為解決複雜棘手的資安挑戰,各個產業都必須增加網路資安專業人員。 另外也勢必消弭進入該領域的阻礙,並增加培訓機會,藉此確保不同背景的人才有機會能填補日益擴大的 IT 和網路安全人才缺口。 為了彌補專業人才的短缺問題,我們必須發展更精良的自動化解決方案。

組織需管理的資訊網路日益複雜,但網路安全人力短缺的問題,導致組織在因應此趨勢的能力大打折扣,這一點在業界已獲得證實。 McAfee 和 Center for Strategic and International Studies (CSIS) 在 2016 年聯手展開 "Hacking the Skills Shortage”  研究,發現網路安全人才短缺已不僅僅是地區或國家的問題,而是全球問題。 全球有 82% 受訪者表示其組織缺乏網路安全人才,而有 71% 承認,人才短缺的問題導致組織更容易遭受攻擊。

我們預計此問題在未來幾年會更加惡化。 根據 (ISC)2 在 2017 年 2 月的全球資訊安全人力研究 (Global Information Security Workforce Study) 指出,專業人員短缺人數將在 2022 年達到 180 萬。 要挽救人力短缺問題,執政者必須鼓勵大部分人口投身技術行業的工作,尤其是網路安全領域。

網路安全人才短缺問題對聯邦政府來說尤其迫在眉睫。 根據美國前資訊長 Tony Scott 所述,聯邦政府預計會增設 10,000 個網路專業職缺,但沒有足夠的合格應徵者能夠補足這個人力缺口。 儘管美國國防部 (DoD) 和美國國土安全部 (DHS) 等政府機關以及情報單位在保護美國安全方面擁有舉足輕重的地位,但人才短缺問題仍然堪憂,值得執政者多加關注。

2017 年 5 月,美國總統 Donald Trump 簽署了網路安全行政命令,要求商務部部長及國土安全部部長進行評估,審視政府在教育和訓練未來美國網路安全人力的範圍與投注人力是否充足。 該命令包括從初等至高等教育中的教育課程與訓練及學徒方案。

對 McAfee 的重要性

確保網路安全專業人員的數量不斷增長是我們的首要企業目標。 我們會持續與政商兩界的利害相關者緊密合作,透過政策倡導並與學校和大學合作,以長遠和有系統的方式縮小網路安全人才的缺口。 我們積極弭平人才缺口,進而能與營運地區的社群建立緊密聯繫,協助我們招募及留任合適人才,促進公司拓展業務,蓬勃發展。

身為網路安全領導企業,McAfee 致力於紓解人才窘迫的問題,並盡力彌補眼前的缺口。 我們認為,目前應透過整合式環境提供智慧自動化功能,取代執行例行日常任務的人力資源。 這樣有助於提升組織的防禦能力,並能透過預先設定的原則,推動能感知情境的智慧型自動化作業,讓員工能思考和行動並進,一展所長。

要點

政商兩界互相交流

我們必須發展一套深具創意的靈活方法,促進政商兩界共享人才,尤其是在重大的網路安全活動上,更應如此。 網路安全領域瞬息萬變,今天研發出有效的技術,可能隔天就成了明日黃花。 我們深知,敵人會因應民間企業研發的最新防禦機制不斷創新,改變攻擊方法。 如果您認為,政府的網路人員能在缺少民間企業的協助下與時俱進,應付日新月異的環境,無疑是不切實際的妄想。 我們應為網路專業人員 (尤其是分析師以及接受分析師訓練的人員) 設計因應機制,讓他們能在公私部門之間跨部會工作,協助政府機關持續更新專業知識。

其中一種方法,就是讓 DHS 與企業和大學等組織攜手合作,延攬操作人員、分析師和研究人員組成網路安全專業團隊,授權他們在公家機關和民間企業間跨領域工作。 這些專業人員 (尤其是民間企業的人員) 會隨時待命,幫助受影響的實體和政府機關即時回應重大的攻擊事件。 政府機關和民間企業的網路安全專業人員則可每年固定輪調兩至三星期,使雙方都受益匪淺。 這種互相交流的做法讓每個人都能分享技術、商業程序和人事管理方面的最佳作法。 DHS 應將民間企業中獲認證的專業人員庫納入其計畫中,並重新撰寫其網路安全人員招募和留任計畫。 如果 DHS 未能採取行動,國會應召集政商兩界的專家,成立藍絲帶小組,以研究如何開始和管理靈活的網路安全專業人員核心團隊。 一個靈活的員工團隊就像美國國民警衛隊一樣,會成為縮小人才缺口的模楷。

