作為具有多年經(jīng)驗的安全管理人員，我們發(fā)現(xiàn)：自上一個安全從業(yè)人員研究在2008年完成以來，(ISC)2的第五次全球信息安全從業(yè)人員研究結果，很好的記錄著信息安全的方向，這個研究是今年初發(fā)布的?？傮w來講，研究結果反映了以下幾點：

◆在發(fā)達地區(qū)對規(guī)則遵從的關注在增加。

◆在亞太地區(qū)，信息安全在持續(xù)增長。

◆在北美和歐洲，信息安全逐漸成熟。

◆受到全球經(jīng)濟不景氣的沖擊，尤其是在歐洲。

◆技術和安全的焦點從“更高層協(xié)議棧”轉向應用層，并遠離基礎架構；這一趨勢反映了威脅在過去幾年內的演化。

◆在企業(yè)中，消費電子技術的影響力不斷增加。

我們贊成這個研究的主要結論，即由于這些趨勢的出現(xiàn)，企業(yè)和信息安全專家正面臨前所未見的壓力。

安全資源和技術差距

這個研究顯示，出于為公司和消費者的信息提供保護的要求，監(jiān)管要求繼續(xù)在拓寬其廣度和深度。技術呈指數(shù)倍的增長，加上公司期望抓住這次增長形成自己獨特的競爭力，這也增加了對信息安全專家的要求。

我們相信：為了跟上這些趨勢，在這個研究中描述的安全技術和從業(yè)人員差距將隨著全球經(jīng)濟的穩(wěn)步復蘇變得更加顯著，同時亞太地區(qū)正經(jīng)歷著對安全資源的最大需求。由于全球企業(yè)間的相互聯(lián)系，各個地區(qū)都應該關注這個趨勢。正如所有類別的開支都顯著增長所反映的那樣，亞洲經(jīng)濟的超凡實力將繼續(xù)刺激對安全和規(guī)則遵從資源的需求。因為只有很少的傳統(tǒng)信息技術系統(tǒng)需要被取代，亞洲國家可以快速利用更新的技術，就像他們人口的流動性那樣。

作為這一差距的另一個指標，亞太地區(qū)的受訪者認為與其他地區(qū)的同行相比，社交媒體在某種程度上顯得更加重要。采用更高層次的新技術，比如這個地區(qū)的社交媒體，已經(jīng)被許多研究和調查所注意。其中一個例子是，澳大利亞和中國的消費者對一些社交媒體的使用率處于世界領先。由于只有一個相對較小的安全資源池，以及在強大的信息安全教育課程方面的整體不足，亞太地區(qū)的安全資源差距被進一步拉大了。

這個研究中顯示，安全領域資源差距的另一驅動力是公共和私人部門之間對其需求的不斷起伏?？梢钥闯觯谶^去的幾年里，公共部門對安全專家的需求呈現(xiàn)爆炸性增長，尤其是在最發(fā)達的國家。然而這種趨勢可能會趨于穩(wěn)定，在面對這些需求的時候，真正合格的候選人已經(jīng)減少了很多。

另一方面，受訪者將應用程序漏洞列為他們所關心的最大威脅。在IT領域，很少有事情可以變得比軟件應用的研發(fā)和集成更加復雜。隨著開發(fā)者致力于提高應用程序的靈活性和用戶友好性，這些系統(tǒng)的后臺復雜性也正在增加。當前很多的應用程序都是具有網(wǎng)絡功能的，這就拓寬了必須對其進行更多保護的地方。

填補差距的方法

盡管這個研究表明這方面的職位將從當前的228萬個增長到2015年的424萬個，然而問題依然存在：“這些新的專家從哪里來，我們如何保證他們是這個領域有知識有道德的新成員？”

由于經(jīng)常發(fā)生的眾所周知的破壞和數(shù)據(jù)丟失，安全話題已經(jīng)得到了很大的關注。這些曝光吸引了對這個行業(yè)的注意，進而這也成為新成員進入這個資源池的催化劑。通常，這些新成員來自傳統(tǒng)的IT教育和培訓項目，也是來自IT行業(yè)本身。

直到近幾年，在傳統(tǒng)的大學和技術學校里很少有特定的安全課程可供選擇。不過這種情況已經(jīng)得到改善，現(xiàn)在有許多的特定安全項目提供給給技術和管理安全教育。為專業(yè)人員提供適合他們繁忙工作日程的相關培訓也是必需的。由于對繼續(xù)教育需求的增加，企業(yè)需要這樣的培訓，即它可以幫助企業(yè)最大限度的發(fā)揮旅費和培訓預算的作用。通過基于網(wǎng)絡的技術和基于計算機的課程，培訓和認證機構可以提高它們的能力從而滿足這些需求。

此外，由于在過去10年，信息安全領域的技術改變步伐迅速加快，培訓的內容也必須以相同的步伐更新，從而跟上威脅和技術演化的腳步。舉例來講，這個研究中指出的最大威脅，比如不安全的應用程序和云計算，在短短的幾年前甚至沒有引起大多數(shù)信息安全專家的關注。

許多公司都要求對其內部安全雇員和外包顧問進行認證。但這決不是一個能力的保證，行業(yè)認證只是對個人到達了信息安全領域最低知識要求提供保證。進一步講，一個最低水平的行業(yè)經(jīng)驗也是專業(yè)認證的要求，比如那些來自(ISC)2和ISACA的認證。企業(yè)在招聘安全雇員的時候利用這些認證來驗證其具備基本要求。

由于這項業(yè)務的性質，道德行為成為信息安全專業(yè)的一個特征。從業(yè)人員必須服從于一個強有力的行為準則，并以相似的方式來引導他們自身的行為。培訓和認證機構必須確保道德行為意識和規(guī)范包含在他們的方案中。