尽管网络安全行业的工具和技术不断发展，但企业仍然依赖于受过良好训练的聪明人，他们拥有敏锐的批判性思维技能，以保护自己免受危险的网络威胁。但是，正如威胁范围不断扩大一样，相应的技能差距也在扩大，这将使企业面临重大财务损失的风险，并对其品牌声誉造成不可逆转的损害。

正如ISACA最近发布的《2019年网络安全状况研究报告》(State of cybersecurity 2019 research)所反映的那样，寻找并留住足够数量的合格网络安全专业人士变得越来越具有挑战性。保留部分可能特别有问题，特别是对于面临大量资源限制的组织。更好的经济激励，如更高的薪水和更丰厚的奖金，压倒性地成为网络安全专业人员跳槽的首要原因，而职业发展机会和更好的工作文化/环境等其他因素也是主要原因之一。

2019年网络安全状况报告》揭示了当前网络安全劳动力前景的几个问题数据，包括:

·69%的受访者表示，他们的网络安全团队人手不足

·58%的公司表示，他们的网络安全职位空缺

·32%的人表示，他们的公司需要6个月或更长时间才能填补网络安全职位空缺

最后一项统计数据尤其令人不安。想想网络攻击可以在6个小时内对一个组织造成的巨大破坏，更不用说3个组织中就有1个需要6个多月的时间来填补一个开放的网络安全职位。需要这么多组织这样一段时间来确保他们正在寻找的候选人是指示性的需要培养更多的人成为网络安全行业感兴趣,思考现实,需要组织面对需要reskill和培训的候选人可能不会检查每一个期望的职位描述。与其等上6个月或更长时间，寄希望于理想人选的到来，各大机构还不如聘用一些技术娴熟、涉猎广泛的候选人，把他们纳入自己的网络安全团队，因为它们意识到，需要对培训和专业发展做出承诺。

超越传统候选人

沿着这些思路，组织应该更容易接受从非传统背景中寻找人才。正如我的ISACA同事本月在RSA大会上的一次小组讨论中所指出的那样，退伍军人和其他非技术背景的人，只要有机会，往往可以凭借与网络安全角色相匹配的技能和兴趣来应对这种情况。此外，网络安全行业必须在吸引和留住女性方面做得更好。女性在网络安全领域的代表性不足，是全球组织面临的总体技能差距的一个重要方面。考虑到这些因素，组织可以很好地制定业务计划，重新定义如何吸引和留住安全人才的协议。

误差幅度很小

组织可以建立并保留有效的网络安全团队，但出错的可能性很小。高质量的网络安全从业人员将有许多选择，因此企业领导者有责任给他们一个令人信服的理由，让他们想要留在自己的公司。提供有竞争力的薪酬是一个自然的起点，正如网络2019年报告所强调的那样。在为安全团队的整体范围做预算时，如果牺牲了为关键团队成员提供有竞争力的薪水，领导者可能需要抵制购买最新有趣工具或小工具的诱惑。除了薪酬之外，组织还应该在其他领域评估他们所提供的内容，以确保团队成员感到适当的价值。为此目的，各组织应投资对现有工作人员进行基于业绩的培训，以培养更多技术熟练的从业人员- -这些人往往是各组织最难找到的专业人员。灌输一种积极向上、以团队为导向的文化，也能在很大程度上防止员工跳槽。

随着时间的流逝，越来越多的人认识到，在数字经济中，强大的网络安全是所有组织的核心业务需求，这一点变得越来越普遍。但是，了解网络安全的重要性与拥有实施有效安全计划的远见和承诺是有区别的。这首先要引进高质量的网络安全从业人员，然后提供持续的培训，以填补知识空白，并让专业人员了解他们将受命打击的最新攻击方法。尽管人工智能和自动驱动工具将在未来几年被证明对提高网络安全非常有用，但这并不会改变这样一个现实，即在找到合适的人选，从战略上应对网络攻击之前，任何组织都不会处于安全的基础之上。网络攻击的规模和复杂性将继续增长。

来源于ISACA  Chris K. Dimitriadis