培植資安人力是全球重視的議題,了解臺灣本身的需求之餘,國際間的現況也影響整體供需發展。為了瞭解全球的態勢,我們特別統整數個重要的資安人才調查報告。

最大技能需求並非硬性技術,而是溝通領導等軟性技能

首先,在資安人力需求方面,從國際資訊系統安全認證協會(ISC)²的資安人力研究報告來看,2022年10月底的最新報告顯示,估計2022年全球資安勞動力規模,已增至465萬人,相較於前一年度報告中指出,2021年全球資安勞動力規模為419萬人,明顯多出1成;不僅如此,在資安人力缺口方面,2022年已達343萬人,比2021年公布的272萬人,更加擴大。

在這份數據當中,亦呈現近年全球資安勞動力的發展規模。以2020到2021年間為例,全球呈現20%的增長,當中除了美國、歐洲、亞太都有顯著增長,受關注的是,德國、新加坡的成長幅度更是高達165%與61%,顯示兩國資安人力市場有明顯的擴大。

在多份資安人力相關的報告與調查中,還呈現了幾個重要的態勢。例如,在國際電腦稽核協會(ISACA)2022網路安全狀況報告中,指出資安人才最大技能缺口,第一是溝通、靈活性、領導等的軟性技能,其次是雲端運算、資安控制。顯然,資安人才需要的不只是技術上的硬實力,軟實力更受看重。

在資安業者Fortinet的2022年網路安全技能差距調查報告則顯示,全球企業找尋的資安人才中,有半數組織表示,最需要雲端安全方面的資安工作角色,其次為安全維運分析師、資安管理人員、資安架構師。

特別一提的是,資安意識與訓練管理者排名第五,比起網路架構師、DevSecOps專家、事件應變專家的排名還高。

而從Cyberseek資料來看,儘管主要針對美國市場統計,但也相當具參考性。具體而言,在美國國家安全教育倡議組織(NICE)及LighCast、CompTIA共同推動的CyberSeek網站上,以互動式圖表列出美國當地資安就業市場的現況,特別的是,當中顯示全國與各州當地市場企業招募的資安職務數量排名。若以該國整體市場來看,需求較高的前三大工作職缺,分別是:資安分析師、軟體開發人員、滲透測試與弱點測試人員,是目前當地最受歡迎的資安職務。

此外,在不同調查報告中,我們認為顯示了下列四大態勢。

一、近年企業更重視多元化團隊,因此招聘新畢業生,對女性、少數族群,甚至是退伍軍人,都變得更加積極。

根據資安業者Fortinet發布的2022 cybersecurity skills gap報告指出,過去3年有87%比例的組織表示,當招聘新畢業生時,積極尋求實現多元化團隊的目標。另外,有88%的企業積極招聘更多女性,有67%積極招聘少數族群,有53%刻意尋找退伍軍人。整體而言,臺灣近年已逐漸在強調資安女力的崛起,但對於少數族群、軍人的招聘議題,在國內是較少聽聞。

二、企業評定資安人選符合資格的重要因素,仍以先前有實務經驗為主,顯示資安防護急迫,因此偏好資安熟手。

在ISACA的2022網路安全狀況報告中,關於企業如何識別資安人員是否有資格的調查結果中,最主要的因素仍是「先前的資安實務經驗」(認為非常重要占73%),「證明專業能力的學歷、文件或證書」排第二(認為非常重要占36%,有一些重要佔52%),「實際操作訓練」排第三(認為非常重要占25%,有一些重要佔56%),其他依序為:員工推薦、大學學位與協會會員。

三、雖然企業挑選人才看重實務經驗,證照居次,但其實要找到有證照的資安人才,並不容易。

根據資安業者Fortinet的報告指出,有90%的企業表示,更願意雇用擁有技術證照的人,但也有73%企業表示,很難找到擁有這些證照的人。而這也是為何有90%組織願意為員工的培訓和認證付費的原因。

四、一位資安專業人員要花多少時間,職能才能趨於熟練?普遍認為需耗費3至5年才能養成。

根據Enterprise Strategy Group(ESG)、資訊系統安全協會(ISSA)的2021年資安專業人士生涯時代報告,一位資安專業人員需要多久時間才能熟練掌握相關技能?在受訪者的看法中,回答需要5年以上的比例有17%,需3至5年為35%,需要2至3年為25%,另外回答至少1年為3%。

國際資訊系統安全認證協會(ISC)²在2022年發布的資安人力研究報告,指出全球資安勞動力持續增長,但專業人才需求的差距也在擴大。他們估計2022全球資安人力缺口為343萬人,比前一年度的272萬更多,從地區別來看,2022年歐洲與亞太的人才需求明顯高漲。

根據國際電腦稽核協會(ISACA)的2022網路安全狀況報告指出,在資訊安全人力發展的面向中,關於受訪企業認為資安人才最大技能缺口一題,軟性技能(54%)為第一,而今年新增的雲端運算項目居第二(52%),資安控制實施第三(34%),其次為撰寫程式碼技能,以及軟體開發、資料與網路相關主題。