擴大 CyberCorps 計畫

National Science Foundation (NSF) CyberCorps Scholarship for Service (SFS) 計畫旨在提升及加強聯邦資訊保證專員核心團隊,以助保護政府系統和網路。 到目前為止,聯邦政府已承諾會全力支持 SFS 計畫,並在 2015 年支出 4,500 萬、2016 年支出 5,000 萬、2017 年支出 7,000 萬,並在 2018 年財政年度預算中申請 4,000 萬的經費。 高達 4,000 萬的資金會用於至少 1,500 位學生身上,以完成該獎學金計畫。 有鑑於網路人才短缺的人數,執政者應大幅擴充該計畫的規模。 1.8 億的資金能資助約 6,400 份獎學金,短期內可望緩解網路人才短缺的壓力。

推行社區大學計畫

社區大學吸引不同類型的學生就讀,包括高中畢業生、歸國的退伍軍人,以及其他渴望轉換跑道且擁有專業工作經驗的成年學生。 透過政府與民間企業的投資,社區大學能設立專門教授 IT 和網路安全的補助課程。 在為期兩年的網路安全認證課程中,由大學師資和民間企業的從業人士教導對此領域感興趣的學生,接著再銜接四年制學校,培養學生成為業界的即戰力。 與 CyberCorps 計畫相同的是,畢業生會到聯邦政府就業,獲得有保障的政府職位,工作時間與獎學金課程的時數相同。 既有的 CyberCorps SFS 計畫價值甚高,因此不應淘汰退場,而是應予以補強。

K-12 教育

在 K-12 教育中向學生宣導網路安全工作是努力的重點,要讓學生知道這個職業十分有趣,而且對社會有著重要的正面影響。 Microsoft 近期資料顯示,歐洲女孩在 11 歲左右會對 STEM 領域感興趣,這番熱情卻在 15 歲開始消退,這表示我們務必要把握此關鍵時刻,多多觸及這些年輕女性,並激發她們的興趣。

我們必須提升教師的招募人數,而更重要的是,要記得網路安全是一個獨特的研究領域,因此也需要獨樹一格的教學方法。 業界從業人員擁有豐富經驗,因此對於如何成為有效率的網路安全專業人員更有說服力。此外,他們在這個領域的實務經驗,使他們能提供一些真知灼見的實用知識。

大幅提升多元性

網路安全專業主要依靠各行業的多元性而產生利潤。 根據 Center for Cyber Safety and Education 和 Executive Women’s Forum on Information Security, Risk Management and Privacy 所做的 Women in Cybersecurity 報告,全球從事此領域工作的女性只有 11%。 根據 Bureau of Labor Statistics 的數據,北美地區網路安全專業人員中只有 14% 是女性, 非裔美國人的比例甚至更低,美國的資訊安全分析師只有 3% 是非裔美國人。 訓練和招募更多女性和不同種族的相關人員,有助於縮小人才缺口。

另外,我們也可以加強說明網路安全工作對社會的幫助,藉此吸引更多女性以及熱心的人才加入我們的行列。 舉例來說,在工程學的女性畢業生當中,生物醫學工程和環境工程的人數最多,因為學生能直接將這兩個領域連繫到幫助人群上。 網路安全無疑也是個有助於保護他人的絕佳領域,並可協助其提高抵禦能力。 如果我們能有效包裝這份職業,就能在眾多能幹的女性中激起波瀾,吸引她們入行,以填補 150 萬的人才缺口,避免缺口繼續擴大。

例行工作自動化功能

處理網路安全人才缺口的最終和長期策略,就是為自動化程度日益上升的系統提供支援,尤其是包含機器學習和人工智慧的先進技術。 自動化架構能減少網路安全和 IT 人員的日常工作,讓他們只需專注在判斷修補作業這類需要人工介入和分析的工作上,藉此縮小人才缺口。 我們可以仰賴日漸成熟的自動化解決方案,獲得所需的良好成效,這也是大勢所趨。 即使我們快速改善技術,距離完全解決網路人才荒的問題仍然相當遙遠。 我們必須雙管齊下,除了訓練更多網路安全專業人員,也要將例行工作自動化,使相關人員具備更專精的技術。

Thomas Gann

首席公共政策長

電子郵件

Kent Landfield

首席標準和技術政策策略師

電子郵件

Chris Hutchins

EMEA 地區公共政策總經理

電子郵件