目前，IT安全工作市場(chǎng)確實(shí)繁榮，但這并不意味著每個(gè)人都會(huì)自然而然地找到一份工作，或者找到合適的工作。正如安全威脅狀況正在飛速演變一樣，職場(chǎng)對(duì)安全職業(yè)的資質(zhì)要求也在快速變化。
IT安全招聘公司LJ Kushner and Associates的總裁Lee Kushner認(rèn)為，職場(chǎng)中的供需之間有一道難題：雇主正在尋找能夠滿足特定需要的安全人員，如事件響應(yīng)或風(fēng)險(xiǎn)管理，而正在尋找工作的安全專業(yè)人士希望構(gòu)建其自己現(xiàn)有的技能并推進(jìn)其職業(yè)生涯的發(fā)展。但是雇主們并不希望雇傭一個(gè)人，允許他按照個(gè)人的意愿來獲取經(jīng)驗(yàn)。
Kushner認(rèn)為，總體上講，有資格的安全工作人員要比工作多。在特定條件下，有資格的安全人士要比雇主們苦苦尋找的要少。
獲得適當(dāng)?shù)墓ぷ魅藛T與獲得適當(dāng)?shù)墓ぷ饕粯悠D難。根據(jù)Booz Allen Hamilton去年的一份報(bào)告，只有40%的政府管理人員認(rèn)為自己對(duì)于申請(qǐng)聯(lián)邦I(lǐng)T安全工作的人員資格感到滿意，僅有30%的管理人員對(duì)申請(qǐng)者的數(shù)量感到高興。
思科學(xué)習(xí)項(xiàng)目的安全認(rèn)證部長(zhǎng)經(jīng)理David Bump認(rèn)為，安全認(rèn)證雇主們尋找的是擅長(zhǎng)于特定安全學(xué)科的安全專家。安全職業(yè)專家們認(rèn)為，認(rèn)為只要有了CISSP（認(rèn)證信息系統(tǒng)安全專家）認(rèn)證就可以保證被雇傭的時(shí)代已經(jīng)一去不復(fù)返了。安全工作正變得越來越專門化，所以一般的認(rèn)證并不具有以前所具有的份量。CISSP在過去是必要的，而今天變成了“有了也不錯(cuò)”。
那么，今天的雇主們希望找到怎樣的安全專家呢？他們最需要哪些技能呢？最需要的資格基本上就反映了攻擊類型、損害類型，以及這些單位如今所面臨的威脅，以及有助于控制其防御的規(guī)范等：雇主們正在尋找富有事件處理和響應(yīng)、合規(guī)、風(fēng)險(xiǎn)管理、業(yè)務(wù)的敏銳性等方面經(jīng)驗(yàn)的人才。
下面逐個(gè)看一下：
1、事件處理/響應(yīng)
“極光行動(dòng)”攻擊的曝光告訴我們，任何單位都可能成為靶子，在眼皮底下發(fā)生的攻擊，在被人們發(fā)現(xiàn)時(shí)，總是為時(shí)已晚。
ClearanceJobs.com的創(chuàng)辦人和主管Evan Lesser說，和這些攻擊使政府和企業(yè)有了更緊密的聯(lián)系，工作市場(chǎng)變得日益糾結(jié)，因?yàn)檎推髽I(yè)都要尋找相似的技能。政府正在盼企業(yè)，企業(yè)也在盼政府。Lesser認(rèn)為，他們更緊密地?cái)y手工作，因?yàn)閷?duì)于商務(wù)金融系統(tǒng)的攻擊就是對(duì)國(guó)家的攻擊，對(duì)于與基礎(chǔ)架構(gòu)相關(guān)的攻擊也是一樣。
這就使得事件響應(yīng)成為一項(xiàng)重要的工作技能，許多雇主們對(duì)此趨之若鶩，例如，他們需要這種專家：不但知道怎樣使用或配置一種入侵檢測(cè)系統(tǒng)（IDS）或防火墻，而且知道怎樣維護(hù)和分析日志文件及其它的事件數(shù)據(jù)，然后能夠?qū)⑦@些信息與公司中的其他人共享。
思科公司的Bump說，事件的響應(yīng)者和處理者是第一線的專家。他們對(duì)于細(xì)節(jié)的關(guān)注應(yīng)當(dāng)受到重視，應(yīng)當(dāng)有大量的文檔證明，并且要與調(diào)查安全損害的其它小組共享這些信息。
Bump還認(rèn)為，而且安全認(rèn)證也在不斷發(fā)展，以反應(yīng)這種轉(zhuǎn)變。例如，在過去，如果你通過了某項(xiàng)產(chǎn)品的認(rèn)證，你就知道了如何使用IDS/IPS.而現(xiàn)在，我們正在越來越多地從產(chǎn)品認(rèn)證轉(zhuǎn)移到工作角色認(rèn)證。
安全專家們認(rèn)為，新的認(rèn)證要求知道如何使用由安全設(shè)備和系統(tǒng)所收集的信息。Bump說，現(xiàn)在新的認(rèn)證要求大量的架構(gòu)知識(shí)、解決方案、最佳方法等。還需要能夠部署解決方案的安全設(shè)計(jì)師，并能夠設(shè)計(jì)這種解決方案，還要關(guān)注策略。
2、合規(guī)的專門知識(shí)
