当谈到信息安全技能短缺时，我们是否提出了正确的问题?

最近和同事聊起了当地的经济问题, 她说了一句话，当时我觉得非常有趣.

她说，经济政策有时无效的原因是决策者未能找到其根本原因. “如果我们没有提出正确的问题，我们就无法得到正确的答案，”她总结道.

当我回想起这句话时，我想起了许多行业普遍报道的信息安全技能人才短缺的情况, 一个反复出现的挑战，没有减弱的迹象.

问题的严重性
在许多行业，安全风险继续受到董事会的关注. 毕竟, 高调和公开承认的漏洞，会以一种奇怪的方式让高管们集中精力解决安全漏洞.

然而, 长期缺乏技术熟练的专业人才 意味着组织发现很难以安全威胁发生的同样速度来处理它们.

安永(EY)最近的一项调查预测，全球劳动力缺口约为1%.在五年内800万安全专业人员. 同一项研究指出，56%的受访者承认目前存在技能短缺. 另一项研究表明，平均而言, 澳门赌场官方下载寻找和雇用合格专业人员的时间越来越长，有时需要长达6个月的时间才能填补网络安全职位空缺.

随着数字化转型被牢牢地提上了许多组织的议程，网络攻击也在不断增加, 业务领导者似乎将继续努力为具有适当安全技能的战略业务计划提供资源.

问正确的问题
有报道称，全球技能短缺似乎正在恶化, 现有的招聘方式值得挑战. 下面，我列出了五个问题，试图从不同的角度来看待这个问题.

1 .招聘经理是否得到了正确的支持?
我记得，多年来，当我成为各种职位的候选人时，我看到了许多不正常的职位描述. 我有, 例如, 看到安全分析师角色被错误地呈现为治理和合规角色，而SOC职位描述要求的资格对于所需的经验水平来说似乎是不现实的. 诚然，每个组织都有不同的需求, 我不禁想到，招聘经理对他们的招聘服务提供商感到失望.

在进行招聘和甄选之前，工作分析——审查特定职位的资格和要求——是解决对职位错误假设的重要第一步.

职位描述越准确, 面试问题和筛选工具就会越有效. 工作分析应该涵盖从技术到软技能以及工作地点等其他细节, 薪酬和关键绩效指标.

通过挑战他们制定工作要求的方式, 组织可以增加吸引和留住合适人才的机会.

#2:安全职位对更多女性有吸引力吗?
在许多行业会议上，科技行业的性别差异和对少数族裔的歧视仍然是讨论的热门话题. 具体地说, 在全球范围内，女性在安全行业的代表性仍然不足.

对于一个组织来说，仅仅有一个多元化项目就足以解决工作场所性别失衡和少数族裔边缘化的问题，这还为时过早.

而不是仅仅使用它们来满足公司的kpi, 组织首先需要挑战这些项目的目标和目的. 现有的举措是否旨在创造一个更具包容性的工作场所, 为女性提供指导机会，解决薪酬和职业发展方面的不平等问题? 招聘技术和信息安全人员等问题领域值得特别关注.

#3:招聘人员正在尝试非传统的方法吗?
专业信息安全学位以及高等教育机构与ISACA和(ISC)2等专业认证组织之间的合作关系为来自学术界的个人进入该行业提供了途径. 然而, 这些人通常来自科学领域, 技术, 工程和数学(STEM)背景, 知识体系倾向于与技术安全角色中操作所需的能力紧密结合在一起的地方.

挑战招聘人员寻找安全人才的传统方式，可能会向更多的候选人开放空缺职位. 指导, 夺旗比赛, 活动,, 漏洞赏金计划是寻找安全人才的一些替代方法.

这些非传统的方法可以改善招聘机构发现诸如天生好奇心等特质的方式, 风险能力, 分析性思维和详细的报告, 所有这些都是在信息安全的许多领域中操作所需的基本属性.

#4:组织是否充分激励了现有人才?
除了一些例外，大多数专业人士已经在考虑下一步的职业发展了. 寻找安全人才是一回事. 留住现有人才则是另一回事.

为什么优秀的人会离开? 职业停滞经常被安全专业人士引用为换工作的一个原因. 因此，员工流失的根本原因值得关注.

对许多ciso来说，优先考虑安全项目领域的资金是一个持续的挑战. 不幸的是，这往往导致安全教育, 培训和个人发展在优先顺序中排名靠后. 划定研究预算分配, 培训和发展体现了领导层对吸引和留住最优秀人才的承诺.

另外, 信息安全领导者和人力资源部门可以想出创新的方法来识别组织内可能不在核心安全职能范围内的现有人才.

表现出足够兴趣和技术能力的现有员工可以成为内部员工, 节省澳门赌场官方下载在外部招聘上花费的时间和金钱，同时保留急需的机构知识.

#5:自动化程度的提高是否有帮助?
也许弥补技能短缺的答案是完全减少对人类的依赖.

事实上, 许多组织已经在探索机器人过程自动化，以简化和标准化重复的过程. 这一趋势还将继续，尤其是在DevSecOps领域.

许多ciso期望的状态是释放熟练的专业人员，让他们更有创造力和创新精神, 并且要注重安全功能的优化.

获得正确答案
2019年5月，英国政府就“脱欧”问题公开征求意见 国家网络安全战略.

征求意见稿承认，“网络安全不仅是我们国家安全的核心，也是成为世界上最好的数字经济体的基础。.磋商正在进行中，最终战略文件预计将于2019年底公布.

我在这篇文章中提出的一些问题已经包含在一个 初步国家网络安全技能战略. 提出正确的问题应该有希望得到纠正信息安全技能差距问题的正确答案.

解决这一技能短缺问题需要创新思维和加强政府间的合作, 工业和公共/私人伙伴关系.

编者按: 欲了解更多ISACA在10月网络安全意识月期间的见解， 访问ISACA网络安全资源中心.