网络安全行业岗位缺口分析:基于美国市场数据的观察
网络安全行业的岗位缺口一直显著,各类统计数据虽不能完全客观反映全貌,但可作为重要参考。当前问题不仅在于数量上的短缺,更在于人员能力参差不齐,质量上的不足进一步加剧了人才需求压力。以美国的统计为例,分析其网络安全行业的缺口情况,可为人才培养策略提供有益借鉴。
美国网络安全职位的劳动力劣势
美国在申请网络安全职位方面面临严峻挑战。据 HHS 网络安全和基础设施保护小组委员会主席、纽约州众议员安德鲁·加巴里诺(Andrew Garbarino)指出,海外对手与 FBI 网络人员的劳动力优势比例为 50 比 1。这一数据是在题为'发展国家网络安全人才管道'的小组委员会听证会上披露的,揭示了国家层面在网络安全人力储备上的巨大差距。
与此同时,CyberSeek 的最新数据显示,全国范围内有超过 65 万个网络工作岗位需要填补。鉴于网络攻击率不断上升,这些数字令人震惊,表明现有的人才供给远无法满足日益增长的安全防御需求。
网络安全人才缺口的成因分析
世界经济论坛(WEF)得出的结论显示,2020 年 2 月至 4 月期间,全球范围内针对金融部门的网络攻击激增 238%,这与 COVID-19 疫情密切相关。在美国,医院和医疗保健提供者遭受的网络攻击在同一时期增加了 50%。此外,世界卫生组织(WHO)发现网络攻击数量增加了五倍。这种攻击频率的急剧上升直接推高了安全团队的工作负荷。
美国劳工统计局预计,从 2021 年到 2031 年,信息安全分析师的就业人数将增长 35%,增速远超所有职业的平均水平。然而,在过去十年中,预计每年平均约有 19,500 个信息安全分析师职位空缺。随着员工转向不同职业或退休,许多职位空缺是由于人才流动产生的。对于现职人员而言,压力同样巨大。加巴里诺众议员表示,61% 的安全工作人员表示,经过多年对重大安全事件的分类处理,他们已经精疲力尽。这种职业倦怠(Burnout)是造成人才流失的重要原因之一。
鉴于网络人才严重短缺,组织需要采取积极措施。美国卫生与公众服务部网络安全和基础设施保护小组委员会的技术领导者的证词为我们提供了线索。以下将从培训计划、资源利用、招聘标准及激励措施等方面探讨解决方案。
加快培训计划与早期职业发展
SAP America, Inc. 美国政府事务高级总监兼全球网络安全政策主管 Anjelica Dortch 分享了 SAP 如何为高绩效的早期职业专业人员制定两年计划。该计划的参与者几乎没有专业经验,但对 IT 和安全主题有基本了解。完成计划后,参与者将担任最适合其技能和兴趣的全职角色。这种模式不仅扩大了公司的网络安全候选人库并使其多样化,同时也提高了员工的保留率。
多奇向小组委员会提出的建议是通过《2023 年支持学生启动我们的企业法案》(或称《就业法案》)。该法案旨在将佩尔助学金的资格扩大到针对网络安全等高需求职业的短期职业培训计划。这意味着政府可以通过资金支持,鼓励更多人进入网络安全领域接受快速培训,从而缩短人才供给周期。
充分利用可用资源平台
Lightcast 应用研究副总裁 Will Markow 强调了 CyberSeek.org 的可用性。这是一个免费向公众开放的网络安全劳动力分析和职业发展平台,由 NIST 资助。该平台提供有关国家网络安全人员的可操作、可访问的最新信息。
CyberSeek 提供一流的数据和交互式可视化,将雇主需求与求职者联系起来。平台包括供需热图、网络职业路径、基于技能的职位描述和当地培训机构地图。此外,CyberSeek 还包含有关网络安全劳动力的其他资源的链接,包括来自 CISA(网络安全与基础设施安全局)和国家网络安全职业和研究倡议的资源。这些工具可以帮助个人规划职业路径,帮助组织定位潜在候选人。
放弃唯学历论,重视技能导向
马科夫还强调了减少职位空缺中的教育、经验和认证要求的重要性。这可以使招聘变得更加容易,并扩大政府候选人库的规模和多样性。根据 Lightcast 数据显示,从早期职业网络安全职位招聘中删除学士学位要求,可以将平均招聘成本降低 15,000 美元以上,并使候选人库增加 60% 以上。
缓解人才紧缺的建议还包括优先培训高增长、高价值技能。未来几年,对许多新兴网络安全技能的需求将增长 50% 或更多,其中许多技能的薪资溢价将达到 10,000 美元或更多。但在大多数情况下,这些技能的培训成本要低得多。将培训重点放在云安全、DevSecOps 等高增长、高价值技能上,可以帮助联邦政府和私营部门最大限度地提高培训投资回报率(ROE)。
