对安全行业高CISO就业率意味着短缺

好消息对合格的信息安全专业人士在管理层层面是非常困难的失业。

今年早些时候,美国劳工统计局(Bureau of Labor Statistics) (BLS)报道说,这个行业已经“飙升”3%的失业率在2012年第四季度,尽管全年率都是0.9%。一般来说,4%被认为是充分就业。

(加州理工大学的加入国家网络安全教育工作]

虽然劳工统计局说这些数字并不完全可靠,由于样本量太小,与全国7.3%的失业率仍然是戏剧性的。信息安全管理是一个卖方市场;那些合格的不必太努力寻找工作。

什么是有利于个人对行业不好,然而。不利的一面是,企业很难雇佣合格的it安全专家。Stroz弗里德伯格,一个情报和风险管理咨询公司最近预测,供应的首席信息安全官(CISOs)在2014年将不会满足需求。

Ed Stroz公司的创始人和执行主席说,预测不是来自一个统计调查,但是从14年的为“一个多样化的客户咨询。需要CISO经常被提上议事日程,”他说。

以下短缺扩展C套件。政府事务主管马克•高贵(ISC) A2,网络安全凭证协同(C3)的主席和前CISO联邦通信委员会(FCC),对BankInfoSecurity今年早些时候说,在过去他的节目已经阻碍了将近一年,“由于无法找到质量候选人来填补信息安全职位。”

在一次采访中,贵族说,他相信短缺,部分原因是威胁的快速演变格局。“需要时间确定和理解新技术,他们存在的漏洞,以及如何最好地适应安全控制,以满足不断发展的威胁。实现这些控件添加一个额外的一层复杂性,”他说。

满足这种需求需要的人,“高适应性的学习和应用新技能,技术和程序为了管理风险的动态范围。目前,it组织无法跟上。攻击者总是我们前面的10个步骤,”他说。

(无技术研究所硕士安全认证]

除了能够处理动态范围的风险,Stroz说好的CISOs必须远远超过技术人员。他们需要专家的任务和操作的业务,包括市场营销、财务和法律环境。大多数组织中,他说,“希望有人谁是有效的作用但也理解公司和行业。通常他们提出了描述一个人,很少或根本不存在。”

这可能是因为,大卫·肖CISO普渡大学所说,“CISO的角色面临的身份危机,没有明确定义的角色或应放置在组织。我们经常讨论这个领域。应该报告给CIO,董事会,首席财务官吗?

(争夺势力范围而新兴信息和物理安全的优点]

“我们没有一个标准模型,如何得到CISO的工作,更不用说获得成功,”他说,但他补充称,那些最需求的,“有一个超出安全记录。很难想象,你可以成为一个有效的CISO没有某种程度的技术理解但你也需要一定程度的发达等其他学科的业务技能,沟通,领导和法律。

“有几个区域以外的安全,我认为是关键:建立关系,视野,和说话的能力的各级组织,”他说。“我们不一定火车安全专家。”

Stroz同意,说最重要的事情之一好CISO必须理解的是,安全不能胜过便利。“你要知道的第一件事是,你可以不锁(企业)如英尺。诺克斯,”他说。

尽管这种复杂性,然而,考虑到需求,有人会认为短缺将解决本身的人蜂拥到田野。在某种程度上,创造了另一个问题。有些营销自己是能胜任这个角色没有必要的技能和经验的结合。

尤金清单的执行主任普渡大学教育和研究中心的信息保障和安全,告诉BankInfoSecurity高需求”,往往让那些有问题的背景将自己描绘成“专家”。没有竞争和比较,他们中的一些人无疑是被使用。”

但更多的时候,那些有资格可以推迟Stroz所说的趋势在一些企业CISO角色成为一个“怪点而不是值提供者”如果敏感数据,CISO指责即使事业是一个员工“跳安全墙”,把信息在一个不安全的地方。

安全支出继续运行步骤背后的威胁

高尚说另一个现实是,供给扩张,但扩张速度的需求。“信息安全专业人员的数量预计将持续在未来五年每年增长逾11%,”他说。“不过,即使每年两位数的增长,劳动力短缺持续下去。”

所以,可以而且应该采取哪些措施来解决短缺吗?人们普遍认为,安全培训应该变得更加主流教育的优先级,而CISO标题本身需要更多的曝光和推广。“信息安全被认为是发展最快的职业领域,“高贵的说,“但是我们不跟上必要的培训。没有足够的人知道。”

高尚说,他相信培训网络安全已经提前开始。“安全必须成为早期教育课程的一部分,继续在一个学校的职业生涯中,”他说。

但培训是不够的,甚至在研究生层面,因为大多数组织寻找CISO希望一个人可以,正如萧伯纳所言,“撞到地面上运行的第一天。通常你不毕业的学院或大学的程序有很多的经验。我认为这个区域是可以通过程序利用毕业实习学生在哪里以现实世界的经验,”他说。

肖说一些开始发生,在项目如教育和研究中心的信息保障和安全(出现)普渡。“程序之间的桥梁的技术和其他学科很好准备那些希望进入CISO的角色,”他说。

(网络安全应该被视为一个职业,而不是一种职业,报告说]

高贵还引用了大量的行动,他说,“建设能力和专业化不断增长的劳动力。一些包括努力eSkills英国、欧洲标准化委员会(岑),国际标准化组织(ISO)、国际电信联盟电信发展部门(ITU-D),和不错的框架。(ISC) A2也是其资源以多种方式投资,”他说。

但是对于那些企业不能等到缓解短缺,Stroz表示一个可行的替代方法是外包顾问一些他的公司。

结论一般,他说,这是一个企业的领导人到当他们意识到完美的候选人CISO的公司可能不是。“他们学习招聘工作,他们所寻求的概要文件和资格可能不是他们可以评估,”他说。

显而易见的风险,他说,是讨论如何找到合适的候选人,“需要进入公司的漏洞。讨论可能相当敏感,因为它可以涉及到一些非常有价值的知识产权。”

再次,它归结为“高度适应性强”人与技术和业务技能。“我们的目标是创建一个风险管理环境,与您的业务目标是一致的,“Stroz说。

“没有,它是不会成功的。”

这个故事,“高CISO就业率意味着缺乏安全行业”最初发表的方案 。