在國際資訊系統安全認證協會(ISC)²的2021年資安人力研究報告中,特別點出全球近三年的資安勞動力規模成長態勢,可以看出呈現了逐年增長情形,不僅是美國、歐洲與亞太,若以個別國家來看,德國的資安勞動力規模成長最顯著,從17.5萬人躍升至46.4萬人,而新加坡也從5.7萬人增長至9.2萬人。

填補雲端資安人才是當前大難題,求才、留才不易也是挑戰

特別的是,還有其他資安人力調查呈現的結果同樣值得關注。例如,在ISC²的2022網路安全人力研究報告提到,自動化在資安領域越普及,有57%的組織,已經採用自動化,並有26%企業表示,有意在未來採用。

我們可以想見,自動化不太可能取代資安人員,但如果能將高度重複、可規則化的流程自動化後,能夠釋放更多員工的時間,讓他們專注於更高層次的任務。

該報告也指出,高達7成企業表示資安人才短缺,然而,要解決這樣的問題並不容易,該怎麼做?

他們在調查中發現一些組織可著重的三大關鍵。第一,公司決策者應積極聆聽員工的聲音,才能瞭解人員短缺的具體情況;第二,重視內部培訓,包括工作輪調、指導計畫,以及鼓勵非IT員工學習網路安全,他們發現有這三項措施的組織,最不容易出現人員短缺的情形;第三,招聘資安人才時,應與人力資源部門合作,而在此項調查中顯示,僅有52%受訪者表示,雙方有良好工作關係。

此外,公司文化對於員工的工作體驗,也會帶來很大程度的影響,而這將反映在留才的挑戰上。

值得一提的是,2023年我們看到資安業者Fortinet,在臺灣突然公開表達他們的觀察。該公司針對全球資安技能差距的議題,特別在臺灣舉辦記者會說明,以外商而言相當少見。

一方面是該公司先前曾發布相關的調查報告,再加上該公司本身在臺設有研發團隊,綜合這些因素之後,可能促使他們決定在臺公開揭露這方面的見解,表現他們對於臺灣資安人才招募與培育的重視。

其中一項調查結果,相當引人注目,那就是:資安能力短缺是否會為企業組織帶來額外的風險?Fortinet北亞區技術總監劉乙表示,全球有68%比例的企業表示肯定,然而,有56%的企業認為難以招聘人才,54%企業認為難以留住資安人才。

關於企業組織最需要哪些資安能力?在最多選擇三種的情況下,第一名是雲端安全,這顯示雲端資安人員目前相當欠缺,大家都搶著招募,第二名是威脅情資,其次為惡意程式分析、安全系統維運,以及資安基礎建設。

至於企業目前最難填補的資安人才角色,以雲端安全與安全維運這兩類的需求最高,其次為網路安全、軟體開發安全與風險管理。

根據Fortinet的2022網路安全技能差距報告示,有半數組織表示,最需要雲端安全方面的資安工作角色,其次為安全維運分析師、資安管理人員。

在ISACA的2022網路安全狀況報告中,關於企業如何識別資安人員是否有資格的調查結果中,最主要的因素仍是「先前的資安實務經驗」(認為非常重要占73%),「證明專業能力的學歷、文件或證書」排第二(認為非常重要占36%,認為有一些重要佔52%),「實際操作訓練」排第三(認為非常重要占25%,認為有一些重要佔56%),其他依序為員工推薦、大學學位與協會會員。

在美國國家安全教育倡議組織(NICE)及LighCast、CompTIA共同推動的CyberSeek網站上,以互動式圖表列出美國當地資安就業市場的現況,特別的是,當中顯示了全國與各州當地市場企業招募的資安職務數量的排名,等於是目前最受歡迎的資安職務,從該國整體市場來看,以資安分析師、軟體開發人員這兩類人才最受歡迎,需求最高。

根據The Life and Times of Cybersecurity Professionals 2021報告中指出,一位資安專業人員需要多久時間才能熟練掌握相關技能?也就是能有豐富知識並具高效率。在受訪者的看法中,回答需要5年以上時間的比例有17%,需要3-5年時間的比例為35%,需要2-3年時間的比例為25%,另外回答至少1年的比例為3%。

根據資安業者Fortinet指出,有8成3企業受訪者表示,他們持續會將多元化團隊招聘,作為未來2到3年目標之一,而調查中也指出,企業組織有針對女性、少數族群、軍人的招聘計畫,數量都在7成以上。整體而言,臺灣近年已逐漸在強調資安女力的崛起,但對於少數族群、軍人的招聘議題,在國內是較少聽聞。

面對資安技能欠缺的議題,資安業者Fortinet近年也有全球性的調查報告,特別的是,該公司今年4月亦在臺公開揭露他們的觀察,以外商而言相當少見。他們不僅說明了全球對於資安技能需求的調查現況,也指出普遍受訪者認為雲端安全與安全維運的職務,是企業最難填補的資安角色。(攝影/羅正漢)

 

 更多相關報導 

熱門新聞

Advertisement