世界经济论坛发布《战略网络安全人才框架》

导语

2024年4月，世界经济论坛发布了《战略网络安全人才框架》报告。报告提出，当今全球网络安全专业人员短缺近400万，全球对合格从业人员的需求逐年增加，但短期内从业人员短缺现象并没有得到缓解的迹象。元战略编译报告主要内容，旨在为探讨网络安全行业劳动力短缺现象和网络安全人才培养提供参考。

一、简介

劳动力短缺是一个全球性问题。虽然网络安全劳动力在2022年至2023年间增长了12.6%，但全球网络安全专业人员短缺近400万。

从区域角度看，亚太地区的网络安全人才短缺最为明显，该地区网络安全人才缺口超过250万，其次是北美地区，该地区的网络安全人才缺口接近52.2万人，在总人口超过14亿的非洲，经过认证的网络安全专业人员数量估计只有2万人左右。从国家层面看，中国、印度、美国和巴西的人才短缺问题尤为明显。尽管印度是拥有世界上最大青年人口的国家之一，拥有全球31.7%的科学、技术、工程和数学（STEM）毕业生，但到2023年5月，印度估计有4万个网络安全专业人员的职位空缺。由于人才短缺，这些职位空缺中有30%无法填补。同样，截至2024年1月，美国私营和公共部门估计有448000个网络安全职位空缺。

网络安全人员短缺的根本原因有很多。其中一个关键因素是网络安全形势的快速演变，其发展速度超过了相应劳动力的发展速度。此外，生成式人工智能、量子计算和物联网等尖端技术的扩散带来的新风险，扩大了攻击面，因此进一步放大了对配备不断发展的专业知识的网络安全劳动力的需求。其次，网络安全部门也明显缺乏多样性，因此，91%的组织认为有必要推动网络安全领域的人员多样化。其他因素包括某些雇主（主要来自公共部门）无法提供与他组织竞争的工资；教育项目之间的不协调；网络安全行业不断变化的需求；以及该领域的职业发展缺乏透明度。

世界经济论坛认识到，单凭一个行动主体无法有效解决网络安全人才短缺问题，因此与50多个公共和私人组织合作，制定了一项战略性网络安全人才框架（CTF），其中包含具体可操作的方法，可帮助组织建立可持续的人才管道。CTF确定的四个优先领域包括：吸引人才进入网络安全领域；教育和培训网络安全专业人员；招募合适的网络安全人才；留住网络安全专业人员。

