在最近的研究“现代信息安全专业人员画像”中,卡巴斯基对全球网络安全人员短缺问题进行了调查,分析了企业缺乏网络安全专家的确切原因,并确定了他们评估和提升网络安全工作人员技能的方法。[1]
根据这项研究,企业在提升网络安全团队的技能方面投入了大量资金:43%的企业表示,他们通常每年在信息安全课程上花费10万至20万美元,31%的企业甚至在培训项目上投入超过20万美元。其余26%的企业表示,他们通常为教育项目支付的费用不到10万美元。[2]
此外,研究还发现,许多网络安全专业人员(39%)认为企业培训还不够。为了在市场上保持竞争力并使知识和技能保持最新,他们愿意自费参加额外的培训课程。
然而,网络安全从业者也注意到,教育市场难以跟上快速变化的行业,无法按时提供必要的培训计划。研究表明,对于那些寻求网络安全培训的人来说,主要问题是缺乏涵盖新的挑战性领域的课程(49%)。
47%的受访者还表示,接受培训的学员往往会忘记他们学到的知识,因为他们没有机会应用新获得的知识,因此这些课程对他们来说毫无用处。45%的从业人员还认为,需要特殊的培训先决条件,如编程和高级数学知识,这些条件在预注册阶段没有明确说明,也带来了问题。
“随着威胁形势的不断变化,企业应不断提高其网络安全人员的技能,以便做好准备应对复杂的攻击。对于那些旨在留住现有员工并让他们获得职业发展,而不是不断寻找新的候选人并检查其专业背景和实际技能的企业来说,在公司内部培养高知名度的专家并积累内部专业知识不失为一种有效的策略。对于由托管服务提供商提供服务的组织,在内部保持相当高的专业知识水平并在与他们讨论服务范围和服务级别协议时使用相同的语言也很重要,”卡巴斯基企业业务专家中心副总裁Veniamin Levtsov评论说。
为了有效地提升网络安全团队的技能,卡巴斯基专家建议采取以下措施:
· 为员工提供高质量的网络安全课程,使他们了解最新知识。通过面向实际的卡巴斯基专家培训,信息安全专业人员可以提高他们的硬技能,以便他们能够保护自己的公司免受攻击。
· 使用交互式模拟器来测试员工的专业知识,评估他们在关键情况下的思维方式。例如,可以利用卡巴斯基推出的交互式勒索软件游戏,观察公司的IT部门如何部署、调查和应对攻击,并与游戏中的主角一起做出重要决策。
· 让您的信息安全专业人员深入了解针对您组织的网络威胁。最新的威胁情报将为他们提供整个事件管理周期的丰富而有意义的概述,并有助于及时识别网络风险。
有关全球合格的信息安全专业人员短缺问题的更多调查结果,可请点击这个链接阅读报告全文。
[1]在这项研究中,卡巴斯基调查了1,012名信息安全专业人员,他们分别来自美国、DACH(德国、奥地利、瑞士)、英国、法国、意大利、西班牙、Benelux(比利时、荷兰和卢森堡)、巴西、墨西哥、阿根廷、哥伦比亚和智利、沙特阿拉伯、阿联酋、土耳其、南非、尼日利亚、埃及、印度、日本、中国、马来西亚、新加坡、印度尼西亚和俄罗斯。
[2]这些数据是基于对一个开放性问题的回答而得出的。