最近，我在LinkedIn上发表了自己对网络安全技能差距的看法，这是科技界最热门的话题之一。技能差距经常被紧急讨论，鉴于我是一名网络安全招聘人员，我看到了它在实践中的作用。但信息安全是一门广泛的学科，我认为我们在谈论“技能差距”时需要更具体。“我认为真正的人才短缺是在实践领域，比如应用程序安全和DevSecOps。

去年，《福布斯》发表了一篇文章，称网络安全技能差距是一场“行业危机”。报告指出，随着网络攻击变得越来越严重、越来越普遍，企业越来越需要网络安全专业人士。但由于技能匮乏和需求旺盛，保安工作的薪水很高，这意味着企业不仅很难找到合适的人，还必须支付高薪才能找到合适的人。

所有这一切都意味着网络犯罪分子正在大干一场，正如这篇文章所阐述的那样。攻击者利用准备不足的公司，因为他们知道这些公司很可能会成功。很明显，为了客户和企业的利益，这个行业确实需要改进。

要做到这一点，我们需要优秀的人才，拥有正确的技能。该行业早就知道这些人不容易找到——他们的数量根本不够。造成这种短缺的原因有很多，值得记住的是，这不是最容易工作的行业工作的压力意味着心理健康问题很普遍。

特定的安全

但我认为，仅仅说我们需要“弥补技能差距”是不够的。“我们需要更深入地研究这个差距究竟在哪里，它是如何产生的，以及我们能做些什么来弥补它。

在我看来，真正难以找到的人是具有实践经验的专业人士，他们能够胜任投入应用程序安全和DevSecOps团队。正如我在最初的LinkedIn帖子中所写的，这些领域可能是你实际需要动手去做的，而不仅仅是咨询应该做什么。

从我在网络安全招聘行业的经验来看，我认为这种差距的存在，是因为进入技术AppSec最常见的途径是通过编程背景。这份工作需要具备正确的技术技能和注重安全的心态的人，创造一个难以找到的利基市场。对于实际操作的角色，您需要精通技术，并且能够理解并将安全性集成到工作中。这并不容易找到。

解决方案？

一些业内人士联系了我，告诉我他们对这个问题的看法。对于迪克森汽车电话公司(Dixons Carphone)的DevSecOps/安全主管艾伦?通过让保安人员有机会在继续担任技术职务的同时取得进步，这些有才能的人将能够取得他们想要的个人成功，同时继续担任他们喜欢并接受过培训的技术职务，而不是成为管理人员。

Broadlight的网络安全主管马里奥?普拉特(Mario Platt)告诉我，这是为了让非技术人员适应“实际接触技术”——要做到这一点，需要给他们失败的空间，他说。

我们不需要更多的顾问。当然，安全顾问是网络安全领域的重要贡献者。但就目前而言，我们需要卷起袖子，以有针对性的方式深入解决技能差距问题。

注：来源于ISACA Panashe Garande