詹森•霍夫曼(Jason Hoffman)最初的职业生涯是内部审计师,但7年后,他准备离开自己“非常擅长”的工作,去尝试一些不同的东西。霍夫曼现在是营销自动化软件供应商Marketo的首席技术官,他说,18年前向安全领域的转变“可能是我职业生涯中做出的最好的决定”。“我认为在1998年,没有人能预料到今天的安全会有多么重要。”
霍夫曼表示:“公司高管和董事会更加敏锐地意识到,安全不仅是一个IT问题,也是一个商业问题。”“因此,无论在哪个行业,所有公司都越来越重视安全问题。”
安全对企业的重要性,研究证实。通过CSO Online的姊妹网站CIO.com的受访IT主管其2016年CIO报告状态他说,“在ceo们为自己设定的目标列表中,提高网络安全排名第三(29%),仅次于完成一个大型企业项目(40%)和达到一个具体的收入目标(32%)。”At the same time, those IT executives reported that "security is among the top technology initiatives driving IT investment (29%), nearly equal with cloud computing (30%) and big data/business analytics (27%)."
(现在注册查看和下载工资比较和职业前景数据在一个方便的图表]
霍夫曼说:“那些聪明的公司,那些将在长期取得成功的公司,将会投资于安全领域,并做正确的事情。”投资于安全就等于投资于人。根据《计算机世界》2016年IT薪酬调查*,信息安全经理是IT行业最热门的职位(见下图1),平均总薪酬增幅最大(2015年至2016年上升6.4%)。信息安全专家也进入了热门工作名单,平均总薪酬增长4.7%,与软件开发人员并列第5位。
同样,在接受Computerworld调查的安全主管和经理中,超过半数(51.3%)的人表示,他们预计IT员工人数在未来一年将会增加。霍夫曼表示,Marketo目前正在招聘信息安全主管,他预计“今年将扩大安全团队,重点关注安全架构师、安全工程师和安全分析师等技术职位。”This trend also holds at identity management provider Ping Identity, where CISO Robb Reck says they plan "to grow the security department significantly this year, with hires in application security, devops/infrastructure security, and security governance and compliance."
所有这些都为那些选择从事安全行业的人描绘了一幅美好的前景,霍夫曼表示,他“绝对”会推荐这一举措。
满意度高;工资上涨
接受Computerworld调查的安全专家中有89.9%的人表示,他们要么非常满意,要么对从事IT业的决定感到满意。几乎同样多的人表示,他们觉得自己目前的处境要么非常安全,要么非常安全。霍夫曼说:“安全不会消失。“随着大数据的扩散和商业化,公司需要安全专家来帮助他们保护数据。”
73.2%接受调查的安全专家表示,他们认为IT行业的职业道路和薪水提升的潜力比大多数其他职业道路更有前途。Reck指出“安全正变得越来越重要”,Hoffman补充说“与大多数IT职位相比,安全专业人员的薪水更高”。
与此同时,不出意料的是,保安工资也在上涨,好日子预计还会继续下去。
76.1%的受访安保人员表示,他们的基本工资自一年前开始上涨。在那些报道去年加薪,安全专业人士更有可能比其他的IT专业人员网站内部推广(14.3%比10.5%),额外的/新的责任(15.2% vs 7.8%),或与推广新工作在不同的组织(10.5%比3.6%)增加的原因。34.1%的安全专业人员(所有IT专业人员中的25.3%)表示,他们希望从现在开始的五年内在不同的组织中担任更高级别的职位,而28.3%的人希望在同一家公司中晋升到更高级别的职位。
到底出了什么问题?
改写这部莫名其妙的长时间电视剧的主题曲生活的真相好的,坏的,两者兼而有之,这就是市场动态。
是的,安全专家的就业市场是热,这是为工资和流动性好,但它的一个严重的人才短缺:23.2%的安全优点(所有的it职员的12.3%)说,他们认为人才短缺是it行业面临的最大挑战。
“在失业率徘徊在0%的情况下,雇佣有经验的安全专业人员通常意味着从街上的公司挖走人才,”Reck说。他说:“这样做只会让人才缺口进一步扩大,只会加剧人才短缺的问题。我们在寻找和培训新的安全专业人员方面做得越好,我们对整个世界的帮助就越大。”
“影响无处不在,”Reck补充道。“如果一家公司不能在其员工计划中雇佣员工,这意味着要么错过关键的路线图项目,要么迫使现有员工做出英勇的努力来完成所有工作。”这两种情况都是不可接受的,都可能导致中期灾难。”
安全专业人士更有可能比其他的IT专业人士(64.5%相比58.7%)报告的压力下提高生产率和承担新的任务,这种情况不太可能改善在未来一年:60.1%的安全优点(所有的IT职员的56.1%)说,他们预期的工作负载和责任增加在未来12个月内。
在那些被要求提高生产率和/或承担新的任务,79%的安全专家说,他们的工资没有调整,以弥补增加的工作负载(尽管他们表现好于IT人员),他们更有可能比其他的IT专业人士(60.9% vs 55.3%),觉得自己的工资没有跟上企业发展和要求。
这足以让任何人想要跳槽。
金钱万能
对于49.2%的安全人员来说,篱笆另一边的草地看起来很绿,他们说他们是在积极或被动地寻找组织之外的新工作。
霍夫曼说:“随着安全专业人员的短缺和需求的增加,市场肯定允许专业人员寻找新的机会。”
73.9%的安全专业人士(60.7%的IT专业人士)表示,招聘机构或猎头公司曾就工作机会接洽过他们。在没有找新工作的安全专业人士中,只有8.5%的人表示,这是因为就业市场不景气或机会很少(相比之下,在所有接受调查的it专业人士中,这一比例为13.1%)。
