《2023年全球网络安全人才发展报告》的10个关键发现

日前，国际信息系统安全认证联盟（ISC2）发布了2023年度《全球网络安全人才发展报告》。通过对全球14865名网络安全从业者和管理者的访谈调研，报告对当前网络安全从业者的发展状态和主要挑战进行了全面分析和深入研究。研究人员发现：当前，“以保护全球基础设施和系统免受攻击为职责”的网络安全行业正面临巨大的不确定性，经济增长放缓、快速崛起的新攻击手段、不完善的监管要求以及不断扩大的专业技能缺口等因素，都可能会削弱网络安全从业者有效应对威胁的能力。

以下是本次报告的10个关键发现：

对网络安全人才及专业技能的需求持续扩大;
网络安全预算削减对专业人才发展形成严重负面影响;
专业人才和技能短缺情况将长期存在;
网络安全专业人才的工作经验比学历更重要;
网络安全专业人员正面临着前所未有的威胁形势;
网络安全从业者的工作满意度开始下降，但仍然保持了较高的水准;
大量成熟的IT专业人员开始在网络安全领域寻找职业机会;
当前，企业组织对云计算安全专业人员的需求量最大;
企业对AI/ML类人才的需求快速增长;
开展持续地教育和培训是缩小企业网络安全技能差距的有效方法。

1、对网络安全人才及专业技能的需求持续扩大

尽管网络安全行业存在诸多不确定的发展因素，但企业组织对网络安全专业人才以及对他们专业技能的需求仍在继续增长。据ISC2预测，2023年全球网络安全从业者的规模将达到550万，比2022年增长8.7%，新增就业岗位近44万个。从区域来看，2023年几乎所有地区对网络安全人才和技能的需求都在增长，其中，以中东、亚太和北美地区的需求增长尤为显著。

【全球网络安全人才需求状况】

随着需求的持续增长，网络安全人才的应用缺口也在不断扩大。报告数据显示，相比2022年，这一缺口增长了12.6%，这意味着今年全球大约存在近400万名网络安全专业人员的新增需求。其中，亚太地区（尤其是日本和印度）和北美的网络安全人才缺口增幅最大。

【全球网络安全人才缺口现状】

2、网络安全预算削减对专业人才发展形成严重负面影响

当前的宏观经济环境导致成本上升、收入下降和劳动力短缺成为常态。因此，许多组织选择削减开支以优化资产负债表，例如削减预算、裁员、冻结招聘和晋升。网络安全行业也受到了成本削减的影响。调查显示，47%的网络安全工作者经历过与网络安全直接相关的削减，另外28%的人经历过间接性削减，这对网络安全人员造成了严重影响。

【过去一年网络安全行业裁员情况】

显然，削减开支会给网络安全团队带来连锁反应。由于削减，组织正在整合资源和重组，这通常会改变网络安全专业人员的运作方式。53%的受访者表示，削减开支导致了购买或实施新一代网络安全技术的延迟，而40%的受访者表示，他们的安全团队已经重组或在组织内部调动。此外，35%的公司取消了网络安全培训项目，这是发展技能和缩小技能差距的关键资源。71%的网络安全专业人员表示，由于预算投入削减，对他们的工作产生了负面影响。近三分之二的专业人士表示，裁员还会降低生产力、团队协作和应对新兴威胁的能力。

3、专业人才和技能短缺情况将长期存在

尽管企业对网络安全人员的需求旺盛，但是网络安全人员的严重短缺和技能缺口现象将会长期存在。67%的受访者表示，他们的组织缺乏预防和解决安全问题所需的网络安全人员，而34%的受访者表示预算不足是导致这一问题的主要原因，与2022年（29%）相比有所增加。

【安全团队存在一个或多个技能缺口的程度】

调查结果显示，几乎所有组织都存在网络安全技能缺口。92%的网络安全专业人员表示，他们的组织在一个或多个领域存在技能缺口，最常见的是云计算安全、人工智能/机器学习和零信任实施领域。

4、网络安全专业人才的工作经验比学历更重要

报告发现，专业的经验和能力认证比学历更有价值。专业网络安全人才的技能是由教育、培训和经验共同塑造的。当被问及“理想的网络安全候选人的经验和教育背景”时，受访者明确表示，经验和证书最重要。高级网络安全经验（86%）比博士学位（14%）更受青睐。

【高级网络安全经验VS高级博士学位】

经验很重要，即使它不是专门针对网络安全。中级非网络安全技术经验（占比63%）比初级网络安全经验（占比37%）更受青睐。而入门级网络安全经验（占比70%）则比入门级网络安全教育（占比30%）更重要。研究人员认为，任何形式的专业接触都比课堂或虚拟环境中的教育更有价值。

对于专业的网络安全工作者，好奇心、沟通和认证变得越来越重要。网络安全专业人员认为解决问题的能力是他们在工作中最重要的资格特征（占比45%），因此，好奇心/学习渴望（占比39%）、沟通技巧（占比38%）和网络安全认证（占比32%）的价值逐年增长，这一上升趋势反映了现代风险格局的需求。在一个以不稳定为特征的行业中，组织更需要知识渊博、适应性强，并能有效传递信息的专业人员。

