隨著專門針對知識產權的數據外泄事件與大量黑客活動的持續升溫，信息安全專家、尤其是那些迫于預算壓力而不得不在人才儲備方面做出妥協的管理者感到壓力倍增。

這也正是(ISC)2第六次全球信息安全人力研究的主要調查結果之一。這家認證機構于本周、也就是RSA大會的首日公布了這份報告。該機構還于周一利用半天時間在大會上介紹了其最為知名的項目——認證安全軟件生命周期專家(簡稱CSSLP)與認證信息系統安全專家(簡稱CISSP)兩大培訓課程。(ISC)2與承包業巨頭Booz Allen Hamilton以及研究企業Frost & Sullivan一道對全球范圍的超過一萬兩千名信息安全專家開展了調查。

黑客成為頭號安全隱患

正如大家所預料，黑客成為56%的受訪者最為關注的首要安全隱患，而網絡恐怖主義活動的地位則日益提升、在此次調查中躍居次席。此類有針對性的攻擊完全有能力破壞關鍵性基礎設施的正常運轉：例如兩年前首次浮出水面的Stuxnet，更有一些惡意內容很可能始終潛伏在機構的系統或者成功繞開了傳統安全技術的圍追堵截，在不知不覺中竊取著知識產權等其它一些寶貴信息。排在第三位的安全威脅則源自由“Anonymous”及其它一些零散黑客組織所帶來的攻擊活動。

“威脅榜前三甲已經觸動了安全行業的危機點，”(ISC)2基金會主管Julie Peeler指出，她的主要工作是監管機構的培訓及學員成績等事務。“我們正處于時代的轉折點，只有投入大量精力建立起值得信賴的員工隊伍并使其擁有專業化的培養及安全技能，新技術所引發的破壞才有可能被徹底控制住。”

超過八成的受訪者表示他們在過去一年中沒有選擇過新的雇主或者供職單位，但(ISC)2宣稱將按計劃以每年11%的增長速度在未來五年內持續提高從業安全專家的數量。不過，仍有超過一半的受訪者(56%)表示所在單位缺乏足夠的安全人才。

“當我們問及哪種額外支持最受歡迎時，受訪者表示希望能從高管層處了解到安全事務該如何在整個機構中逐步鋪開，”Taylor告訴我們。“他們認為，最需要優先解決的問題是避免企業聲譽受到損害。”

還有一些受訪者覺得遭受攻擊后的恢復工作難以實施、成本高昂，將近四分之三的受訪者認為服務停機時間才是最需要優先處理的事項。28%的受訪者指出所在單位能夠在一天之內修復由針對性攻擊造成的后遺癥。

應用安全以及BYOD安全備受矚目

應用程序安全漏洞則最終登上安全關注榜的第一位，Taylor同時指出這一趨勢在2011年的調查中就已經顯露端倪。目前人才市場上經過良好培訓且具備安全軟件開發知識的軟件開發專家非常稀缺，而這已經成為不容忽視的大問題，她補充道。

“軟件工程師們真的需要對應用、產品及平臺設計的安全知識多做一些深入了解，”Taylor表示。

除此之外，惡意軟件感染的控制工作、云環境中的數據直觀性、社交網絡弊端以及BYOD趨勢也紛紛登上關注榜前列。BYOD技術在78%的受訪者眼中成為重大安全風險的代名詞，更有74%的受訪者認為要解決BYOD課題必須具備與之匹配的新型安全技能。68%的受訪者表示社交媒體也是一種長期持續的安全威脅。

向云平臺遷移、基礎設施以及軟件即服務的長期使用同樣給用戶帶來些許焦慮情緒，(ISC)2指出。49%的受訪者認為云基礎服務將在2013年成為高危甚至最危險的安全問題，這一比例較2011年提高了6%。隨著兩年來云基礎服務部署的逐步鋪開，報告發現人們越來越切身感受到這一趨勢的影響力以及由此帶來的安全隱患。

云安全專家成為人才缺口

根據調查結果，(ISC)2認為目前人們“對于云相關風險的認識還相當模糊”;89%的受訪者會把云安全水平當作安全專業人士的主要招聘標準。78%的受訪者表示正在尋求優秀的安全專家來幫助自己了解云安全指導方針，并打算采用參考性架構方案。根據他們的意見，安全專家還需要掌握合規性問題、技術性知識，并熟悉合同義務及要求在安全層面的涵義。

“要想對供應商的整體風險做出科學評估，用戶必須首先了解各家潛在云服務供應商，”報告指出。“面對那些沒有遵循行業標準、最佳安全實踐以及相關規程要求的云服務供應商，我們必須敏銳地意識到可能存在的潛在云風險、并堅決將這類合作對象拒之門外。”