最近,网络安全技能差距的热门话题流传开来。技能差距经常被紧急讨论,可以看出它在实践中的作用是很大的。但信息安全是一门广泛的学科,所以在谈论“技能差距”时需要更具体。有专家表示,真正的人才短缺是在实践领域,比如应用程序安全和DevSecOps(一种全新的安全理念)。
去年,《福布斯》发表了一篇文章,称网络安全技能差距是一场“行业危机”。报告指出,随着网络攻击变得越来越严重、越来越普遍,企业越来越需要网络安全专业人士。但由于技能匮乏和需求旺盛,保安工作的薪水很高,这意味着企业不仅很难找到合适的人,还必须支付高薪才能找到合适的人。
所有这一切都意味着网络犯罪分子正在大干一场,正如这篇文章所阐述的那样。攻击者利用准备不足的公司,因为他们知道这些公司很可能会成功。很明显,为了客户和企业的利益,这个行业确实需要改进。
要做到这一点,我们需要优秀的人才,拥有正确的技能。该行业早就知道这些人不容易找到——他们的数量根本不够。造成这种短缺的原因有很多,值得记住的是,这不是最容易工作的行业;工作的压力意味着心理健康问题很普遍。
然而,我们需要“弥补技能差距”是不够的。我们需要更深入地研究这个差距究竟在哪里,它是如何产生的,以及我们能做些什么来弥补它。
有学者认为,真正难以找到的人是具有实践经验的专业人士,他们能够胜任投入应用程序安全和DevSecOps团队。另外,这些领域可能是你实际需要动手去做的,而不仅仅是咨询应该做什么。
这种差距的存在,可能是因为进入技术AppSec最常见的途径是通过编程背景。这份工作需要具备正确的技术技能和注重安全的心态的人,创造一个难以找到的利基市场。对于实际操作的角色,您需要精通技术,并且能够理解并将安全性集成到工作中。这并不容易找到。