“企業想做好安全,最大的難題是:貴!”
時近年關,幾乎每週都有“裁員”消息傳來,而令華住集團副總裁王彬頭疼的,卻是招不到人,“網絡信息安全方面的人才,薪酬普遍比一般程序員高出1.5-2倍,並且不一定合適!”
和王彬有同樣煩惱的,還有安信證券安全總監李維春。2014年開始,李維春便發現,很難招到合適的人,這種狀態一直持續到2019年。今年年初,有個原本要入職的“小夥伴”,陰差陽錯“擦肩而過”,直接導致崗位空缺近一年,“只能看緣分”。
網絡安全人才缺口大,並非新聞,卻從未像2019年末這樣令人關注。
2017年,工信部調查顯示,全國網絡安全人才有60多萬缺口。如今,兩年多過去,隨著5G、AI、邊緣計算、物聯網……等通信網絡和科技升維,傳統社會和產業正在逐漸數據化,越來越多的場景面臨安全挑戰,國內信息安全專業媒體——安在新媒體創始人張耀疆認為,安全人才缺口只增不減,“甚至可能超過百萬。”
最近,安在幫合作企業發佈了幾則招聘啟事,“高薪求賢,無上限”,然而,“適者寥寥”,張耀疆無奈地搖了搖頭,“尤其CSO(首席安全官),更是稀缺資源,可遇而不可求。”
打開APP,查看更多精彩圖片
蕭條職場中的“一枝獨秀”
對程序員而言,2019年是不友善的。
“裁員”的聲音,從年初持續到年末,技術是首當其衝被“優化”的崗位,程序員被裁員的新聞,從“刷屏10W+”逐漸變得習以為常。
張耀疆的團隊不久前曾做了一個調查,2019年,“找工作”的資訊指數,在2019年8月初,達到了565萬的巔峰量,比前兩年幾十幾百的資訊量足足高出數萬倍。但與此同時,以“網絡安全”為關鍵詞的資訊指數,從往年最高154萬左右,暴漲到2019年11月中旬的518萬左右。
2019年,信息洩漏形勢嚴峻。數據統計,2019年信息洩漏數量較以往超過54%,其中43%的網絡攻擊針對的都是企業,而這些企業中只有14%採取了防禦措施。
華住信息安全中心與IT部門並行,是華住集團的一級部門。“酒店行業中,華住集團在安全方面的投入,無論人員和資源,都是頂配。”王彬告訴《IT時報》記者,目前華住信息安全中心有20多名成員,每年安全投入佔總IT投入的10%-15%,而一般企業的這個數字在5%左右。
安全人員的薪酬指數也頗為可觀。
360網絡安全大學聯合獵聘發佈的《2019網絡安全行業人才發展研究報告》顯示,網絡安全職位平均薪資在14.58萬~48.21萬之間,對照歐孚科技聯手商學院共享經濟聯盟硅谷研究院發佈的2019《歐孚薪酬指數》,網安職位中的安全運維、市場運營、應急響應、滲透測試等職位,其14-20萬的年薪,遠高於與之相對應的普通行業專員6-8萬的年薪,而項目經理、安全管理、安全專家等大致相當於經理級別的網安人才,25-49萬的年薪,也高於各行業同級別的18-39萬。
難以填補的人才缺口
然而,儘管網絡安全人才在2019年職場大賽中一枝獨秀,多名網絡安全界人士依然苦惱於招不到人。網易易盾相關負責人表示,相較於普通開發崗位,安全類崗位招聘難度大很多,甚至連主動投遞簡歷的人都很少,基本要靠HR主動溝通。
在安在發佈的招聘信息中,記者看到,某手機廠商對其招聘“雲安全工程師”的必備技能是這樣要求的:熟悉windows、Linux操作系統運行機制、瞭解各類安全產品、熟悉ELK\\SPL搜索等各類日誌分析工具、掌握python、java、go任一開發語言……
“很多人以為,只要是程序員就能做安全,這完全是一種誤解。”今年,人才市場上尋找新機會的程序員數量成倍增加,但王彬並沒有看到特別合適的人。
