网络安全是一个全球性问题,而且是一个日益严重的问题。每39秒就会发生一起网络攻击,相当于每天有3万多网站被黑.
如果你与网络安全行业几乎没有任何联系,并认为技能短缺不会影响你,那你就大错特错了。数字基础设施支配着我们生活的方方面面——从医疗保健到银行业。如果有一件事我们可以肯定:可用人才的减少会创造一个不安全的环境,使更多的网络攻击发生这是一个影响到每个人的问题。
有超过2021年5月至2022年4月,美国将有70万个网络安全职位空缺.
因此,必须要问的问题是:在全球需求不断增加而可用的人才不断减少的情况下,企业该如何在日益增长的攻击中保护自己的组织?在本文中,我们将深入研究网络安全技能缺口的当前状态,导致短缺的潜在因素,以及这对大大小小的组织意味着什么。
统计数据描绘了网络安全威胁的可怕现实
- 82%的公司缺乏网络安全技能根据2016年战略国际研究中心(CSIS)的报告。
- 2022年,一次数据泄露的平均总损失为435万美元.
- 十多年来,美国一直是数据泄露损失最高的国家(944万美元)。据IBM称,美国数据泄露的成本比全球平均水平高出500多万美元.
- 据预测,到2025年,网络犯罪可能使全球经济损失10.5万亿美元.
- 医疗保健是受网络犯罪影响最严重的行业自2020年以来,医疗保健领域的违规成本增加了42%,平均每次破坏损失为1,010万元。
- 识别和控制数据泄露需要277天平均而言。那些在200天内控制了入侵的人节省了约112万美元。
- 根据IBM的说法,在过去的一年里,勒索软件造成的入侵数量增加了41%花费了49天的时间才控制住。
- 在2021年至2022年期间,45%的数据泄露发生在云端IBM表示。
造成网络安全技能差距的五个因素
据网络安全风险公司称,在短短8年时间里,全球网络安全职位空缺的数量增加了350%.2013年,有100万个网络职位空缺;2021年,这一数字增至350万。仅在美国,就有大约110万个网络职位空缺Cyberseek的数据显示,还有超过70万个空缺职位。
根据2022年ISC2调查,全球网络安全劳动力估计为每年470万自2021年以来增长了11.1%.尽管去年已经填补了46.4万个工作岗位,网络安全人才缺口的增长是劳动力缺口的两倍,同比增长26.2%.
让我们仔细看看哪些原因可能导致和恶化网络安全技能短缺。
1.网络安全需求激增
对熟练专业人员的需求增长越来越快。随着技术的进步,以及组织越来越依赖技术来运行他们的运营、存储数据和与客户沟通的速度,对网络员工的需求远远超过了目前的供应。但确切的原因是什么?不断演变的威胁环境越来越复杂,需要熟练的网络专业人员帮助解决和减轻风险。
此外,需求的增长远远超过了劳动力的准备能力(在8年里增长了350%),导致组织经历了COVID-19等不可预测事件的影响——远程工作使组织更容易受到网络攻击,导致网络犯罪激增。
现有的劳动力正在与日益增长的压力和需求作斗争。一方面,他们被期望保护他们的组织免受越来越复杂、复杂和频繁的威胁。另一方面,他们也在努力跟上新技术和监管要求。
2.网络安全队伍缺乏多样性
大约只有全球25%的网络安全工作者是女性根据ISC2。此外,阿斯彭研究所的一项研究发现,美国的网络劳动力4%是西班牙裔,9%是黑人,6%是亚洲人,1%是本地人或夏威夷本地人.
目前还不清楚为什么该行业在一段时间内缺乏多样性。然而,研究人员认为,这可能是多种因素的结果,包括行业刻板印象阻碍某些群体,组织没有优先考虑包容性和多样性,教育机构没有为所有学生提供足够的课程多样性。例如,根据ISC2的一项研究,77%的受访者表示,他们的课程没有提供正式的网络安全教育.
