多年來，網(wǎng)絡安全領導者一直在努力解決關鍵網(wǎng)絡角色的人才短缺問題。面對不斷升級的財務要求和不斷擴大的責任，這些領導者面臨著更大的壓力，需要用更少的資源實現(xiàn)更多目標，并創(chuàng)建涵蓋多種安全職能的角色。

安全角色通常是多功能的

一份新報告表明，角色內(nèi)的典型功能組合包括架構和工程 (A&E)、應用程序安全 (AppSec) 和產(chǎn)品安全。IANS 和 Artico Search 收集了來自美國和加拿大各行業(yè)和公司類型的 560 多名網(wǎng)絡安全員工的回復。此外，我們還對 100 名CISO進行了非正式訪談，以更好地了解 CISO 在招聘和留住員工方面面臨的挑戰(zhàn)。

在調(diào)查受訪者中，42% 的人負責多個網(wǎng)絡安全領域。在 AppSec 員工中，74% 還致力于產(chǎn)品安全，67% 參與身份和訪問管理 ( IAM )。

在產(chǎn)品安全方面，63% 的員工也支持 IAM。然而，治理、風險和合規(guī)性 ( GRC ) 與其他角色的聯(lián)系較輕。大約 37% 的 GRC 員工還承擔 A&E 職責，只有 25% 從事 AppSec 工作。

研究還發(fā)現(xiàn)，典型的企業(yè)類別和角色分類通常與信息安全人才市場不一致。“多年來，我們聽到許多網(wǎng)絡安全專業(yè)人士討論他們在組織中擔任的職務。這份最新報告清楚地說明了按職能劃分的日常職責的數(shù)量。每個功能不僅支持自己的一組核心任務，而且大多數(shù)角色還支持至少兩個附加功能。這讓許多公司都在努力應對典型的企業(yè)薪資水平，因為網(wǎng)絡安全需要專門的薪酬方案，以更好地爭奪人才并最大限度地減少人員流失。” Artico Search 網(wǎng)絡安全實踐合伙人兼 IANS 教員Steve Martano說道。

豐富的經(jīng)驗、專業(yè)化和高級學位都會帶來更高的薪資

擁有至少 12 年相關經(jīng)驗的經(jīng)驗豐富的員工的收入比基線高出 22%。AppSec、產(chǎn)品安全或 IAM 方面的專業(yè)知識，或者碩士或博士學位的現(xiàn)金報酬為 21%。

與此同時，相關經(jīng)驗不足三年的員工的薪酬比基線低 40%。同樣，不持有副學士學位以上大學學歷的網(wǎng)絡安全專業(yè)人士的薪酬水平也往往低于平均水平。

不同領域的性別多樣性各不相同，但性別薪酬差距仍然普遍存在

20% 的人自我認同為女性、二元性別或其他。GRC 的性別多樣性最高，為 40%，其次是 IAM，為 25%，而 A&E 工作人員的非男性比例最低，為 10%。

研究數(shù)據(jù)顯示，性別薪酬差距約為 7%。在擁有 12 年以上工作經(jīng)驗的員工中，性別差距更為明顯，研究人員發(fā)現(xiàn)，男性和女性之間的薪酬差距達到兩位數(shù)。在擁有三年以下信息安全經(jīng)驗的受訪者中，性別多元化專業(yè)人士的支持率差距為 3%。

員工認可度和工作福利與更高的保留率相關

在這四個標準中，感覺受到重視和支持以及有職業(yè)發(fā)展機會與換工作考慮因素的關系最為密切。

回顧有關網(wǎng)絡安全勞動力短缺問題：

• 盡管這是有史以來勞動力人數(shù)最多的記錄，但報告顯示需求仍然超過供應。網(wǎng)絡安全勞動力缺口已創(chuàng)歷史新高，需要 400 萬專業(yè)人員來充分保護數(shù)字資產(chǎn)。
• 該研究還發(fā)現(xiàn)了影響該領域?qū)I(yè)人士的新挑戰(zhàn)，包括經(jīng)濟不確定性、人工智能、分散的法規(guī)和技能差距。此外，充滿挑戰(zhàn)的威脅形勢繼續(xù)籠罩該領域，75% 的網(wǎng)絡安全專業(yè)人士表示，當前的威脅形勢是過去五年來最具挑戰(zhàn)性的。
• 只有 52% 的人認為他們的組織擁有足夠的工具和人員來應對未來兩到三年的網(wǎng)絡事件。

