就在上周末,超过 150 个国家受到勒索软件 WannaCry 的网络攻击事件,全球约有超过 20 万名网络用户受害,更别提先前多起大型企业的个资泄漏事件,资讯安全问题已经开始受到企业注重,但问题在于,资安人才真的够多吗?
华尔街日报报导,根据美国网络安全教育中心(CCSE)的调查,2015 年全球资安人才的需求约为 150 万人,估计至 2022 年时,需求将会再扩大 20%,来到 180 万人。
国际电脑稽核协会(ISACA)的统计则显示,2017 年在美国大型企业中,约有 65% 设有资讯安全长(CISO)的职位,较 2016 年的 50% 比例大幅提升。
资安长的条件?
咨询公司 Mercer 也是寻找资安长的企业之一。自 3 月起,技术长 Gail Evans 就一直在寻找适任的资安长,Evans 表示,希望能找到具备足够的执行经验和自信的人才,能够处理这个位置要面对的挑战,来帮公司解决困境。
“我们希望找到一个在面对资安问题时,不会僵住失去思考能力的人”,但在经过 5 位应征者的电话访谈和面试后,Mercer 还是没有找到适合的人才。
做为一个新兴的企业高层职位,资讯安全长必须能和首席执行官一同规划策略,并在危机中与各级主管合作,带领工程师团队前进,运用自己的技术技能来揪出攻击事件幕后的策画者,来解决危机。
根据猎人头公司海德斯哲(Heidrick & Struggles)的合伙人 Phil Seneidermeyer 估计,在多数行业中,经验丰富的资讯安全长的薪资约在 40~50 万美元(约台币 1,200~1,500 万元),若是在金融服务业,薪资还可以达到近 150 万美元(约台币 4,500 万元)。
即使有如此高薪,资安长的工作并不是都适合每一个有对应技能的人。汤森路透(Thomson Reuters)的资安长 Tim McKnight 指出,当危机来临时,资安长必须在几个星期、甚至几个月间承担巨大的压力工作,还得小心违约后果。
McKnight 以建筑的屋顶修缮作为举例,上去工作的人都必须保持平稳情绪工作,维持自己低血压和心跳避免犯错,“对一些人来说,太靠近太阳并不是最好的工作。”
资安人才的缺乏
在加入汤森路透之前,McKnight 曾在奇异电器(GE)、富达投信(Fidelity)、诺格(Northrop Grumman)、英国航太系统(BAE Systems)待过,在资安领域工作了近 17 年,业界只有少数资安长资历能和 McKnight 相较,而海德斯哲的招聘顾问认得所有人。
为何招聘雇问会认识所有资深的资安长?Schneidermeyer 解释,这是因为公司几乎每个星期,都会接到许多通关于他们的询问电话,“这真的很疯狂,非常疯狂。”
根据国际电脑稽核协会和咨商公司 Enterprise 2016 年调查,在受访的 437 位资安人员中,约有 23% 具备资安长资格的人每周会收到 5 次以上的招揽邀约。在这样人才缺乏的情况下,瓦里安医疗系统(Varian Medical Systems)花了 5 个月时间才找到一位适任的资安长。
首席执行官 Jessica Denecour 表示,为了应对越来越复杂的网络攻击,许多企业开始将公司的资讯转移到云端,其中甚至包含具嵌入式感测器的医疗设备,为了避免系统被重新编程或患者的医疗隐私遭曝露,越来越多保健公司开始寻求适任的资安长协助。
“公司和客户所处的环境风险都在变化,企业必须专注在这一点。”
目标百货(Target)在 2014 年雇用了首任资安长,6 个月后就发现客户数据泄漏情况,将近 4,000 万名客户的个人资料遭窃,这个攻击让目标百货损失了近 2.02 亿美元(约台币 60 亿元),也让企业董事会开始关注资安问题。
在全球都缺乏资安人员的情况下,企业不仅需要寻找领导者,也必须提高员工对资安的意识。目标百货的前任资安长 Brad Maiorino 指出,资安长必须持续培训并指导员工,这样即使离任后公司也能保持安全。“即使选择继续前进,你也不会希望资安因为你而分崩离析。”
- For Many Companies, a Good Cyber Chief Is Hard to Find
- Internet Security Education | Center for Cyber Safety and Education
(首图来源:Flickr/Blogtrepreneur CC BY 2.0)
延伸阅读:
- 原来 WannaCry 2.0 是失败试作品,真 3.0 变种版本已开始感染
- WannaCry 勒索软件大举肆虐,善用 NAS 多版本备份让重要档案不被撕票
- 骇客入侵加拿大最大电信,勒索不成竟公开个资