安全專家需要知道其雇主的規(guī)章制度環(huán)境，不管是付款卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI DSS），還是健康保險(xiǎn)可攜性和責(zé)任法案（HIPAA）。Kushner認(rèn)為，監(jiān)管和規(guī)章制度的職位要求應(yīng)當(dāng)匹配一致。他說，他看到更多的職位在尋找精通健康信息信任聯(lián)盟（HITRUST）框架的專業(yè)技術(shù)，能夠進(jìn)行個(gè)人健康和金融信息的安全交流或存儲(chǔ)。
Kushner坦言，與保障客戶數(shù)據(jù)安全有關(guān)的任何資格和經(jīng)驗(yàn)，不管是關(guān)于數(shù)據(jù)泄露預(yù)防的，還是關(guān)于數(shù)據(jù)庫(kù)的安全技能的，都是熱門。他說，另外一個(gè)不斷增長(zhǎng)的領(lǐng)域是評(píng)估第三方合伙人的風(fēng)險(xiǎn)。評(píng)估第三方的風(fēng)險(xiǎn)主要涉及到監(jiān)管、合規(guī)及風(fēng)險(xiǎn)等，企業(yè)所接受的工作可能是上述技能的混合。
Bump說，這意味著知道哪種安全技能適合單位的需要，并且知道這種安全技能的發(fā)展方向。這是安全工作的一個(gè)動(dòng)態(tài)變化。
ClearanceJobs.com的Lesser認(rèn)為，聯(lián)邦政府機(jī)構(gòu)和合約人公司中最空缺的工作是信息安全和保險(xiǎn)專家。這些工作包括DoD最新的可進(jìn)行深透測(cè)試的道德黑客認(rèn)證。
3、風(fēng)險(xiǎn)管理
最近由思科對(duì)全球的CCIE進(jìn)行了一項(xiàng)調(diào)查，其中有60%的被調(diào)查者認(rèn)為安全和風(fēng)險(xiǎn)管理將會(huì)在未來的五年內(nèi)成為最急需的技能。
思科的安全解決方案營(yíng)銷主管Fred Kost認(rèn)為，有越來越多的單位在考慮如何部署安全，以便于將企業(yè)所面臨的風(fēng)險(xiǎn)最小化。他說，他們更多的客戶正在尋找能夠進(jìn)行防御并能夠支持業(yè)務(wù)運(yùn)作的人員?？蛻魝?cè)诳紤]合規(guī)問題、風(fēng)險(xiǎn)管理問題，還有更寬廣的業(yè)務(wù)，即如何部署安全從而將風(fēng)險(xiǎn)趕出企業(yè)。
他說，現(xiàn)在，也有更多的安全工作適合于更多的人員類型。他說，如果讓你監(jiān)視一個(gè)控制臺(tái)，并查找事件，那么，這就是一套技能。如果你正在評(píng)估企業(yè)風(fēng)險(xiǎn)或者正在處理審計(jì)和合規(guī)，這又是另一套技能。比起過去，這種狀況為當(dāng)今的安全專家創(chuàng)造了更多的機(jī)會(huì)。
4、業(yè)務(wù)的敏銳性
當(dāng)今的許多IT安全工作超出了技術(shù)的范圍，要求安全專家理解企業(yè)業(yè)務(wù)是如何運(yùn)作的，還要知道安全如何支持這些企業(yè)和業(yè)務(wù)，并且能夠保護(hù)企業(yè)。
思科的一種新認(rèn)證就反映了這種朝著更現(xiàn)實(shí)的經(jīng)驗(yàn)的轉(zhuǎn)變：思科認(rèn)證架構(gòu)師。根據(jù)思科的說法，思科認(rèn)證架構(gòu)師必須能夠清晰的說出特定安全或網(wǎng)絡(luò)技術(shù)的企業(yè)價(jià)值，只有這樣才能夠滿足要求。
Fred Kost說，所以，例如，在兩家銀行合并時(shí)，安全專家需要能夠理解整合運(yùn)營(yíng)的業(yè)務(wù)需求，然后選擇實(shí)現(xiàn)這些需求的適當(dāng)技術(shù)。這些安全專家擁有雄厚的技術(shù)背景，但是還要把技術(shù)轉(zhuǎn)換成企業(yè)的需要。他們?cè)诖笮偷慕鉀Q方案部署和維護(hù)方面擁有大量的經(jīng)驗(yàn)。
同時(shí)，找工作的人最大的一個(gè)錯(cuò)誤是，以獲取實(shí)際的工作經(jīng)驗(yàn)（包括對(duì)企業(yè)業(yè)務(wù)的泄露）為代價(jià)，過分強(qiáng)調(diào)認(rèn)證。
有些找工作的人總在說，我有認(rèn)證或我有經(jīng)驗(yàn)。在這些人當(dāng)中存在著爭(zhēng)議，Lesser認(rèn)為，應(yīng)當(dāng)將兩者結(jié)合起來。他認(rèn)為，認(rèn)證對(duì)于在政府工作的任何人來說都是必須的。但是認(rèn)證并非全部，也并非終點(diǎn)。現(xiàn)實(shí)的經(jīng)驗(yàn)也是很重要的。