保障未來:網路安全準備狀態報告
第 6 章:人才短缺
對許多組織而言,網路安全人才短缺嚴重影響了他們應對和防禦日益增加的威脅的能力。最近的一項調查顯示,60% 的受訪者表示,人才短缺是實現安全防範的關鍵挑戰。
網路安全專業人員的需求遠遠超過供應。根據 ISC2 2022 年的一項調查,全球網路安全專業人員缺口約 340 萬。為什麼會出現如此巨大的缺口?網路安全威脅的數量�和種類不斷增加是核心原因。組織需要更多人才來識別安全趨勢,實施正確的解決方案以應對威脅,並在未來管理這些解決方案。
有趣的是,組織實施的安全解決方案的數量似乎對其是否報告人員短缺並沒有太大影響。擁有更多安全解決方案的公司感受到的技術人才短缺的壓力僅僅略微更大一些。研究表明,在擁有 15 個或更多網路安全解決方案的組織中,65% 可能會報告人才短缺。同時,在擁有少於 15 個解決方案的組織中,也有 60% 報告了人員短缺。換句話說,無論組織部署了多少個解決方案,都會感受到人才短缺。
然而,組織採用的解決方案類型可能會影響其尋找合格團隊成員的能力。隨著安全團隊實施更多專業化工具,他們越來越多地尋找具有專業技能的人員來管理這些工具。例如,安全團隊可能會部署來自多個雲端提供者的工具。即使這些工具有一些共同點,每個工具也可能具有獨特的介面和工作流程。團隊通常會努力尋找具有合適技能和經驗的人員。
鑑於人員的整體短缺,許多組織可以從訓練新員工和現有員工中受益,而不是主要專注於招募具有恰好合適技能和經驗的人員。建立一套完整的培訓計畫,長遠來看也能提升組織的敏捷度:隨著威脅的演變,安全團隊需要採取適當的措施,讓現有人員快速掌握最新的技術和策略。
解決人才短缺問題至關重要,因為人手不足可能會造成嚴重後果。在人手不足的組織中,54% 的組織在過去 12 個月內發生過 10 起或以上的安全事件。當然,在安全事件整體發生率較高的環境下,增加人員並非萬靈藥。在人員充足的組織中,47% 的組織在過去一年內發生過 10 起或以上的安全事件。
大多數組織無法影響技術熟練、經驗豐富的網路安全專業人員的供應。而且由於預算始終是個問題,很少有組織能夠從其他公司聘請專業人員。
然而,組織確實有能力調整其安全和安全營運方法,從而最大限度地減少人才短缺的影響。更重視訓練可以減少尋找具備特定技能之人員的需求。此外,改善組織的安全文化可以減輕招募更多人員的壓力。
採用更全面的安全方法也至關重要。透過實施單一統一的平台而非眾多單點解決方案,安全團隊可以增強對其 IT 環境的控制力和可見度,而無需過度消耗人力資源。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其一。
重點
閱讀本文後,您將能夠瞭解:
對超過 4,000 名網路安全專業人士進行調查所取得的結果
關於安全事件、準備狀態和成果的新發現
CISO 為保障組織未來和實現更好成果的考量事項