5、网络安全专业人员正面临着前所未有的威胁形势

对大多数公司而言，当前的威胁形势非常严峻。75%的受访者认为当前的威胁形势是过去五年来最具挑战性的，这一情况因行业而异。对现代环境的敏感度高于其他行业的医疗保健（79%）、军事（79%）、能源/电力/公用事业（79%）、政府（78%）和制造业（77%）行业的受访者同意/强烈同意：“自2018年以来，他们的威胁水平已达到峰值”。即使是对那些面向大众的企业组织而言，如汽车（64%）、建筑（65%）和电信（69%）等，也是一样的情况。

【认同“当前的威胁形势是过去五年来最具挑战性”的行业比例】

71%的受访者认为，经济不确定性增加了恶意内部人员的风险，这是仅次于员工/技能短缺的第二大挑战（占比38%）。更重要的是，参与这项研究的所有网络安全专业人员中，有一半在过去一年中与恶意内部人员有过直接或间接接触。

【过去12个月网络安全人员面临的头号挑战】

6、工作满意度略有下降，但仍然保持较高的水准

调查显示，尽管存在严重的动荡、不确定的经济和充满挑战性的威胁环境，但网络安全工作者对工作的满意度仍然较高。70%的人报告称他们对现在的工作比较或非常满意，但是这一比例同比还是下降了4%。主要是预算削减和裁员等情况，导致安全运营人员短缺和技能差距，使得今年员工的满意度和总体幸福感略有下降。

【网络安全行业工作满意度】

7、大量成熟的IT专业人员开始进入网络安全领域

80%的网络安全专业人士认为，如今进入网络安全的途径比过去更多，82%的人认为，这是一种积极的现象，因为这些新途径是敏捷职业的产物，也代表了从业人员愿意适应工作环境的不断变化。

报告数据显示，网络安全工作对一些没有网络经验的专业人士变得更加有吸引力。超过一半（占比59%）的招聘经理认为，他们发现技术经验丰富但没有网络安全经验的应聘者越来越多，企业也在接受这一点。51%的人表示，他们的组织正在改变招聘要求，以招聘更多非网络安全背景的人。

动荡的经济环境给网络安全行业带来挑战，但同时也带来了机遇。大多数管理人员（占比52%）认为，技术性裁员给了让更多人参与网络安全的机会，大量熟练的IT专业人员涌入就业市场，这为网络安全团队创造了机会。

对许多人来说，IT是进入网络安全的垫脚石。52%的网络安全专业人员从非网络安全IT职位开启职业生涯。第二受欢迎的途径是获得网络安全认证（占比51%）或在正式培训之外独立学习网络安全概念（占比45%）。

【进入网络安全行业的途径】

8、企业对云计算安全专业人员的需求量最大

与进入该领域的途径一样，对新网络安全技能的需求也在不断发展。云计算安全仍然是最受欢迎的技术技能，但供不应求。网络安全专业人士认为，云计算安全是那些寻求职业发展的人最需要的技能（占比47%）。招聘经理佐证了这一观点，云计算安全（占比32%）连续第二年成为网络安全招聘经理在招聘时最希望获得的技能；此外，风险评估、分析和管理（占比31%）；安全分析（占比28%）；安全工程（占比28%）也是对未来的雇员来说是有吸引力的技能。

导致这种高需求的原因是该领域有经验的网络安全专业人员的供应短缺。研究人员表示，云计算安全是企业安全团队中存在技能缺口的头号领域（占比35%），这只会让这项技能对招聘经理更具吸引力。

【招聘经理（左）和网络安全专业人士（右）对最需要的安全技能的看法】

9、对AI/ ML类人才的需求快速增长中

尽管目前AI/ ML能力并不是招聘经理的首要需求，但在普通网络安全专业人士看来，对人工智能技能的需求正在增长。AI/ML技能（占比28%）是需求技能的前五大类别之一。在去年的研究中，AI/ ML甚至没有进入“最受欢迎的十大技能”，排名接近垫底。在未来几年，随着AI日趋成熟，这种技能的需求可能会激增，并影响网络安全威胁和防御的各个方面。

10、开展持续的教育和培训是缩小企业网络安全技能差距的有效方法

【组织为缓解人才和技能短缺做出地努力】

尽管企业组织普遍存在网络安全人才和技能的缺口，但企业可以通过以下方法来缓解人员短缺和技能缺口带来的网络风险：

采取措施防止或缓解人员短缺。比提供更好的工作条件和创造多样性、公平和包容（DEI）的成长计划都有助于吸引和留住公司内部的专业人才和高技能员工。
提高现有员工的技能。提高员工技能很重要，尤其是在经济不确定时期，许多组织面临招聘冻结。培训计划可以通过分配技能和防止重大技能缺口来缓解员工短缺。调查显示，投资培训的组织与那些没有投资的组织相比，存在关键技能缺口的可能性减少了一半。

了解员工的担忧。调查发现，近65%的初级员工预计，在未来12个月内，其组织的网络安全人员数量将减少。然而，被调查者的资历越高，他们预计未来12个月裁员的可能性就越小。对于网络安全领导者来说，了解底层人员的担忧并就人员配备计划与其进行沟通很重要。