

厌倦了对计算机科学的硕士学位也瘟疫网络安全阿加瓦尔说，他把它比作生物学的高级学位。

“硕士水平的网络安全与生物学中的相同 - 它没有市场价值，”阿加尔沃说。“如果你有一个BA [在生物学]，你是一个实验室老鼠。如果你有一个马，你是一个高级实验室老鼠。“

因此，想象一下，网络安全候选人的混乱，谁在申请工作时，将硕士学位列为要求。然而，这远未常见。与许多其他人一样的要求可以让候选人离开。

搜索不同

对于那些觉得自己需要的网络安全人才，他们需要的网络安全人才不存在，招聘人员和战略家有不同的建议：以不同的方式寻找网络安全人才。这意味着更宽度的程度和认证要求，更加开放，远程工作，并招聘候选人的能力，而不是延续必备的愿望清单。

国际招聘机构高级副总裁兼首席技术官Jim Johnson表示，当他思考客户在网络安全方面的需求时，他经常回忆一下他几年前观看的会议小组。约翰逊说，招聘专家小组被问到一个简单的问题：你如何找到人们？

约翰逊回忆说，有个人说:“你需要接受雇佣一无所知的人。”

约翰逊的课程说，公司应该雇用能力和学习的能力。

约翰逊说:“你要雇佣符合自己要求的人。”“如果他们在技术上不具备一切条件，但他们有能力学习，那就是你培养出来的人。”

约翰逊还解释说，对于一些候选人来说，限制性的工作要求实际上可以吓跑。约翰逊对公司的建议是他们了解他们正在寻找的东西，但他们并没有对工作本身的要求如此限制它对一些潜在候选人犹豫不决。

约翰逊说:“你可能会错过一个好员工，因为你需要三个证书，而他们有一个，或者他们正在获得一个。”

同样，资深网络安全顾问、现任组织网络安全战略顾问托马斯•克兰兹(Thomas Kranz)称，专门要求学历的工作要求是“公司招聘网络安全人才时面临的最大障碍”。

“这是一种态度在上个世纪牢固，”克兰兹写道．'必须有[科学学士学]或高级学位'携手并进用“为什么我们找不到我们需要的候选人？”“

这种想法已经在招聘人员之外流行开来。

今年2月，包括Malwarebytes在内的十多家公司必威平台APP承诺采取阿斯彭研究所的增长和维持国家网络安全劳动力的原则．”

第一条原则要求公司“扩大候选人渠道的范围，包括将招聘重点扩大到拥有四年制学位或使用无性别偏见的职位描述之外。”

在Ma必威平台APPlwarebytes，取消网络安全职位描述中严格的学历要求的做法，至少已经存在一年半了。

“我永远不会将BA或BS列为大多数职位的难以要求，”Malwarebytes首席信息安全官John Donovan表示。必威平台APP“工作和生活经验有助于四舍五入，特别是对于网络安全角色。”Donovan补充说，对于更多的初级职位，有“促进申请池的创造性方式”，例如使用招聘计划一年内，NPower等。

和其他许多机构一样，这两家机构帮助个人过渡到以技术为重点的职业，提供培训课程、实习机会，以及进入可能无法企及的企业世界的途径。

这些类型的职业发展组织还可以帮助公司希望扩大其搜索，包括通常被忽视的社区，包括少数群体，妇女，残疾人士和退伍军人。

以例如，少数民族社会安全专业人员的国际财团，为妇女和少数群体推进了该领域的机会，或网络安全（W​​ICYS）中的非营利妇女，最近开发了一个退伍军人项目．Wicys主要通过提供培训课程，提供指导，授予奖学金和与兴趣的公司合作伙伴合作，培养网络安全妇女职业生涯。必威客服app

“在网络安全中，WICYS执行董事Lynn Dohm表示，存在以前从未存在过的挑战。“我们需要多任务，思想的多样性，以及来自所有不同背景的人，所有的家庭和所有种族都从所有不同的角度来解决这些挑战。”

最后，对于那些仍然难以找到网络安全人才的公司，罗致恒富的约翰逊建议扩大搜索范围。他说，网络安全职位不再需要由半径40英里以内的人来填补，如果说有什么不同的话，当前的疫情强化了这一观点。

“大流行的影响，已经改变了人们的工作，让我们现在意识到整个工作偏远的事情并不像我们想象的那样可怕，”约翰逊说。

但企业应该明白，远程工作对他们和潜在求职者来说都是一种福利。合格的求职者在找工作时不再受限于他们实际能得到的东西，现在他们可以申请那些看起来更有吸引力、离居住地远得多的工作。

约翰逊表示，当然，当然，将对薪水产生影响。

“海湾地区的工资,或者是一个纽约的薪水,而那些可能不会大幅改变,改变的是人,可能是被招募在得梅因在奥马哈或俄克拉荷马城,传统上是有限的(地区),现在他们被公司招募了海岸,”约翰逊说。

“这是一家影响当地公司，这些公司正在支付80,000美元的工资。现在，这些候选人正在提供85,000美元来远程工作。现在我必须与之竞争。“

计划前

网络安全技能的差距不一定会吓到公司或寻求招聘的高级网络安全经理。如今，企业可以采取许多可行的步骤，帮助扩大搜索范围，找到可能被其他公司忽视的人才。

首先，不要在工作描述中包含硬性的学位要求。网络安全认证也是如此。第二，开始接受这些团队远程工作的想法。“坐在座位上的屁股”现在几乎没有什么价值，所以要习惯它。第三，要明白远程工作可能会给你想要雇佣的候选人带来更高的报酬，所以要根据市场数据，适当支付报酬。第四，如果你想在创建一个多元化和有代表性的团队方面获得额外的帮助，可以联系招聘组织，比如WiCyS。第五，也要考虑向内部看，因为你的下一个网络安全员工实际上可能是一个网络安全晋升。

最后一条建议是什么?雇佣一个招聘人员。