二、吸引人才进入网络安全领域

1.组织在吸引网安人才时面临的主要挑战

（1）在薪酬和福利方面，与其他组织相比无竞争优势。

（2）由于缺乏标准化的教育途径，需要评估申请人的学历。

（3）需起草精确的职位描述，此外，网络安全部门的招聘经理往往难以用非技术性语言准确表达岗位所需的技能和能力。

（4）需管理早期职业人才在晋升、工作地点等方面的期望。

（5）寻找经验丰富的网络安全专业人员和新兴技术专业人才。

（6）认识到除了高度专业化的专家之外，还需要更广泛的网络安全人才，承认执行基础操作和中间任务的技术人员的关键作用。

（7）针对代表性不足的群体开展的工作不足、领导职位中的多样性代表性不足、对工作与生活平衡的支持不足、语言障碍等问题。

2. 未能吸引人才的后果

（1）工作人员超负荷工作，无法专注于各自的职责和专业发展。

（2）难以执行网络安全法规和满足合规要求。

（3）网络安全措施和投资的优先级不够，注意力被转移。

（4）由于缺乏足够的网络安全人员来监控、应对和减轻网络安全事件的后果，造成经济损失。

（5）组织因无法聘用合适的人才来应对网络安全威胁，造成声誉损失。

3.吸引人才的方法

（1）具有灵活性和适应性，以反映快速发展的威胁、技术和技能要求。

（2）以卓越网络安全的价值观和承诺为基础，充分利用企业品牌和声誉。

（3）优先考虑多样性和包容性，制定多样性目标，并在组织的各个层面展示和强调对包容性的承诺。

（4）与网络安全领域代表性不足的利益相关者的团体或机构建立合作伙伴关系。

（5）提供有竞争力的薪酬和全面的福利待遇。

（6）突出组织内的学习和职业发展机会。

（7）通过投资于培训、技能提升和内部晋升，重点培养内部人才，培养出一批已经熟悉公司文化、流程和系统的网络安全专业人才。

4.实施可操作的方法吸引人才

（1）确保行政领导层认识到网络安全的极端重要性，并全心全意致力于满足网络安全人员的需求。

（2）为招聘网络安全专业人员分配足够的预算。

（3）使用通用语言框架，提高职位描述的准确性和每个工作角色所需的相关能力。

（4）促进与学术机构的合作，推广网络安全职业机会，吸引合格的候选人。

（5）确保人力资源和招聘团队具备有效执行战略所需的技能和培训。

三、教育培训网络安全专业人员

1.确认当前网络安全教育和培训计划中的差距

（1）中小学和大学缺乏全面的网络安全课程，导致网络安全人才缺乏技术或软技能。

（2）对网络安全教育和培训的承诺和资金有限，阻碍了健全计划的制定，限制了教育工作者和学生可用的资源。

（3）缺乏实践学习机会，限制了对网络安全挑战和复杂性的接触，也限制了在现实场景中应用知识的实践经验。

（4）缺乏向中小学、大学和职业学校学生有效传授网络安全概念和技术的合格专业人员。

（5）培训课程与网络安全相关岗位的匹配性不足，会导致培训计划混乱和无效。

（6）世界各地的机构缺乏标准化的网络安全教育方法，导致学习成果和认证标准不一致。

必须指出的是，网络安全课程和教育计划是否应标准化是业内争论的一个话题。一些人认为，需要一定程度的非标准化空间，以反映特定组织的文化和满足目标群体的特定需求；而另一些人则认为，为了确保一致性，与行业要求保持一致，标准化是必要的。

2.未来的网络安全教育和培训应该是什么样的？

（1）将网络安全教育纳入不同学科。

（2）将行业认可的国际专业认证纳入培训计划，学员在完成学业后可参加认证考试。

（3）加大力度将网络安全教育纳入中小学教育。应向所有接触数字技术的学生提供网络安全培训。

（4）确保网络安全课程具有灵活性，能适应不断变化的网络环境。例如，课程应包括有关人工智能等新兴技术的材料。

（5）为有经验的专业人员提供继续教育机会，以了解最新趋势和最佳实践。

（6）将可免费获取的网络安全培训资源整合成结构化的一站式商店，让有志于从事网络安全职业的个人或网络安全专业人员方便地获取这些资源。

（7）在教育计划中利用游戏化和沉浸式学习（如结合虚拟现实和增强现实工具）来激发学习者的积极性和参与性。

3.评估网络安全教育的有效性，确保更好地满足行业需求：

（1）为网络安全教育和培训项目建立清晰可衡量的学习目标。

（2）实施教育/培训前后的评估，以衡量个人进步并识别知识差距。

（3）追踪网络安全行业中受过教育并成功就业的人数。

（4）建立一个“网络安全行业审查委员会”，以审查和评估大学提供的网络安全课程，并颁发徽章，以确保与行业需求和标准的一致性。

（5）进行短期和长期评估，以跟踪完成网络安全教育或培训后转为全职工作的参与者数量，或根据他们接受的教育类型监测员工的表现。

四、招聘合适的网络安全人才

在网络安全领域，招聘通常是一个挑战。2023年的研究表明，56%的组织在招聘网络安全专业人员方面存在困难，其背后的原因包括：

（1）招聘市场上合格候选人的短缺延长了招聘流程。

（2）网络安全招聘经理和人力资源团队之间存在沟通不畅和误解。

（3）缺乏多样性和包容性。

（4）严格的组织政策阻碍了网络安全专业人员的招聘。

随着网络安全就业市场竞争日益激烈，组织需要确保他们拥有全面的招聘方法，以帮助做好准备，并尽量减少仓促的招聘流程。招聘的可行方法应该明确定义组织应该雇佣谁、为什么雇佣、如何雇佣以及在哪里雇佣。还应该为被雇佣的个人概述清晰的职业发展路径。

