作為具有多年經驗的安全管理人員，我們發現：自上一個安全從業人員研究在2008年完成以來，(ISC)2的第五次全球信息安全從業人員研究結果，很好的記錄著信息安全的方向，這個研究是今年初發布的。總體來講，研究結果反映了以下幾點：

◆在發達地區對規則遵從的關注在增加。

◆在亞太地區，信息安全在持續增長。

◆在北美和歐洲，信息安全逐漸成熟。

◆受到全球經濟不景氣的沖擊，尤其是在歐洲。

◆技術和安全的焦點從“更高層協議棧”轉向應用層，并遠離基礎架構；這一趨勢反映了威脅在過去幾年內的演化。

◆在企業中，消費電子技術的影響力不斷增加。

我們贊成這個研究的主要結論，即由于這些趨勢的出現，企業和信息安全專家正面臨前所未見的壓力。

安全資源和技術差距

這個研究顯示，出于為公司和消費者的信息提供保護的要求，監管要求繼續在拓寬其廣度和深度。技術呈指數倍的增長，加上公司期望抓住這次增長形成自己獨特的競爭力，這也增加了對信息安全專家的要求。

我們相信：為了跟上這些趨勢，在這個研究中描述的安全技術和從業人員差距將隨著全球經濟的穩步復蘇變得更加顯著，同時亞太地區正經歷著對安全資源的最大需求。由于全球企業間的相互聯系，各個地區都應該關注這個趨勢。正如所有類別的開支都顯著增長所反映的那樣，亞洲經濟的超凡實力將繼續刺激對安全和規則遵從資源的需求。因為只有很少的傳統信息技術系統需要被取代，亞洲國家可以快速利用更新的技術，就像他們人口的流動性那樣。

作為這一差距的另一個指標，亞太地區的受訪者認為與其他地區的同行相比，社交媒體在某種程度上顯得更加重要。采用更高層次的新技術，比如這個地區的社交媒體，已經被許多研究和調查所注意。其中一個例子是，澳大利亞和中國的消費者對一些社交媒體的使用率處于世界領先。由于只有一個相對較小的安全資源池，以及在強大的信息安全教育課程方面的整體不足，亞太地區的安全資源差距被進一步拉大了。

這個研究中顯示，安全領域資源差距的另一驅動力是公共和私人部門之間對其需求的不斷起伏。可以看出，在過去的幾年里，公共部門對安全專家的需求呈現爆炸性增長，尤其是在最發達的國家。然而這種趨勢可能會趨于穩定，在面對這些需求的時候，真正合格的候選人已經減少了很多。

另一方面，受訪者將應用程序漏洞列為他們所關心的最大威脅。在IT領域，很少有事情可以變得比軟件應用的研發和集成更加復雜。隨著開發者致力于提高應用程序的靈活性和用戶友好性，這些系統的后臺復雜性也正在增加。當前很多的應用程序都是具有網絡功能的，這就拓寬了必須對其進行更多保護的地方。

填補差距的方法

盡管這個研究表明這方面的職位將從當前的228萬個增長到2015年的424萬個，然而問題依然存在：“這些新的專家從哪里來，我們如何保證他們是這個領域有知識有道德的新成員？”

由于經常發生的眾所周知的破壞和數據丟失，安全話題已經得到了很大的關注。這些曝光吸引了對這個行業的注意，進而這也成為新成員進入這個資源池的催化劑。通常，這些新成員來自傳統的IT教育和培訓項目，也是來自IT行業本身。

直到近幾年，在傳統的大學和技術學校里很少有特定的安全課程可供選擇。不過這種情況已經得到改善，現在有許多的特定安全項目提供給給技術和管理安全教育。為專業人員提供適合他們繁忙工作日程的相關培訓也是必需的。由于對繼續教育需求的增加，企業需要這樣的培訓，即它可以幫助企業最大限度的發揮旅費和培訓預算的作用。通過基于網絡的技術和基于計算機的課程，培訓和認證機構可以提高它們的能力從而滿足這些需求。

此外，由于在過去10年，信息安全領域的技術改變步伐迅速加快，培訓的內容也必須以相同的步伐更新，從而跟上威脅和技術演化的腳步。舉例來講，這個研究中指出的最大威脅，比如不安全的應用程序和云計算，在短短的幾年前甚至沒有引起大多數信息安全專家的關注。

許多公司都要求對其內部安全雇員和外包顧問進行認證。但這決不是一個能力的保證，行業認證只是對個人到達了信息安全領域最低知識要求提供保證。進一步講，一個最低水平的行業經驗也是專業認證的要求，比如那些來自(ISC)2和ISACA的認證。企業在招聘安全雇員的時候利用這些認證來驗證其具備基本要求。

由于這項業務的性質，道德行為成為信息安全專業的一個特征。從業人員必須服從于一個強有力的行為準則，并以相似的方式來引導他們自身的行為。培訓和認證機構必須確保道德行為意識和規范包含在他們的方案中。