多年來，網絡安全領導者一直在努力解決關鍵網絡角色的人才短缺問題。面對不斷升級的財務要求和不斷擴大的責任，這些領導者面臨著更大的壓力，需要用更少的資源實現更多目標，并創建涵蓋多種安全職能的角色。

安全角色通常是多功能的

一份新報告表明，角色內的典型功能組合包括架構和工程 (A&E)、應用程序安全 (AppSec) 和產品安全。IANS 和 Artico Search 收集了來自美國和加拿大各行業和公司類型的 560 多名網絡安全員工的回復。此外，我們還對 100 名CISO進行了非正式訪談，以更好地了解 CISO 在招聘和留住員工方面面臨的挑戰。

在調查受訪者中，42% 的人負責多個網絡安全領域。在 AppSec 員工中，74% 還致力于產品安全，67% 參與身份和訪問管理 ( IAM )。

在產品安全方面，63% 的員工也支持 IAM。然而，治理、風險和合規性 ( GRC ) 與其他角色的聯系較輕。大約 37% 的 GRC 員工還承擔 A&E 職責，只有 25% 從事 AppSec 工作。

研究還發現，典型的企業類別和角色分類通常與信息安全人才市場不一致。“多年來，我們聽到許多網絡安全專業人士討論他們在組織中擔任的職務。這份最新報告清楚地說明了按職能劃分的日常職責的數量。每個功能不僅支持自己的一組核心任務，而且大多數角色還支持至少兩個附加功能。這讓許多公司都在努力應對典型的企業薪資水平，因為網絡安全需要專門的薪酬方案，以更好地爭奪人才并最大限度地減少人員流失。” Artico Search 網絡安全實踐合伙人兼 IANS 教員Steve Martano說道。

豐富的經驗、專業化和高級學位都會帶來更高的薪資

擁有至少 12 年相關經驗的經驗豐富的員工的收入比基線高出 22%。AppSec、產品安全或 IAM 方面的專業知識，或者碩士或博士學位的現金報酬為 21%。

與此同時，相關經驗不足三年的員工的薪酬比基線低 40%。同樣，不持有副學士學位以上大學學歷的網絡安全專業人士的薪酬水平也往往低于平均水平。

不同領域的性別多樣性各不相同，但性別薪酬差距仍然普遍存在

20% 的人自我認同為女性、二元性別或其他。GRC 的性別多樣性最高，為 40%，其次是 IAM，為 25%，而 A&E 工作人員的非男性比例最低，為 10%。

研究數據顯示，性別薪酬差距約為 7%。在擁有 12 年以上工作經驗的員工中，性別差距更為明顯，研究人員發現，男性和女性之間的薪酬差距達到兩位數。在擁有三年以下信息安全經驗的受訪者中，性別多元化專業人士的支持率差距為 3%。

員工認可度和工作福利與更高的保留率相關

在這四個標準中，感覺受到重視和支持以及有職業發展機會與換工作考慮因素的關系最為密切。

回顧有關網絡安全勞動力短缺問題：

• 盡管這是有史以來勞動力人數最多的記錄，但報告顯示需求仍然超過供應。網絡安全勞動力缺口已創歷史新高，需要 400 萬專業人員來充分保護數字資產。
• 該研究還發現了影響該領域專業人士的新挑戰，包括經濟不確定性、人工智能、分散的法規和技能差距。此外，充滿挑戰的威脅形勢繼續籠罩該領域，75% 的網絡安全專業人士表示，當前的威脅形勢是過去五年來最具挑戰性的。
• 只有 52% 的人認為他們的組織擁有足夠的工具和人員來應對未來兩到三年的網絡事件。

網絡安全勞動力短缺和技能差距

67% 的受訪者表示，他們的組織缺乏網絡安全人員來預防和解決安全問題，92% 的網絡安全專業人員表示他們的組織存在技能差距。

組織中排名前三的技能差距是云計算安全（35%）、人工智能/機器學習（32%）、零信任實施（29%）。

進行過網絡安全裁員的組織中有 51% 受到一項或多項重大技能缺口的影響，而沒有進行過裁員的組織中這一比例僅為 39%。

經濟不確定性

71% 的受訪者認為，經濟不確定時期會增加惡意內部人員的風險。研究發現，39% 的網絡安全專業人員曾接觸過或認識曾被惡意行為者接觸過的人。在網絡安全領域進行過裁員的公司中，被視為惡意內部人員的可能性是其他公司的三倍。

• 47% 的受訪者經歷過削減，包括預算削減、裁員以及凍結招聘和晉升
• 35% 的人面臨網絡安全培訓計劃的削減，這對于技能發展和勞動力增長至關重要
• 三分之二的受訪者表示，裁員對他們的生產力、團隊士氣產生了負面影響，并增加了他們的工作量
• 57% 的受訪者表示，他們對威脅的響應因削減而受到抑制，52% 的受訪者認為與內部風險相關的事件有所增加
• 31% 的專業人士認為裁員將持續到 2024 年，70% 的專業人士預計這些裁員將包括裁員

發現有效的招聘、保留和團隊建設實踐

• 47% 的受訪者對人工智能 (AI) 毫無了解或了解甚少
• 47% 的人將云計算安全視為職業發展中最受歡迎的技能
• 45% 的受訪者認為人工智能是未來兩年的最大挑戰

ISC2 首席執行官Clar Rosso表示：“雖然我們慶祝進入該領域的新網絡安全專業人員數量創歷史新高，但緊迫的現實是，我們必須將勞動力數量增加一倍，以充分保護組織及其關鍵資產。”

“在當前前所未有的最復雜和復雜的威脅形勢下，網絡安全專業人員面臨的不斷升級的挑戰凸顯了我們信息的緊迫性：組織必須投資于他們的團隊，無論是在新人才還是現有員工方面，他們具備應對不斷變化的威脅形勢的基本技能。這是確保職業有彈性、加強我們集體安全的唯一途徑，”羅索繼續說道。

組織正在積極采取戰略來加強其網絡安全團隊。調查受訪者表示，他們的組織正在投資于員工培訓 (72%)、提供靈活的工作條件 (69%)、資助多元化、公平和包容 (DEI) 計劃 (68%)、支持認證 (67%) 以及擴大其業務范圍團隊通過招募、雇用和入職新員工（67%）來防止或緩解員工短缺。

促進網絡安全的多樣性和包容性

為了促進員工隊伍更加多元化，組織正在采用 DEI 舉措，納入基于技能的招聘，并修改職位描述以強調 DEI 目標。

采用基于技能的招聘的組織已經看到了積極的影響，其勞動力中女性平均比例為 25.5%，而未采用這一舉措的組織中女性比例為 22.2%。然而，仍有工作要做，因為女性僅占 30 歲以下網絡安全專業人員的 26%。

DEI 舉措不僅可以推動多元化，還可以提高勞動力效率。實施 DEI 招聘實踐的組織表示，其網絡安全專業人員在未來兩到三年內應對網絡威脅的準備意識更強。

除了各種技能的技術熟練程度之外，網絡安全專業人員還強調非技術屬性的重要性。解決問題的能力（45%）位居榜首，其次是好奇心和學習熱情（39%）以及有效溝通（38%）。