網路安全人力短缺現象

背景

為了解決當今各大組織所面臨的複雜安全性挑戰,產業、政府以及學術界必須致力於大幅提升網路安全專業人員在勞動人口中所占的人數。 務必消弭踏入該領域的阻礙,並增加教育機會,藉此確保不同背景的人才有機會能夠填補日益增長的 IT 和網路安全人才缺口。 為了彌補專業人才的短缺,我們必須發展更精良的自動化解決方案。

組織必須管理的資訊網路日益複雜,而網路安全人力短缺問題讓組織在管理此事的能力大打折扣,這一點在業界屢見不顯。 由 McAfee 和 Center for Strategic and International Studies (CSIS) 於 2016 年所做的"”Hacking the Skills Shortage”研究發現,網路安全人才短缺已經不僅僅是地區或國家的問題,而是全球性問題。 全球有 82% 受訪者表示其組織缺乏網路安全人才,而有 71% 承認人才短缺導致組織更容易受到攻擊。

我們預計此問題在未來幾年會更加惡化。 根據 (ISC)2 在 2017 年 2 月的全球資訊安全人力研究 (Global Information Security Workforce Study) 指出,專業人員短缺人數將在 2022 年達到 180 萬。 要挽救人力短缺問題,執政者必須鼓勵大部分人口投身技術行業的工作,尤其是網路安全領域。

網路安全人才短缺問題對聯邦政府來說尤其迫在眉睫。 根據美國 前資訊長 Tony Scott 所述,預計聯邦政府會增設 10,000 個網路專業人士的職缺,但沒有足夠的合資格應徵者可以完全填補空缺。 儘管美國國防部 (DoD) 和美國國土安全部 (DHS) 等政府機關以及情報機關在保護美國安全方面擁有舉足輕重的地位,但人才短缺問題仍然堪憂,值得執政者多加關注。

2017 年 5 月,美國總統 Donald Trump 簽署了網路安全行政命令,要求商務部部長及國土安全部部長進行評估,審視政府在教育和訓練未來美國網路安全人力的範圍與投注人力是否充足。 該命令包括從初等至高等教育中的教育課程與訓練及學徒方案。

對 McAfee 的重要性

確保網路安全專業人員的數量不斷增長是我們的首要企業目標。 我們會持續與政商兩界的利益相關者緊密合作,透過政策倡導以及與學校和大學的合作,以長遠和有系統的方式縮小網路安全人才的缺口。 我們積極弭平人才缺口,此舉讓我們與我們營運業務的社會建立緊密聯繫,也讓我們招募和留任合適的人才,協助我們拓展公司業務,蓬勃發展。

身為網路安全的領導公司,McAfee 不僅致力於紓緩人才不足的問題,更努力彌補問題。 我們相信,應利用整合式環境提供的智慧自動化功能,來取代執行單調日常任務的人力資源, 此舉有助於改善組織的防禦能力,而透過針對組織而制定的政策,則能推動智慧和情境化的自動化,讓員工能在思考和行動上一展所長。

要點

政商兩界互相交流

我們必須發展一套深具創意的靈活方法,促進政商兩界共享人才,在重大的網路安全活動上更是如此。 網路安全領域瞬息萬變,今天研發有效的技術,可能隔天就成了明日黃花。 我們深知敵人會針對民間企業研發的最新防禦功能不斷創新,改變攻擊方法。 如果您認為在沒有民間企業的協助下,政府的網路人員也能與時俱進,應付快速演變的環境的話,那無疑是不切實際的空談。 我們應為網路專業人員設計一個機制,尤其是分析師以及那些接受分析師訓練的人員,讓他們能夠在公用事業和民間企業之間來回周旋,讓政府機關能持續更新專業知識。

其中一種做法,就是讓 DHS 與企業和大學等組織攜手合作,組成包含操作人員、分析師和研究人員的網路安全專業團隊,他們可以在公用事業和民間企業兩邊暢行無阻。 這些專業人員 (尤旨民間企業的人員) 會隨時待命,幫助受影響的實體和政府機關及時回應重大的攻擊事件。 政府機關和民間企業的網路安全專業人員則可每年固定輪調兩至三星期,使雙方都受益匪淺。 這種互相交流的做法讓每個人都能分享技術、商業程序和人事管理方面的最佳作法。 DHS 應將民間企業中獲認證的專業人員庫納入其計劃中,並重新撰寫其網路安全人員招募和留任計劃。 如果 DHS 未能採取行動,國會應召集政商兩界的專家,成立藍絲帶小組,以研究如何開始和管理靈活的網路安全專業人員核心團隊。 一個靈活的員工團隊就像美國國民警衛隊一樣,會成為縮小人才缺口的模楷。

