背景

为了应对目前各类组织所面临的复杂安全挑战,行业、政府和学术界必须大幅度增加网络安全专业人员的数量。 必须消除进入该领域的障碍,增加教育机会,以确保来自不同背景的人才有机会填补日益增长的 IT 和网络安全人才缺口。 为了弥补专业人才的缺乏,必须采用更加先进的自动化解决方案。

有证据表明,网络安全工作人才的短缺影响着组织管理日益复杂的信息网络安全的能力。 2016 年,McAfee 和美国 Center for Strategic and International Studies (CSIS) 的研究"《Hacking the Skills Shortage》指出,网络专业人员短缺不仅是一个区域或一个国家的问题,而是全球性的问题。 在全球范围内,82% 的被调查者报告他们的组织缺乏网络安全专业人员,71% 的人承认人才短缺使得组织更容易受到攻击者的攻击。

未来几年预计这个问题还会加剧。 根据 (ISC)2 2017 年 2 月的《Global Information Security Workforce Study》,到 2022 年,人才缺口将达 180 万人。 为了应对这个问题,政策制定者必须鼓励更多的从业人员进入这一技术行业,特别是网络安全。

网络安全人才缺乏在联邦政府中尤为严重。 据美国前 首席信息官 Tony Scott 说,联邦政府大约有 10000 个网络专业人员缺口,但没有足够的合格人才来填补这些空缺。 鉴于国防部、国土安全部以及情报机构等政府机构在保护美国国家安全方面的重要作用,这一人才缺口令人不安,并值得政策制定者的关注。

2017 年 5 月,美国总统唐纳德·特朗普签署了网络安全行政命令,要求商务部长和国土安全部长评估政府管理和培训未来美国网络安全人才所做努力的范围和充分性。 这包括从初级教育到高等教育的教育课程和培训以及学徒计划。

对 McAfee 的意义

确保在每一个层次上都有越来越多的顶尖网络安全专业人员,是我们的最高企业目标之一。 我们致力于与公共和私营部门的利益攸关方合作,通过与学校和大学的政策宣传和合作,来解决长期、系统的网络安全人才缺口。 我们积极致力于减少人才缺口,也使我们能够在我们经营的社区中建立牢固的纽带,这反过来又有助于我们招聘和留住我们公司发展所需要的人才。

作为一家领先的网络安全公司,McAfee 全力致力于缓解以及解决人才缺口。 我们认为,在集成环境中提供的智能自动化应该被用来代替执行日常任务所需的人力资源。 这将有助于提高组织的防御性,可以通过推动智能内容驱动的组织配置策略来完成,让人类做他们最擅长的思考和行动。

关键点

公私部门优势互补

我们必须制定有效的办法,使公共和私营部门能够共享人才,特别是在重大的网络安全事件中。 网络安全是一个迅速变化的领域,今天有效的东西很可能明天就会被取代。 我们知道,对手是不断创新和变化的过程,往往促使私营部门发展新的防御技术。 如果认为政府的网络从业人员能够在没有私营部门帮助的情况下跟上这种迅速发展的环境,这是不现实的。 我们应该设计一种机制,让网络专业人士(特别是分析师或受培训成为分析师的人员)在公共部门和私营部门之间流动,这样政府机构就可以不断地更新专业知识。

实现这个目的的方法之一是国土安全部与公司和其他组织(如大学)合作,培养网络安全人才骨干 - 运营人员、分析师和研究人员 - 他们能在公共和私营部门之间自由流动。 这些专业人士,特别是私营部门的专家,可以随时帮助受影响的实体和政府机构及时应对重大的黑客攻击。 政府和私营部门的网络安全专业人员都将受益于每年两至三周的正常工作轮换。 这种优势互补将有助于每个人分享关于技术、业务流程和人员管理的最佳实践。 美国国土安全部的计划中应该包括一个灵活的公私部门的认证专业人员池,以重新制定网络安全人才雇用和保留计划。 如果美国国土安全部还没有准备好采取行动,国会应该成立一个由公共和私营部门专家组成的蓝带小组,研究如何启动和管理灵活的网络安全专家团队。 与国民警卫队类似,以灵活的人员配置方式来应对人才缺口可能成为卓越的典范。