網(wǎng)絡安全勞動力短缺和技能差距

67% 的受訪者表示，他們的組織缺乏網(wǎng)絡安全人員來預防和解決安全問題，92% 的網(wǎng)絡安全專業(yè)人員表示他們的組織存在技能差距。

組織中排名前三的技能差距是云計算安全（35%）、人工智能/機器學習（32%）、零信任實施（29%）。

進行過網(wǎng)絡安全裁員的組織中有 51% 受到一項或多項重大技能缺口的影響，而沒有進行過裁員的組織中這一比例僅為 39%。

經(jīng)濟不確定性

71% 的受訪者認為，經(jīng)濟不確定時期會增加惡意內(nèi)部人員的風險。研究發(fā)現(xiàn)，39% 的網(wǎng)絡安全專業(yè)人員曾接觸過或認識曾被惡意行為者接觸過的人。在網(wǎng)絡安全領域進行過裁員的公司中，被視為惡意內(nèi)部人員的可能性是其他公司的三倍。

• 47% 的受訪者經(jīng)歷過削減，包括預算削減、裁員以及凍結招聘和晉升
• 35% 的人面臨網(wǎng)絡安全培訓計劃的削減，這對于技能發(fā)展和勞動力增長至關重要
• 三分之二的受訪者表示，裁員對他們的生產(chǎn)力、團隊士氣產(chǎn)生了負面影響，并增加了他們的工作量
• 57% 的受訪者表示，他們對威脅的響應因削減而受到抑制，52% 的受訪者認為與內(nèi)部風險相關的事件有所增加
• 31% 的專業(yè)人士認為裁員將持續(xù)到 2024 年，70% 的專業(yè)人士預計這些裁員將包括裁員

發(fā)現(xiàn)有效的招聘、保留和團隊建設實踐

• 47% 的受訪者對人工智能 (AI) 毫無了解或了解甚少
• 47% 的人將云計算安全視為職業(yè)發(fā)展中最受歡迎的技能
• 45% 的受訪者認為人工智能是未來兩年的最大挑戰(zhàn)

ISC2 首席執(zhí)行官Clar Rosso表示：“雖然我們慶祝進入該領域的新網(wǎng)絡安全專業(yè)人員數(shù)量創(chuàng)歷史新高，但緊迫的現(xiàn)實是，我們必須將勞動力數(shù)量增加一倍，以充分保護組織及其關鍵資產(chǎn)。”

“在當前前所未有的最復雜和復雜的威脅形勢下，網(wǎng)絡安全專業(yè)人員面臨的不斷升級的挑戰(zhàn)凸顯了我們信息的緊迫性：組織必須投資于他們的團隊，無論是在新人才還是現(xiàn)有員工方面，他們具備應對不斷變化的威脅形勢的基本技能。這是確保職業(yè)有彈性、加強我們集體安全的唯一途徑，”羅索繼續(xù)說道。

組織正在積極采取戰(zhàn)略來加強其網(wǎng)絡安全團隊。調(diào)查受訪者表示，他們的組織正在投資于員工培訓 (72%)、提供靈活的工作條件 (69%)、資助多元化、公平和包容 (DEI) 計劃 (68%)、支持認證 (67%) 以及擴大其業(yè)務范圍團隊通過招募、雇用和入職新員工（67%）來防止或緩解員工短缺。

促進網(wǎng)絡安全的多樣性和包容性

為了促進員工隊伍更加多元化，組織正在采用 DEI 舉措，納入基于技能的招聘，并修改職位描述以強調(diào) DEI 目標。

采用基于技能的招聘的組織已經(jīng)看到了積極的影響，其勞動力中女性平均比例為 25.5%，而未采用這一舉措的組織中女性比例為 22.2%。然而，仍有工作要做，因為女性僅占 30 歲以下網(wǎng)絡安全專業(yè)人員的 26%。

DEI 舉措不僅可以推動多元化，還可以提高勞動力效率。實施 DEI 招聘實踐的組織表示，其網(wǎng)絡安全專業(yè)人員在未來兩到三年內(nèi)應對網(wǎng)絡威脅的準備意識更強。

除了各種技能的技術熟練程度之外，網(wǎng)絡安全專業(yè)人員還強調(diào)非技術屬性的重要性。解決問題的能力（45%）位居榜首，其次是好奇心和學習熱情（39%）以及有效溝通（38%）。