 

擴展 CyberCorps 計劃

National Science Foundation (NSF) CyberCorps Scholarship for Service (SFS) 計劃旨在提升及加強聯邦資訊保證專員核心團隊,以助保護政府系統和網路。 到目前為止,聯邦政府已承諾會全力支持 SFS 計劃,並在 2015 年支出 4,500 萬、2016 年支出 5,000 萬、2017 年支出 7,000 萬,並在 2018 年財政年度預算中申請 4,000 萬的經費。 高達 4,000 萬的資金會用於至少 1,500 位學生身上,以完成該獎學金計劃。 鑒於網路人才短缺的人數,執政者應大幅擴展該計劃的規模。 1.8 億的資金能資助約 6,400 份獎學金,短期內可望緩解網路人才缺口的壓力。

 

制定社區大學計劃

社區大學吸引不同類型的學生就讀,包括新近的高中畢業生、歸國的退伍軍人和其他渴望轉換跑道且擁有專業工作經驗的成年學生。 透過政府與民間企業的投資,社區大學就能設立專門教授 IT 和網路安全的補助課程, 在為期兩年的網路安全證書課程中,由大學教員和民間企業的從業人員教授對此領域有興趣的學生,接著再銜接四年制學校,或是讓學生成為業界的即戰力。 與 CyberCorps 計劃相同,畢業生將會到聯邦政府就業,獲得有保障的政府工作,所花時間與獎學金課程的時間相同。 既有的 CyberCorps SFS 計劃價值甚高,因此不應淘汰退場,而是應予以補強。

 

K-12 教育

在 K-12 教育中向學生宣導網路安全工作是努力的重點,要讓學生知道這個職業十分有趣,而且對社會有著重要的正面影響。 Microsoft 近期資料顯示,歐洲女孩在 11 歲左右會對 STEM 領域感興趣,這番熱情卻在 15 歲開始消退,這表示我們務必要把握此關鍵時刻,多多觸及這些年輕女性,並激發她們的興趣。

我們必須提升教師的招募人數,而更重要的是,要記得網路安全是一個獨特的研究領域,因此也需要獨樹一格的教學方法。 業界從業人員擁有豐富經驗,因此對於如何成為有效率的網路安全專業人員更有說服力。此外,他們在這個領域的實務經驗,使他們能提供一些真知灼見的實用知識。

 

大幅提升多元性

網路安全專業主要依靠各行業的多元性而產生利潤。 根據美國 Center for Cyber Safety and Education 和 Executive Women’s Forum 針對資訊安全、風險管理與隱私權所做的  Women in Cybersecurity 報告,全球從事該領域工作的女性只有 11%。 根據 Bureau of Labor Statistics,在北美地區,網路安全專業人員中只有 14% 是女性, 該比例甚至比非裔美國人還要低,當中有 3% 是美國的訊息安全分析師。 訓練和招募更多女性和不同種族的人員能幫助縮小人才缺口。 有趣的是,社會上傳統認為的「女性」特質,對網路安全這一行來說卻是十分重要,共同合作、團隊工作和創意這些都只是一部分的例子。

另外,我們也可以加強闡釋網路安全工作對人們的幫忙,藉此吸引更多女性以及熱心公益的人加入我們的行列。 舉例來說,在工程學的女性畢業生當中,生物醫學工程和環境工程的人數最多,因為學生能直接將這兩個領域連繫到幫助人群上。 網路安全無疑也是個有助於保護他人的絕佳領域,並可協助其提高抵禦能力。 如果我們能有效地包裝這領域,就能在眾多能幹的女孩和女性中激起波瀾,吸引她們入行,以填補 150 萬的人才缺口,以免缺口繼續擴大。

 

自動化日常工作功能

處理網路安全人才缺口的最終和長期策略,就是為自動化程度日益上升的系統提供支援,尤其是包含機器學習和人工智慧的先進技術。 自動化架構能減少網路安全和 IT 人員的日常工作,讓他們只需專注在判斷修補作業這類需要人工介入和分析的工作上,藉此縮小人才缺口。 我們可以仰賴日漸成熟的自動化解決方案,獲得所需的良好成效,這也是大勢所趨。 即使我們快速改善技術,距離完全解決網路人才問題仍然相當遙遠。 我們必須雙管齊下,除了訓練更多網路安全專業人員外,也要將日常工作自動化,讓相關人員具備更專精的技術。