1.搜索网络安全专业人员

（1）利用在线就业平台寻找网络安全角色和职位候选人。

（2）通过猎头和招聘机构识别被动候选人（那些不积极寻找新工作的人），并帮助组织招聘高质量的候选人。

（3）在网络安全会议和活动中招聘已经从事该领域的专业人士。

（4）招聘人员可以利用黑客马拉松和夺旗赛活动（参与者发现并利用漏洞的网络安全竞赛）识别并雇佣具有工作技能的个人。

（5）使用内部员工推荐计划，高效招聘合格的候选人。

（6）专门针对特定社区（例如女性或退伍军人）的网络小组可以提供接触具有非传统档案的技能候选人的机会。

为了构建一个可持续的网络安全人才渠道，组织应该寻找那些具有快速学习能力和成长型思维的候选人。此外，在寻找人才时，组织应该考虑多样性和包容性，并将它们融入到招聘工作中。

2.技术技能和非技术技能评估和验证方法

（1）利用情景模拟、网络靶场和其他沉浸式仿真。

（2）请求提供参与该领域相关技术竞赛或挑战的证据。

（3）在面试中询问技术问题，以确定候选人是否具备必要的专业知识，或仅仅是对网络安全感兴趣。

（4）查找或请求行业认证，这些认证可以证明在网络安全特定领域的熟练程度。

（5）在网络安全领域，技术技能虽然重要，但考虑其他非技术技能也同样关键，例如沟通技巧、解决问题的能力和团队合作。

（6）进行心理评估以评估候选人的性格特质和领导技能。

（7）在面试中提出基于能力的面试问题，询问他们之前参与的项目以及他们的行为和行动是如何促成项目成功（或失败）的。

（8）请求提供写作样本以评估书面沟通技能、对细节的关注能力以及表达复杂思想的能力。

（9）利用情景模拟来评估候选人在现实情境中的批判性思维技能、决策能力和解决问题的方法。

（10）让候选人进行简短的演讲，以展示他们的研究技能和回答意外问题的能力，以及他们在呈现信息时的自信度。

3.技能优先的方法适用于网络安全吗？

该领域的从业者可能来自非传统途径，包括非学术课程、自学和认证，与正式学位相比，这些途径需要的时间和财务投入要少得多。约56%的网络安全专业人员认为，学位不是网络安全成功职业所必需的。

世界经济论坛报告《优先考虑技能：行动框架》声称，通过直接关注个人实际拥有的技能（而不是它们是如何获得的），可以为更多人提供通往好工作的道路，这比传统方法效果更好。研究得出结论，通过优先考虑技能优先的方法，可以在全球18个不同国家的商业和行业中增加超过1亿人的人才库。

在网络安全领域，技能优先的方法成为解决人才短缺问题的有效解决方案。组织可以通过以下方式实施这种方法：

（1）接受认证、微证书和其他知识证明（例如参加夺旗赛），这些可以展示候选人的技能，并识别他们需要进一步发展的领域。

（2）鼓励对技术领域有热情的员工进行工作轮换，以增加曝光度并促进专业知识的发展。

（3）让来自不同背景和部门的员工参与，分担安全责任。引入竞赛和挑战，如黑客马拉松，有助于从组织内部识别和培养人才。

五、留住网络安全专业人员

从网络安全的角度来看，员工保留是大多数职位面临的问题。员工保留指的是组织保持生产力高、有才能的员工的积极性和动力，让他们愿意留下。这通常涉及通过创造积极的工作环境、提供成长机会和解决员工在其他地方寻求更好机会的因素来减少人员流动。

