我们如今可谓身处一个前所未有的时代背景之下,目前市场对于安全专家的需求空前迫切,期待由这些技术人才保护基础设施并抵御来自有组织犯罪、行业间谍以及其它国家的一轮又一轮攻击活动。
人才资源池规模有限,薪酬因此而不断增高甚至形成泡沫,再加上网络安全前景的危急形势,三大因素共同令网络安全人才危机成为一个“总值十亿美元”的难题。
有限的人才资源储备导致大量与知识产权、非竞争性协议相关的纠纷与难题,此外另一种状况也令黑客们倍感头痛:黑客之间的相互攻击。
FireEye公司首席安全战略官Richard Bejtlich表示,“信息泄露问题的层出不穷促使众多企业开始创建自己的事故应对团队,很多机构甚至是从零起步。”
在思科2014年度安全报告当中,网络巨头预测称全球网络安全领域的人才缺口至少达五十万个、美国国内也至少为三万个,Leviathan安全公司的James Arlen则将这种状况称为“毫不夸张的十亿美元难题。”
这可绝不是玩笑,而是真正有理有据的结论:目前信息安全领域正面临着相当紧迫的人才供应不足状况,也就是说企业为了招揽到合适的人选而被迫将薪酬一提再提——这一切汇总起来,就让安全行业呈现出一种奇异而又复杂的“明星综合症”。
Bejtlich指出,由于人才资源太过炙手可热、真正顶尖的候选者甚至有资格“制定自己的行事规则。”
他提醒称,“不要指望雇用到一位顶级人才,并让他们举家搬迁到企业总部所在地。此外,企业文化也可能成为拘留人才的一大阻碍。很多高级安全专家希望拥有自由且极具创新性的工作环境,完全无法容忍刻板的官僚主义作风。”
Leviathan安全公司的Arlen也表示,“事实上,为了获取新的人才供应,很多企业被迫求助于猎头公司、并且做好了支付大量薪酬的心理准备。”Arlen进一步补充称:
在过去两年中,我已经看过太多根本称不上顶尖人才的应聘者开出了与顶级‘摇滚明星’相当的收入要求。如同其它任何溢价泡沫一样,这种状况也会在特定时间点崩溃并迅速回复正位,而这对于某些人来说无疑将是种沉重的打击。
另一大挑战在于,推动薪酬水平上涨的动力虽然有一部分源自少数技术精英的个人水平,但总体而言还是由于整个业界的人才供给不足——在这种情况下,水平远称不上顶尖的应聘者们往往坐地起价、从而造成薪酬畸形的现状。
Bejtlich对此深表赞同。“答案很简单,安全人才供应量的降低加上对相关服务需求的不断升温,必然导致薪酬水平的上扬。除非供应与需求能够最近趋于吻合,否则高于正常范畴的工资仍将在安全业界成为常态,也会有更多技术人员转而投向到安全业务中来。”
顶级人才的选择也起到了相当重要的作用。Bejtlich解释道,“对于精英级别的安全人员而言,通过跳槽的方式实现薪酬提升可谓非常轻松,他们根本没必要跟当前岗位的管理者苦苦交涉以获得可怜的一丁点(3%)工资增长。”
当然,企业也已经意识到了这个问题,只不过从来没有作出明言:事实上,顶级网络安全人才正如走马灯般在不同企业之间往来穿梭。
企业之间共享保密协定
大家可以想见,任何一个行业都充斥着秘密、利用与间谍活动——信任危机已经成为迫在眉睫的严峻问题,每一种合作关系、每一次利益交换与规模有限的人才资源带来大量与知识产权、非竞争性协议相关的纠纷与难题。此外另一种状况也让黑客们倍感头痛:黑客之间的相互攻击活动。
瞻博网络公司安全、交换与解决方案业务部门战略与技术营销工程副总裁Chris Hoff在接受至顶网采访时指出:
安全行业与社区相对而言规模较小且往来密切,对于高水平员工的需求则远远超出了当前人才市场的供应能力。
在安全行业,技术人才在每个工作岗位上的留任时间一般仅为两到三年——这样的情况也算颇为有趣。
由此带来的问题在于,员工在跳槽后有可能无意中导致知识产权泄露并导致机密信息转移。为什么会这样?因为老员工们入职后往往直接接手工作,而不再像新手那样接受完善的业务知识及规章制度培训。然而用人单位却往往别无选择,毕竟从头培养新人的经验、知识面以及技能水平远比招聘成手成本更高。
Hoff解释称,这种状况已经成为一种敌对因素,而竞争环境也因此而不断发生着变化。
他表示,“安全事务当中包含多个子学科,我们往往会受到一些周期性销售与收购行为模式的影响,而这些模式通常会因技术、经济、政治、文化或者法律法规的介入而遭受破坏。”Hoff进一步补充称:
当某种技术解决方案在处理某种日趋成熟的威胁因素时,后者的变种产物往往需要利用新的解决方案类型加以应对,而这通常要求我们在专业水平方面有所变更。
事实上,很多威胁因素在处理时需要借助大量策略、技术与规程,而很多从业人员根本不知道该如何对其加以运用。
根据Hoff的观点,由于人才资源储备有限,即使是水平极高且精通某一学科或者技能的黑客“恐怕也无法根据安全团队规模的变化及时扩大或者重塑自己的专业知识。”
这种劳动力短缺情况又导致现状进一步恶化,即使增加更多人力恐怕也未必能顺利解决问题。
投资预算“极度”短缺
FireEye公司的Bejtlich也不能确定投入更多黑客人才能否切实解决目前的危机。“我更关心的是,安全从业人员应该更为高效地利用自己的时间。”
他解释称,“一个十人团队在管理反病毒解决方案时,其中往往有九位成员处于人浮于事的状态。我希望看到IT部门能在安全任务当中负担起更多维护与部署工作,从而保证真正的安全人员能够把更多时间用于检测及响应异常状况、并与开发社区进行合作方面。”
当至顶网问及信息安全行业应该如何摆脱当下困局时,Hoff毫不讳言地表达了自己的观点。“我认为整个安全业界需要根据实际需求迅速成长并完成规模扩展。”Hoff进一步强调道:
我们需要培养并维护好后备力量,从而积蓄起足以替代现有安全专家的新生人才储备;除此之外,我们还应该加大在培训方面的投入力度,从而为那些已经发展成型并为企业提供保护措施的员工勾勒出发展规划。
在培训、技能更新以及导师资源方面的投入欠缺不仅仅会招致悲剧——这种思维本身就是种悲剧。
如果企业不为业已存在的人才提供充足的投入,那么其自身显然也无法获得光明的发展前景。