企業建設網絡安全體系通常採用兩種方式:自研自建或購買第三方產品集成,大型互聯網公司人才濟濟,大多自研,而企業,尤其是傳統企業,受限財力、人力,以後者居多,但這要求安全人員在選擇產品和合作夥伴時,必須對其有足夠的認識和判斷能力,“安全人員不僅要懂各種系統和網絡,還要懂業務,瞭解產品的哪些邏輯可能產生風險,更要會溝通,這樣的人才,很少有現成的,”王彬團隊裡的成員,不少都是自己培養的。
2019年,隨著網絡安全等級保護制度2.0標準正式發佈,對中小型機構的安全等級提出更高要求,也讓網安人才的需求缺口進一步擴大。
稀缺資源CSO
如果說網安人才是企業技術型崗位中的皇冠,那CISO(首席信息安全官)/CSO(首席安全官)便是皇冠上的那顆明珠。
“安全大環境在變。”作為安全領域的垂直媒體,張耀疆在這塊領域浸淫十幾年,在他看來,近幾年,安全的概念發生巨大變化,攻防交錯升級,技術快速迭代,領域愈發細分,產業迅猛擴展,傳統安全變成了“泛安全”,狹義安全變成了“大安全”,“除了網絡和系統,物理環境、人員意識、業務應用、法律合規、商業情報,數據隱私等等,都入了安全之眼。”
華住信息安全中心在集團內擁有相當的獨立性和話語權,“安全是紅線,它不能妥協於業務開發週期和預算框架,否則不足以構建整個公司的防禦底線。”也正因此,作為整個安全部門的負責人,王彬不僅要懂複雜的安全技術,擁有系統的專業知識和能力,還必須有處理社會問題的溝通能力,熟悉公司的業務產品,對國家和行業各種政策清晰明瞭,“作為集團一級部門負責人,這些都是基本要求。”
“網安領域的頂級人才,是稀缺資源。”張耀疆告訴記者,像王彬這樣在網絡安全公司、大型互聯網公司有近20年從業經驗的管理型、複合型人才,“一將難求”。
高端人才養成計劃
各種招聘網站上,CSO的薪酬基本在月薪30K-60K之間,通常要求10年以上網絡安全領域工作經驗,負責公司整體安全體系建設,完成公司整體安全策略及方案的制訂及推進落地實施。
王彬認為,具有良好背景的安全從業人員、風控負責人、IT負責人、審計負責人、內控負責人都是CSO的候選人員,“一些大型傳統企業給出的薪酬已經與互聯網公司基本持平,而且直接向CEO或者董事會負責,職業前景可期。”
張耀疆告訴記者,真正的“高手”都是通過獵頭尋找,年薪百萬以上的CSO並不鮮見,但據他所知,這個圈子很小,基本都是成熟人才在不同企業間輪轉,能夠做到融合大安全、隱私保護、數字風險管理等領域專業的企業領導者,非常少,“以往大家對網安人才的關注更多在於技術或運營方面,卻忽略了CSO這個角色,加之國內還沒有專門針對CSO的培養機制,更缺乏有利於CSO成長的環境,已在CSO位置的,也多是技術轉型、臨時授命加自我摸索而成,普遍缺乏履職所需專業技能和職業素養,其職場提升也存在明顯的瓶頸。”
春節後,安在的超級CSO研修班就要開課了,張耀疆集齊了16位業內大咖,要為網安群體打造一個“CSO養成計劃”。導師陣容可謂“豪華”:既有網絡安全領域的大咖,如上海交通大學網絡空間安全學院院長谷大武、百度安全總經理馬傑、賽博英傑創始人及董事長譚曉生;也有西安交通大學蘇州信息安全法律研究中心主任馬民虎等法律專業人士講授合規政策;UCloud創始人兼CEO季昕華則告訴你,CEO需要什麼樣的CSO……“這應該是國內第一個CSO專業研修班,我們希望,它可以成為國內CSO的‘黃埔軍校’,打開網安高手的職業通道。”
閱讀更多 JAVA技術刀 的文章