1.网络安全员工流失的原因

（1）对网络安全专业人员缺乏足够的赏识和认可，这导致成就感降低和动力不足。

（2）不佳的工作文化，导致工作与生活失衡。

（3）领导管理不善，导致网络安全员工的疏离、缺乏联系和不满。

（4）组织预算有限，导致薪资无竞争力。

（5）长期暴露在压力之下，这不仅导致个人绩效下降和整体工作场所幸福感降低，还可能对员工的身心健康产生严重影响，表现为工作倦怠。

2.了解员工流失的影响

（1）延迟项目的开发和实施，阻碍整个组织的创新。

（2）导致知识产权和信息流失，特别是在处理专有技术和设备的组织中。

（3）增加安全漏洞和合规违规的风险，最终影响企业品牌和客户信任。

（4）通过增加工作量，给留下的网络安全专业人员带来更多压力，影响团队士气和绩效。

（5）导致专业知识空白以及专业技能缺失。

（6）为快速填补空缺职位可能导致招聘不合格的候选人。

3. 提高员工保留率的可行方法

（1）评估员工技能，确保人们被安排在最合适的岗位上。

（2）提供个人发展计划，确保晋升的明确性，并赋予员工创造自己工作角色的能力。

（3）倾听员工的声音并采取行动。

（4）确保经理们具备管理团队的软技能。

（5）公司战略保持透明。保证员工了解组织发展方向。

（6）在不同的组织团队中建立足够的网络安全韧性，减少对网络安全团队中少数人的过度依赖。

（7）通过允许员工处理更具挑战性的任务并展示他们的技能和专有技术，使网络安全工作更具吸引力和挑战性，而不是重复性。

（8）为员工的工作提供正确的资源和工具。

（9）通过给予他们可见性和认可（也许是通过认可计划和/或奖项等）来激励和吸引网络安全员工。

（10）创建一个具有网络安全学习机会的吸引人的工作场所（包括网络活动和聚会）以培养社区意识。

4. 在网络安全中优先考虑心理健康

（1）使用专门的健康应用程序，提供资源（如管理压力的技巧、个人恢复力策略、健康研讨会等），以支持员工的福利。

（2）为员工提供正念或基于正念的压力减少训练（MBSR）课程，帮助他们集中注意力。

（3）为初级员工创建导师计划，由高级领导提供指导，传授如何驾驭职业责任并确保工作与生活的平衡。

（4）鼓励个人定期休假，并创造一个支持性环境，重视休息时间。

（5）确保领导层以身作则，优先考虑自己定期休假，并公开沟通。

（6）提供灵活的工作安排，包括远程工作选项、灵活的工作时间、安静的工作空间、员工资源小组等。

（7）增设额外的网络安全中心，以覆盖正常工作时间之外发生的网络安全事件。

5. 人才保留策略

(1) 一个人力发展工具箱，可以支持个人在组织内的发展旅程。

(2) 一个设计良好的入职流程，为员工提供正确的信息和工具，为他们在新角色的初期提供指导。

(3) 员工在网络安全领域内更换角色的机会，例如，从事件响应到威胁情报。

(4) 内部实习机会，使员工能够在不离开组织的情况下探索新角色并发展技能和经验。

(5) 行政领导对福祉的承诺，表明组织关心的是员工本身，而不仅仅是工作人员。

(6) 让员工参与有趣的活动，如社交聚会和团队建设活动，以加强团队成员之间的关系，提高参与度，但也允许员工放松和充电，最终改善团队动态，减轻压力。

(7) 建立监控进展并进行调整以解决任何差距或挑战的机制。

最后，这些方法应该足够灵活，以适应不断变化的劳动力动态和员工反馈。一旦确定了人才保留的方法，制定实施这些方法的行动就变得非常重要。

六、结论

如果不解决网络安全人才短缺问题，可能会对全球安全、经济稳定和技术革新产生连锁反应。决策者必须与公共和私营组织合作，努力激励下一代网络防御者，并为有志于从事该领域职业的个人消除入门障碍。在努力创造积极的工作环境的同时，组织应该投资于教育和培训计划，促进网络安全劳动力的多样性，并为现有员工提供专业发展机会。

话虽如此，这仅仅是解决网络安全人才短缺问题的开端。同时要注意，不同地区和行业的背景、需求和可能性会有所不同，组织必须采取行动，将CTF中方法转化为实践。

（本文内容系“元战略”公众号原创编译，转载时请务必标明来源及作者）

参考来源：世界经济论坛官网

参考题目：Strategic Cybersecurity Talent Framework

参考链接：

https://www.weforum.org/publications/strategic-cybersecurity-talent-framework/

免责声明：文章内容系作者个人观点，如有任何异议，欢迎联系我们！图片来源于网络，如有侵权请联系删除。

编译 | 元战略智库高级研究员

编辑 | 寂谷

审校 | 流景

声明：本文来自元战略，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。