“信息安全專業(yè)人員緊缺引發(fā)全球經(jīng)濟連鎖反應”

2013全球信息安全人力研究發(fā)現(xiàn)，黑客行動主義（hactivism）、網(wǎng)絡恐怖主義（cyber-terrorism）和國家資助攻擊行為（State-Sponsored Acts）是排名前列的安全顧慮，不過有三分之二的首席信息安全官認為，員工緊缺是導致代價高昂的數(shù)據(jù)泄露頻繁產(chǎn)生的原因

香港2013年2月25日電 /美通社/ -- 全球較大的信息安全專業(yè)非盈利機構(gòu)及 CISSP® 測試管理機構(gòu) (ISC)2®（讀作“ISC-squared”）今日公布第六次全球信息安全人力研究（GISWS）結(jié)果。這項針對全球12,000多名信息安全專業(yè)人員的研究是與聯(lián)合博思艾倫咨詢公司（Booz Allen Hamilton）合作開展，并由 Frost & Sullivan 咨詢公司進行的。結(jié)果發(fā)現(xiàn)，全球信息安全專業(yè)人員緊缺對經(jīng)濟產(chǎn)生了極大的影響，而這是綜合“商業(yè)環(huán)境”、“高管未充分理解安全必要性”以及“無法找到充足的合格信息安全專業(yè)人才”所導致的結(jié)果。

報告發(fā)現(xiàn)，受訪者的主要顧慮是黑客行動主義（43%）、網(wǎng)絡恐怖主義（44%）以及黑客行為（56%），同時，半數(shù)以上的受訪者（56%）覺得他們機構(gòu)的安全人員緊缺。即使服務故障是近四分之三受訪者優(yōu)先考慮的問題，許多機構(gòu)（15%）表示他們無法確定從攻擊中恢復的時間。這些數(shù)據(jù)反映了技能熟練的網(wǎng)絡安全專業(yè)人員大量短缺正對機構(gòu)及其客戶產(chǎn)生負面影響，導致更為頻繁和更為代價高昂的數(shù)據(jù)泄露。

擁有 CISSP-ISSEP、CAP、CISA 資格的 (ISC)2 執(zhí)行董事 W. Hord Tipton 表示：“由于近些年來合格信息安全專業(yè)人員嚴重短缺，我們觀察到比以往更多的全球經(jīng)濟連鎖反應。”他接著說：“研究結(jié)果證實，這種短缺正嚴重拖累各家機構(gòu)。越來越多的企業(yè)發(fā)生數(shù)據(jù)泄露事故，企業(yè)無法把事情做好，客戶數(shù)據(jù)也遭到破壞。鑒于網(wǎng)絡間諜、黑客行動主義，以及國家/民族之間相互威脅的嚴重性，公共和私人機構(gòu)已到了協(xié)力彌補這一臨界缺口的時候。我們必須著力于培養(yǎng)熟練和合格的安全從業(yè)人才，以應付當今和未來較復雜的網(wǎng)絡威脅。”

GISWS 報告同時發(fā)現(xiàn)，接受過安全培訓的軟件發(fā)開專業(yè)人員也存在嚴重短缺。早在2011年，GISWS 就發(fā)現(xiàn)應用程序安全漏洞是較大的安全顧慮，而此問題至今仍然持續(xù)。來自惡意軟件和手機的威脅也是主要的安全顧慮，而云安全、自帶移動設(shè)備（BYOD）以及社交網(wǎng)絡均成為新的未來主要安全威脅顧慮。

該研究的其它主要發(fā)現(xiàn)結(jié)果包括：

• 信息安全是穩(wěn)定和具有發(fā)展前景的職業(yè)，行業(yè)前景理想及回報豐厚 -- 信息安全專業(yè)人員就業(yè)情況穩(wěn)定。超過80%的受訪者表示去年未更換雇主或職位，58%的受訪者去年獲得加薪。預計今后五年全球?qū)I(yè)人員的數(shù)量將每年穩(wěn)定增長11%以上，亞太地區(qū)則為10.4%。全球 (ISC)2 認證專業(yè)人員的平均年收入為101,014美元，較未獲得 (ISC)2 認證專業(yè)人員高出33%。在亞太地區(qū)，全球 (ISC)2 認證專業(yè)人員的平均年收入為74,990美元，較該地區(qū)未獲得 (ISC)2 認證專業(yè)人員（48,011美元）高出56%。