根据Trellix调查,受访者认为,要鼓励更多人进入这个行业,必须高度或极其重视以下因素:
- 对妇女的包容和平等- 79%
- 行业多样性- 77%
- 人口群体之间的薪酬差距- 72%
- 考虑非传统网络安全背景的求职者的雇主占94%
- 从不同群体中扩大网络安全人才库的额外努力- 91%
- 更多的指导、实习和学徒,以支持来自不同背景的人进入行业- 92%
虽然我们要实现网络安全的真正多样性还有很长的路要走,私营和公共部门实体正在优先考虑为代表人数不足的候选人提供机会的举措。原因到底是什么?多样性在劳动力中很重要。首先,它被证明可以提高生产力和最终结果,其次,它为组织提供了一个更广泛、更多样化的人才库,在候选人短缺的情况下,这是一个特别有利的因素。
3.不必要的候选人要求
在一个已经感受到技能短缺压力的行业,在申请过程中增加不必要的要求肯定会吓跑潜在的合适人选。
直到最近,获得网络安全方面的职业通常需要相关的大学学位、各种网络证书和经验。然而,鉴于超过60%的美国人没有学士学位,仅学历要求就足以自动淘汰一大部分潜在候选人。
候选人来自不同的背景,通过多种途径获得技能——无论是大学学位还是自学——现在比以往任何时候都更需要承认一个人可以选择多种途径,以帮助缩小网络技能差距。
4.网络安全是一个神秘的行业
根据Trellix调查在现有的网络安全专业人员中,造成网络安全技能差距的一个潜在原因是缺乏对行业的了解——包括技能发展、如何进入该行业、职业路径选择以及该行业如何对社会做出贡献。
根据受访者的说法,以下因素被认为是鼓励更多员工进入网络安全行业的重要因素:
- 85%的人认为需要更多的支持来发展技能
- 84%的人认为要提高对进入网络安全行业所需技能的理解
- 80%的人认为需要更好地理解潜在的职业道路和发展
- 80%的人认为需要更多地认识到网络安全专业人士对社会的贡献
- 80%的人认为要加强对资格证书的支持
同样,当被问及以下哪个选项最能鼓励求职者加入网络安全行业时,受访者认为以下选项最重要:
- 43%的受访者认为需要付出更多努力来提高人们对网络安全职业的认识
- 41%的受访者认为,需要在整个教育过程中给予学生更多的鼓励,让他们从事stem相关的职业
- 39%的受访者认为需要进一步资助网络安全资格和认证
- 33%的受访者认为stem相关职业需要进一步的资助
- 28%的受访者认为,改变所要求的资格是一种急需的改变
5.现有的网络安全工作者不满意
最近的研究结果表明,寻找新的网络安全人才并不是该行业面临的唯一问题。他们也在努力留住人才。根据Trellix的调查,30%的网络安全专业人士计划在两年内转行.
考虑以下发现:
- 近70%的网络安全工作者认为他们的雇主没有足够的网络安全团队来有效工作根据2022年ISC2的调查。
- 在三分之一想要离开网络安全行业的专业人士中,大多数人离职的原因是觉得自己的工作场所低估了自己的价值,或者没有明确的发展机会。根据Trellix调查在美国,网络安全工作者考虑离职的原因是缺乏职业发展(35%),缺乏认可(31%),以及没有足够的支持来提高他们的技能(25%)。
- Trellix的同一项调查还发现,想要离开这个职业的原因包括职业倦怠和对薪酬的不满。
网络安全技能危机对企业意味着什么?
自2019年以来,FBI已经看到了网络犯罪相关攻击增加69%.同样,美国数据泄露的流行程度和影响也创下了新的纪录,2022年的平均总成本为435万美元,比2020年增长了12.7%。
然而,根据2016年的一份报告战略与国际研究中心(CISIS)的研究在美国,企业并没有充分准备好应对这些代价高昂的威胁。82%的受访者承认他们的组织内部缺乏网络安全技能,71%的人承认技能差距使他们的组织更容易受到外部威胁的影响。
网络犯罪正以惊人的速度增长,其中很大一部分原因是用于保护组织关键资产的资源稀缺。因此,组织更容易受到外部威胁的影响。然而,风险是可以减轻的。考虑以下几点:
1.雇佣一个网络安全团队或专家
如果预算允许,你的组织的规模和结构需要,可能是时候投资一个网络安全专业人士了。然而,要愿意付出代价——由于需求的不断增长,技术人员的薪酬在2021年创下历史新高,与美国技术人员的平均工资为104,566美元.当供应不足时,企业必须提高工资和福利来吸引稀缺人才。
2.投资人工智能安全
许多组织正在依靠人工智能工具来帮助识别威胁和保护敏感数据。根据IBM的说法,部署了安全AI和自动化的组织在数据泄露方面平均节省了305万美元的成本.
3.培训你现有的团队
如果你没有网络安全团队或专家,你需要专注于教育你的团队要注意什么,以及在他们怀疑有漏洞的情况下该怎么做。考虑提高您的团队在网络安全课程或测试他们现有的技能与我们的免费网络安全意识评估.当谈到网络安全意识时,每个人都有责任帮助最小化其影响。
4.考虑现有网络安全专业人员的福利
根据Mimecast的《2022年电子邮件安全状况报告》,仅北美地区就有84%的网络安全专业人员承认,他们经历过职业倦怠,这是由于更多的网络威胁、求职者太少(即人才短缺)以及其他员工因职业倦怠而犯的错误。如果你的公司有一个现有的网络安全团队或专家,那么就有必要检查他们的健康状况,以确保他们得到满意和支持。
最终的想法
威胁性的网络攻击比以往任何时候都多——无论是数量还是复杂程度。网络攻击正以惊人的速度增长,而没有足够的人来帮助保护网络世界。因此,这将大大小小的组织置于更大的网络危险之中。
虽然各种因素导致了网络安全技能的短缺,但我们知道,需要更优先考虑对组织和个人进行行业教育,以及如何降低风险。
组织可以从对现有员工进行识别和解决威胁的教育开始,扩大他们的团队,为网络安全专家留出空间,或确保现有的网络安全团队得到他们需要的支持,使他们对该角色感到满意。
要更好地了解您的组织的网络知识,请参阅我们的免费资料网络安全意识和准备测试今天!
