数字技能差距,特别是在网络安全领域,并不是一个新现象。这个问题现在因职业倦怠的普遍存在而加剧,这一问题在 Black Hat USA 2022 上被提出
网络安全领域内对资源问题的讨论并不是一个新现象。根据 网络安全企业350 年至 2013 年间,全球网络安全职位空缺数量增长了 2021%,从 1 万个增加到 3.5 万个。该文章进一步细分了这个数字,估计美国有 1 万网络安全工作者,截至 2021 年 715,000 月,大约还有 XNUMX 个额外的空缺职位。这些数字说明了资源问题;他们还讲述了一个行业的故事,该行业目前仅依靠其所需资源的三分之二左右运行。
Stacy Rioux 博士在 Black Hat US 2022 日程中的演讲引起了我的注意。临床和组织/商业心理学 –努力成为每个人的一切:让我们谈谈职业倦怠。在网络安全行业人才严重短缺的情况下,奋战在第一线的人很容易出现倦怠。我的假设是,该演示将通过案例研究和具体示例深入探讨网络安全团队所承受的压力,然后如何认识到问题的存在以及可以帮助减轻某人遭受的痛苦的步骤。不幸的是,演讲中的例子很少,更多的是关于倦怠问题的演讲,而不是在网络安全环境中识别和缓解倦怠问题。
发现倦怠的迹象非常重要,其中一些明显的迹象包括疲倦、愤世嫉俗、不享受工作以及可能饮酒或饮食过多,不一定达到上瘾的程度,而是作为一种安慰措施。这四者中的两个(也许是三个)可能在几乎所有黑帽与会者中都可以识别:由于拉斯维加斯派对文化而感到疲倦,饮酒过多,这是拉斯维加斯,最后,愤世嫉俗似乎是网络安全行业的工作要求 - 我们条件是 不信任任何事物并验证一切.
更严肃地说,这是一个极其重要的问题,是所有大大小小的公司都需要认识和解决的问题。 Stacy对职业倦怠的定义是“职业倦怠在临床上被定义为由于工作中长期情绪和人际压力因素而发生的一种心理综合症”,其中“人际”解释为“与人与人之间的关系或沟通有关”。
演示中涉及的、与网络安全特别相关的倦怠标识符是:
- 高脑力负荷
- 网络攻击的预期
- 人员短缺、工作量增加
- 努力在组织中找到自己的位置
- 工作在组织中常常不被重视
有一些策略可以帮助应对倦怠,我建议花时间研究它们以更好地理解。有能力的人力资源部门或专业人员应该能够让员工走上正确的道路,或者提供一些有关该主题的合理阅读材料。
在我看来,这个问题是由于缺乏经验丰富的人才、过去两年多来我们目睹的数字化转型加速以及网络安全团队需要应对永无休止的网络攻击造成的。这种短缺现象即将结束;如果这是真的就好了!许多公司要求候选人接受过学位教育,并拥有行业认可的网络安全证书 拥有 CISSP 等资格并拥有 3-5 年经验。这些要求可能(至少是造成网络安全职位空缺的一个因素)。
雇主需要降低他们对网络安全工作的证书或教育要求,并让一些经验不足但有兴趣并热衷于工作的人进入工作场所,以便他们获得经验并成为防御未来攻击所需的专家人才。在我看来,网络安全也必须融入高中或更年轻教育系统的所有课程主题中。我们谈到需要在产品设计的所有部分、业务流程的每个部分等中考虑网络安全,因此它可能属于课堂上教授的每个主题。即使是艺术等创造性人才的课程也会通过提供对以下内容的理解而受益: 如何保护 NFT:很少有主题不会从网络安全的理解和欣赏中受益。
以这种方式使网络安全正常化有望避免明天的人才短缺,更重要的是避免那些选择网络安全职业的人的倦怠。
