每年在這時候,公司的最高管理階層都有許多該優先處理的事情:搞定明年的預算計畫以及確保企業朝向目標前進是最優先的兩項。而另一件在進入2018年時所必須考慮的重點是建造他們的IT資安團隊。
面對網路犯罪分子持續地日益創新,破壞性的攻擊策略以及更加頻繁的攻擊,企業是否能夠擁有足夠的安全資源和人手來處理是件重要的事。但是網路安全產業人才短缺已經持續了多年,而且還會持續到2018年。
IT資安人員的就業機會
在Forbes的報導,非盈利資訊安全推廣組織ISACA預測到了2019年會出現驚人的資安專家短缺 – 缺少兩百萬名網路安全專家。
“美國每年有4萬份資訊安全分析師的職缺需要填補,而雇主還必須填補20萬份的其他網路資安職位”,Forbes撰稿者Jeff Kauflin寫道。“而每十份出現在求職網站上的網路資安工作,甚至只有7個人會去點那些廣告,更不用說申請。”
總的來說,缺乏訓練有素而技術精湛的IT資安專家是各產業都正在面對的問題。隨著資安威脅的不斷成長,IT人員短缺成為更加緊迫的問題。
“到了2019年,專家預測會缺少兩百萬名的網路安全專家。”
值得慶幸的是對網路資安人員和其雇主來說,一旦招募並且到職就會相當穩定。Gartner公司指出網路資安產業目前是零失業率 – 這在其他任何產業幾乎都不會見到。“我們是少數會有零失業率的產業,”網路安全專家Robert Herjavec指出。“不幸的是,資安人才的增加速度並不足夠來遏制網路犯罪的橫行。在我們能夠改善新網路資安專家的教育訓練品質之前,我們將會繼續地趕不上黑帽肆虐。 “
招聘頂尖IT人才
專家們說網路安全人才是技術領域中最少的,這不難理解為什麼 – 對訓練有素專家的需求數量超過了現有技術精湛、經驗豐富的人員數量。而在下一批人員被訓練好且足以擔當此任前,可用人才庫仍然還是不夠,且越來越少。
這讓企業必須要更加努力才能吸引頂尖IT人才來補足人員的短缺。值得慶幸的是,企業還可以利用以下三個策略來支援內部 IT團隊:
- 考慮非傳統背景的求職者:哈佛商業評論撰稿者Marc van Zadelhoff指出網路安全人員短缺背後的因素之一是大多數企業尋求具備更多傳統經驗和訓練的應徵者(包括了四年學位和其他認證)。雖然更好的教育背景無疑是個亮點,但是考慮到人才短缺,人資主管應該要放寬標準,考慮一些沒有在大學接受相關課程的應徵者。更重要的是,引進較少傳統訓練的新人能夠對公司所需加強的安全防護提供新的角度。
- 利用公司社群與年輕人才互動:尋找大學剛出爐畢業生的企業必須要能吸引年輕人才的重視。CIO撰稿者Sharon Florentine建議要開始在社群及專家網路(如Linkedin和Twitter)與潛在應徵者展開談話。雖然網路安全專家在網路上的互動會更加謹慎,但這有助於企業接觸到初階人才,當然也包括更多訓練有素的專家。
- 給出薪水以外的獎勵:招聘網路安全員工的競爭相當激烈。為了脫穎而出,提供薪水以外的工作津貼會有所幫助。這包括提供遠端工作的機會,額外的有薪休假或其他有助應徵者選擇公司的獎勵措施。
網路安全人員在保護企業資料上發揮重要作用。
管理人員短缺帶來的風險
在企業努力吸引人才的同時,仍然必須維護安全狀態及保護組織的IT和資料等資產不被竊探或遭受惡意行為。
首先是要確保企業的每個人 – 從IT團隊到所有其他部門的員工 – 都了解公司所面對的風險以及自己在支持公司安全狀態上所該負的責任。對IT以外的員工提供經常性的教育訓練會有幫助。員工訓練 – 特別是關於對最新攻擊策略和資料保護最佳實作的認識 – 是確保公司自己員工不會成為整體網路安全脆弱一環的關鍵。
內部IT團隊能夠得到適當支持也是當務之急。因為人力資源的有限,高階主管應該努力讓IT人員可以從手動或日常管理瑣事中解放,確保這些員工的時間和技能用在最有影響的地方。將較不重要的工作自動化並將某些活動交給代管服務商可以讓IT人員有更多的時間專注在更為緊迫的安全問題上。
依靠強大的安全軟體解決方案來協助彌補人員缺口也有所助益。高階主管應該與IT管理員一同尋求包含監視和通知的主動式系統,讓網路內的可疑活動可以被發現,IT工作人員可以在出現大問題前先作出回應。
要做好這樣的安全防護,企業必須與業界領先的解決方案供應商合作。趨勢科技就是這樣最好的企業安全解決方案供應商,提供從點對點的強大資料保護。
@原文出處:IT Security Team Staffing Shortages: Managing Risks and Attracting Talent