• 需要新技能、深入的知識以及更加廣泛的技術(shù) -- 要消除 BYOD 和云計算的風險就必須融合多方面的知識及技術(shù)。78%的受訪者表示 BYOD 技術(shù)是重大安全風險，74%的人表示需要新的安全技能以應對 BYOD 的挑戰(zhàn)。68%的受訪者表示社交媒體是一個安全顧慮，而內(nèi)容過濾是目前運用的主要安全措施。
• 應用程序漏洞是較大的安全顧慮，但大多數(shù)機構(gòu)并未優(yōu)先考慮安全軟件開發(fā) -- 幾乎一半的安全機構(gòu)沒有參與軟件開發(fā)，而在選擇軟件開發(fā)外包服務商時，安全并非他們考慮的重要因素，但69%的受訪者表示應用程序漏洞是其較大的顧慮。
• 安全優(yōu)先重點合乎邏輯地在垂直市場中存在差異 -- 63%的銀行、保險和金融業(yè)受訪者將企業(yè)聲譽損害選為優(yōu)先重點。在衛(wèi)生保健業(yè)，59%的受訪者將顧客隱私受到侵犯選為優(yōu)先重點。57%的建筑業(yè)受訪者將健康和安全選為優(yōu)先重點，而50%的電信和媒體受訪者將服務故障時間選為優(yōu)先重點。
• 雖然攻擊補救預期會較快，但安全事故防范有壓力增加的跡象 -- 28%的受訪者相信他們的機構(gòu)能夠在一天內(nèi)從針對性攻擊中恢復，41%的受訪者表示他們可以在一周或更短時間內(nèi)恢復。有相當一部分的受訪者表示不知道需要多長時間才能得到恢復。在安全事件防范方面，2013年調(diào)查中認為其去年防范工作變差的受訪者比例比2011年多出一倍。
• 知識和知識認證對就業(yè)和發(fā)展十分重要 -- 在招聘時，近70%企業(yè)認為證書是可靠的能力指標。幾乎有一半的招聘企業(yè)（46%）要求持有證書。其中60%接受調(diào)查的人計劃在未來12個月內(nèi)獲得證書，而 CISSP 仍是需求最多的認證。

Frost & Sullivan 的 Stratecast 部門研發(fā)副總裁暨本報告的作者 Michael Suby 表示：“信息安全是整個機構(gòu)的責任，而信息安全專業(yè)人員的知識和他們的安全管理工作則是機構(gòu)的明燈。”他續(xù)稱：“信息安全專家一直處于最前線，必須適應不斷變化的威脅和信息科技環(huán)境。他們同時扮演著教育企業(yè)領(lǐng)導人的角色，讓他們知道信息安全在企業(yè)的各個領(lǐng)域中為何以及其重要性。正如 GISWS 所呈現(xiàn)的，企業(yè)每天面臨復雜的網(wǎng)絡攻擊，對擁有更為熟練技能和專業(yè)資格的安全專家以應對這些入侵的需求是真實而急迫的。如果我們繼續(xù)讓這個技能缺口加大，經(jīng)濟無疑將會受損。”

博思艾倫咨詢公司的高級副總裁 William Stewart 指出：“博思艾倫意識到，市場對擁有高技術(shù)水平專業(yè)人員的需求隨著數(shù)字化企業(yè)越來越多而增加。企業(yè)需要將人才、流程和技術(shù)結(jié)合起來，以對抗不斷演變的威脅環(huán)境。同時，他們需要把握云計算、社交媒體和 BYOD 帶來的機會。這份研究報告強調(diào)了市場對信息安全專家的大量需求，尤其是因為越來越多的安全專家在董事會中獲得一席之地，影響著商業(yè)運作的決策。”

于2012年秋天通過網(wǎng)絡調(diào)查形式進行的2013年 GISWS 或許是對信息安全業(yè)所進行的史上較大規(guī)模的研究。自從2004年首次發(fā)布以來，該研究報告成為信息安全專業(yè)人員的意見風向標，并提供關(guān)于信息安全業(yè)的重要趨勢和機會的詳盡內(nèi)幕。其目標是提供工資標準、技能缺口、培訓要求、企業(yè)招聘范例、安全預算、職業(yè)發(fā)展以及對公司、招聘經(jīng)理和信息安全專業(yè)人員有價值的企業(yè)對信息安全的態(tài)度。欲閱讀完整的研究報告，可瀏覽：https://www.isc2cares.org/IndustryResearch/GISWS/。

垂直市場的額外具體數(shù)據(jù)將在本年內(nèi)稍后時間公布。

關(guān)于 (ISC)2
https://www.isc2.org/china.aspx

關(guān)于 (ISC)2® 基金會
https://www.isc2cares.org/About/ 

關(guān)于博思艾倫咨詢公司
http://www.boozallen.com/about 

關(guān)于 Frost & Sullivan
http://www.frost.com/prod/servlet/about-us.pag 

©2013、(ISC)2 Inc.、(ISC)2、CISSP、ISSAP、ISSMP、ISSEP 及 CSSLP、CAP、SSCP 及 CBK 均為 (ISC)2, Inc. 的注冊商標。

媒體聯(lián)系：

鐘嘉儀
(ISC)2 Asia-Pacific
+852-3520-4001
kchung@isc2.org