 

发展 CyberCorps 计划

美国 National Science Foundation (NSF) CyberCorps Scholarship for Service (SFS) 计划的目的是增加和加强联邦信息安全专家的队伍,保护政府系统和网络。 到目前为止,联邦政府向 SFS 提供了大力的支持,2015 年投入了 4500 万美元,2016 年投入了 5000 万美元,2017 年投入了 7000 万美元,而政府的 2018 年预算要求请求为 4000 万美元。 4000 万美元的投入为大约 1500 多名学生支付奖学金。 考虑到网络人才缺口的数量和规模,政策制定者应该大幅增加计划的规模。 1.8 亿美元的投入可以支持大约 6400 份奖学金,为网络人才缺口提供短期的帮助。

 

创建社区学院计划

社区学院倾向于吸引各种各样的学生,从最近的高中毕业生到有经验的退伍老兵,以及其他寻求改变职业计划的成年专业人士。 通过公共和私人投资,社区学院可以建立资助的学习课程,专注于 IT 和网络安全。 有兴趣的同学可以由大学教师和私营部门从业人员进行教学,可以获得两年的网络安全证书,可以转入四年制学校或立即进入职场。 正如 CyberCorps 计划,毕业生将在联邦级别进行对待,并付出与奖学金期间相同的时间,参加保证的政府工作。 这样的计划不应该取代,而是补充现有的高价值 CyberCorps SFS 计划。

 

K-12 教育

很主要的是,向 K-12 年级学生宣传网络安全是一个激动人心的职业,可以对社会产生重大的正面影响。 来自 Microsoft 的最新数据显示,11 岁左右的欧洲女孩对 STEM 产生了兴趣,但到了 15 岁,这一点开始减弱,说明我们需要在这个关键时刻鼓励年轻女性。

我们必须增加教师招聘,但重要的是要记住,网络安全是一个独特的研究领域,因此需要独特的教学方法。 行业从业人员有丰富多样的经验,加强了如何成为一个有效的网络安全专业人员的传承,并可以从实地的实际操作经验中获得非凡的洞察力。

 

大大增加多样性

网络安全行业将受益于许多部门的多样性。 根据 Center for Cyber Safety and Education 和信息安全、风险管理和隐私问题 Executive Women’s Forum 的  Women in Cybersecurity 报告,全球女性在此领域的人数仅占 11%。 在北美洲,妇女只占网络安全专业人员的 14%。 根据美国 Bureau of Labor Statistics 的数据,非洲裔美国人的比例甚至更低,占美国信息安全分析师的 3%。 培训和招募更多的女性和有色族群有助于缓解人才缺口。 有趣的是,许多传统上认为“女性化”特征的社区,在网络安全协作、团队合作和创造力等方面都非常有价值,仅举几个例子。

此外,通过更好地解释网络安全工作如何帮助人们,我们既可以吸引更多的女性,也可以吸引更多具有慈善意识的个人。 例如,在女性工科毕业生中,生物医学工程和环境工程领域的人数最高,学生们可以直接造福人类。 网络安全显然是一个帮助保护和赋予人们能力的领域。 如果我们对这个领域进行有效的宣传,就会形成目标明确的环境,让高能力女性加入这个行业,填补 150 万以及越来越大的人才缺口。

 

自动化日常功能

解决网络安全技术缺陷的另一个更长期的战略是支持日益自动化的系统,特别是先进的技术,包括机器学习和人工智能。 自动化架构通过减少网络安全和 IT 人员的单调工作,帮助他们专注于确定需要人工干预和分析的补救措施,有助于缓解人才缺口。 依靠日益成熟的自动化解决方案将是有效而必要的。 虽然我们的技术正在迅速改进,但我们还无法填补网络人才的缺口。 我们必须同时实施两个战略:培训更多的网络安全专业人员,并通过自动化日常任务使他们的角色更加复杂。