对于那些正在找新工作的安全专业人士来说,他们找工作中最困难的部分不是像其他it专业人士一样,知道自己想从新工作中得到什么,而是知道应该要求多少报酬。
安全专业人员比其他IT专业人员更有可能获得IT相关证书(81.9%比54%),更有可能相信获得证书帮助他们找到工作、获得晋升或加薪(62.8%比41.6%)。但是Hoffman和Reck说证书并不像技能和经验那么重要。
霍夫曼说:“认证对那些刚接触这个行业的人是有好处的。”他认为“认证提供了一个坚实的基础,展示了一个人对这个行业的承诺。”但它们不是必需品。”
雷克补充道,虽然“证书确实有一定的价值”,但对于“他的大部分员工来说,(他)只担心技能——他们能做我需要他们做的事情吗?”认证在这方面一点作用都没有。”
招聘的挑战
如果你是一个想要吸引顶尖人才的雇主,你需要使用什么手段是很清楚的(79.7%的安全专家说加薪会说服他们换工作),但这并不意味着你没有自己的工作要做。
根据IDC的调查在infosec公司的高级管理人员中,大多数需要少于五年工作经验的职位在三个月内就能找到合适的人选。IDC的IT执行计划的安全研究副总裁Pete Lindstrom说:“但是,当我们寻找更有经验的安全专家时,我们似乎达到了这个临界点。”根据这份报告,需要10年以上工作经验的工作中有21%需要一年或更长时间才能完成,而需要20年以上工作经验的工作中有近一半需要超过一年才能完成。
“关于安全行业的一个主要误解是‘安全人员/女孩’的概念,”Reck说。他说:“人们讨论这个问题的方式似乎是,安全是一种单一的实践。实际上,在安全行业中有数十条甚至数百条完全独立的路径,其中许多与其他路径几乎没有重叠。一个优秀的恶意软件分析师可能会成为一个糟糕的安全审计人员,而一个安全意识程序设计人员无法执行安全代码审查。因此,我们不仅面临全球“安全”人才短缺的问题。还有很多子领域甚至人手不足。”
“在我的计划,我需要安全人员谁是他们将确保技术专家,”雷克说。"So for my appsec team, they need to understand web development in an agile environment. My devops/engineering folks need to understanding the cloud computing environment we are in, and the devops tools we use. So I can’t simply find ‘a security person.’ I need someone who either already has deep knowledge in those technologies, or is hungry to gain that experience here at Ping."
霍夫曼说:“对于一名安全专业人员来说,需要花费数年时间来学习所需的技能和获得真实世界的经验,从而使他们在工作中更有效率。”“为了帮助向人们解释安全专业人士做什么,我经常告诉他们,在IT界,你有以下几个群体:网络、服务器、桌面、应用程序和数据库。每个小组都有主题专家。在安全领域,你需要找到在所有这些领域都有知识和经验的人。如果你是一名CISO,并且找到了一个能够掌控所有这些领域的人,那么马上雇佣他们,尽你所能留住他们。符合这个标准的人并不多,因此公司通常会寻找高技能的IT人员,并对他们进行安全方面的培训。对于IT员工来说,这是一条合法而有效的职业道路,可以让他们成长为安全领域的一员。”
职业前景
霍夫曼和雷克说,现在是职业发展的大好时机,或者说是向安全的过渡。霍夫曼说:“越来越多的公司正在寻找安全领导者,甚至是他们的第一个CISO。”“尽管缺乏安全主管,但公司仍在填补这些职位空缺,候选人往往从未担任过CISO。”
但在安全择业是不那么简单,拿到学位。Reck says that while he recommends a career in security to anyone who asks, he says he "wouldn’t recommend something as general as 'go study security.'" Hoffman adds that "Although there are now some colleges offering Bachelor’s and Master’s degrees in security, as an industry we still could do more to help train our future security leaders straight out of college," says Hoffman. "It is going to take 20 years to get where we need to be in having schools at all levels have security teachers and professors teach security to students so the workforce is stacked with security experts."
但是,哦,这将是多么激动人心的20年啊!
Reck说:“找到一项你感兴趣的技术或安全领域的纪律,在那里你可以真正享受,然后投入进去。”不要做“保安”。成为devops安全工程师,在AWS环境下解决安全问题。或者成为安全法规遵循专家,了解复杂的细节相关的法规遵循框架,以及如何使用它们使您的公司变得优秀。或者是一个安全的java开发专家,为常见问题制定标准化的方法。”
“关键是找到一个你想要解决的问题,然后非常详细地解决它,”Reck说。“这些问题在未来十年都不会消失。如果你不能解决其中一个问题,别担心,后面还会有另一个问题,让你感兴趣、忙起来,还能拿高薪。”
*在2016年IT薪酬调查中,Computerworld调查了3878名IT专业人员,其中138人拥有安全职称。