高CISO就业率意味着安全行业短缺

高管层级的风险管理需要精通技术和业务,这是罕见的组合

对于高级主管级别的合格信息安全专业人员来说,好消息是,很难失业。

今年早些时候,劳工统计局(BLS)报告称,该部门的失业率在2012年第四季度“激增”至3%,尽管 全年都是0.9%。通常,4%被认为是充分就业。

[加州理工学院加入国家网络安全教育工作]

虽然美国劳工统计局说这些数字并不完全可靠,但由于样本量太小,与7.3%的全国失业率进行比较仍然是戏剧性的。 Infosec管理是卖方市场;那些有资格的人不必为工作而辛苦。

然而,对个人有益的对产业不利。缺点是企业很难聘请合格的IT安全专业人员。情报和风险管理咨询公司Stroz Friedberg最近预测,首席信息安全官(CISO)的供应将无法满足2014年的需求。

该公司联合创始人兼执行董事长埃德·斯特罗兹(Ed Stroz)表示,预测并非来自统计调查,而是经过14年的“为各种各样的客户提供咨询服务。对CISO的需求常常被提上日程”,他说。 。

短缺也延伸到C套件以下。 (ISC)²政府事务主管,网络安全证书合作组织(C3)主席和联邦通信委员会(FCC)的前CISO马克·诺布尔(Marc Noble), 今年早些时候告诉BankInfoSecurity 过去,他的计划已受阻了将近一年,“由于无法找到高质量的候选人来填补信息安全职位”。

诺布尔在接受采访时说,他认为短缺的部分原因是威胁态势的迅速发展。他说:“识别和理解新技术,它们所存在的漏洞以及如何最好地调整安全控制以应对不断发展的威胁需要花费时间。实施这些控制会增加一层复杂性。”

要满足这一需求,就必须具备“在学习和应用新技能,新技术和新程序方面具有很高的适应能力,以便管理动态范围的风险。就目前而言,IT组织根本无法跟上。攻击者总是我们要走10步,”他说。

[SANS技术学院获得安全大师认证]

Stroz表示,除了能够处理动态范围的风险外,优秀的CISO还不只是技​​术人员。他们需要成为一般业务的使命和运营方面的专家,包括市场营销,财务和法律环境。他说,大多数组织都希望有一个既能胜任这一工作,又能了解公司和行业的人。而且,他们经常会为一个非常罕见或不存在的人提供描述。

正如普渡大学(Purdue University)首席信息官(CISO)大卫·肖(David Shaw)所说,这可能是因为“首席信息官(CISO)的角色正面临某种身份危机,对其角色或在组织中的位置没有明确的定义。我们一直在争论不休。是否应该向首席信息官,董事会,首席财务官报告?

[信息与物理安全专家之间的新兴争夺战]

他说:“我们并没有真正的标准模型来获得CISO的工作,更不用说成功了。”但他补充说,最需要的人“在安全性方面有着良好的记录很难想像,如果没有一定程度的技术了解就可以成为有效的CISO,但是您还需要具备在其他领域(例如业务,沟通,领导力和法律)发展的技能。

他说:“我认为,除安全性外,还有其他一些关键领域:建立关系,建立远见以及在组织的各个层面上讲话的能力。” “我们不一定会以这种方式培训安全专业人员。”

Stroz表示同意,他说良好的CISO必须了解的最重要的事情之一就是安全性不能超过便利性。他说:“您首先要知道的是,您不能像诺克斯堡那样将它(企业)锁定下来。”

但是,即使有这么多的复杂性,只要有需求,人们就会认为短缺会通过涌向该领域的人们来解决。从一个层面上讲,这会带来另一个问题。有些人在没有必要的技能和经验相结合的情况下将自己推销为具有资格的角色。

普渡大学信息保证与安全教育和研究中心执行主任尤金·斯帕福德(Eugene Spafford)告诉BankInfoSecurity,这一高要求“倾向于让那些有可疑背景的人将自己描绘成该领域的'专家'。在没有竞争或比较的情况下,其中一些无疑被雇用。”

但是更多时候,有资格的人可能会因Stroz所说的而推迟,因为在某些企业中,CISO角色趋向于成为“罪魁祸首而不是价值提供者” –如果敏感数据泄漏出去,甚至会责怪CISO。如果原因是雇员“跳了安全墙”并将信息放置在不安全的地方。

[安全支出继续在威胁背后迈出了一步]

来宝(Noble)表示,另一个现实是供应正在增加,但需求却在快速增长。他说:“信息安全专业人员的数量预计在未来五年中将以每年超过11%的速度持续增长。” “但是,即使每年以两位数的速度增长,劳动力短缺仍然存在。”

那么,该如何解决该短缺呢?人们普遍同意,安全培训应成为主流教育中的优先事项,并且CISO职称本身需要更多的曝光和提升。诺布尔说:“信息安全被认为是发展最快的职业领域之一,但我们仍未跟上必要的培训。对此领域的了解还不够多。”

诺布尔说,他认为网络安全培训必须尽早开始。他说:“安全必须成为早期教育课程的一部分,并贯穿整个学校的职业生涯。”

但是培训是不够的,即使是在研究生阶段,也是如此,因为大多数寻求CISO的组织都希望能如Shaw所说的那样“在第一天就开始运作。您通常不会从大学或大学课程中毕业”我认为可以通过利用实习机会的计划来解决这一领域,在实习中学生将获得真实的经验。”

肖说,其中一些已经开始发生,例如普渡大学信息保障和安全教育与研究中心(CERIAS)的计划。他说:“弥合技术学科与其他学科之间鸿沟的计划为那些希望担任CISO角色的人提供了充分的准备。”

[报告称,网络安全应被视为一种职业,而不是一种职业]

他说,来宝(Noble)还引用了许多举措,“既要建立能力,还要使不断增长的劳动力专业化。其中包括英国eSkills,欧洲标准化委员会(CEN),国际标准化组织(ISO),国际电信联盟,电信发展部门(ITU-D)和NICE框架(ISC)²也在以多种方式投资其资源。​​”

但是对于那些迫不及待地想解决短缺问题的企业,斯特罗兹说,一个可行的选择是将顾问外包给他的公司。

他说,总的来说,这是企业领导者意识到自己公司中可能没有CISO的理想人选时得出的结论。他说:“他们通过招聘努力得知,他们所寻找的内容和资历可能无法评估。”

他说,明显的风险是,关于如何找到合适人选的讨论“需要进入公司的漏洞。讨论可能非常敏感,因为它可能涉及一些非常有价值的知识产权。”

而且,再次归结为具有技术和业务技能的“高度适应性”人员。 Stroz说:“目标是创建一个与您的业务目标一致的风险管理环境。”

“如果没有适当的措施,它将无法很好地解决问题。”

版权© 2013 IDG通讯,Inc.