缺口百万,网安人才只能“看缘分” 年薪百万,CSO更是“一将难求”
“企业想做好安全,最大的难题是:贵!”
时近年关,几乎每周都有“裁员”消息传来,而令华住集团副总裁王彬头疼的,却是招不到人,“网络信息安全方面的人才,薪酬普遍比一般程序员高出1.5-2倍,并且不一定合适!”
和王彬有同样烦恼的,还有安信证券安全总监李维春。2014年开始,李维春便发现,很难招到合适的人,这种状态一直持续到2019年。今年年初,有个原本要入职的“小伙伴”,阴差阳错“擦肩而过”,直接导致岗位空缺近一年,“只能看缘分”。
网络安全人才缺口大,并非新闻,却从未像2019年末这样令人关注。
2017年,工信部调查显示,全国网络安全人才有60多万缺口。如今,两年多过去,随着5G、AI、边缘计算、物联网……等通信网络和科技升维,传统社会和产业正在逐渐数据化,越来越多的场景面临安全挑战,国内信息安全专业媒体——安在新媒体创始人张耀疆认为,安全人才缺口只增不减,“甚至可能超过百万。”
最近,安在帮合作企业发布了几则招聘启事,“高薪求贤,无上限”,然而,“适者寥寥”,张耀疆无奈地摇了摇头,“尤其CSO(首席安全官),更是稀缺资源,可遇而不可求。”
萧条职场中的“一枝独秀”
对程序员而言,2019年是不友善的。
“裁员”的声音,从年初持续到年末,技术是首当其冲被“优化”的岗位,程序员被裁员的新闻,从“刷屏10W+”逐渐变得习以为常。
张耀疆的团队不久前曾做了一个调查,2019年,“找工作”的资讯指数,在2019年8月初,达到了565万的巅峰量,比前两年几十几百的资讯量足足高出数万倍。但与此同时,以“网络安全”为关键词的资讯指数,从往年最高154万左右,暴涨到2019年11月中旬的518万左右。
2019年,信息泄漏形势严峻。数据统计,2019年信息泄漏数量较以往超过54%,其中43%的网络攻击针对的都是企业,而这些企业中只有14%采取了防御措施。
2018年8月,售卖某集团数据的犯罪嫌疑人被警方抓获。如今,华住信息安全中心已经与IT部门并行,成为华住集团一级部门。“酒店行业中,华住集团在安全方面的投入,无论人员和资源,都是顶配。”王彬告诉《IT时报》记者,目前华住信息安全中心有20多名成员,每年安全投入占总IT投入的10%-15%,而一般企业的这个数字在5%左右。
安全人员的薪酬指数也颇为可观。
360网络安全大学联合猎聘发布的《2019网络安全行业人才发展研究报告》显示,网络安全职位平均薪资在14.58万~48.21万之间,对照欧孚科技联手商学院共享经济联盟硅谷研究院发布的2019《欧孚薪酬指数》,网安职位中的安全运维、市场运营、应急响应、渗透测试等职位,其14-20万的年薪,远高于与之相对应的普通行业专员6-8万的年薪,而项目经理、安全管理、安全专家等大致相当于经理级别的网安人才,25-49万的年薪,也高于各行业同级别的18-39万。
难以填补的人才缺口
然而,尽管网络安全人才在2019年职场大赛中一枝独秀,多名网络安全界人士依然苦恼于招不到人。网易易盾相关负责人表示,相较于普通开发岗位,安全类岗位招聘难度大很多,甚至连主动投递简历的人都很少,基本要靠HR主动沟通。
在安在发布的招聘信息中,记者看到,某手机厂商对其招聘“云安全工程师”的必备技能是这样要求的:熟悉windows、Linux操作系统运行机制、了解各类安全产品、熟悉ELK\SPL搜索等各类日志分析工具、掌握python、java、go任一开发语言……
“很多人以为,只要是程序员就能做安全,这完全是一种误解。”今年,人才市场上寻找新机会的程序员数量成倍增加,但王彬并没有看到特别合适的人。
企业建设网络安全体系通常采用两种方式:自研自建或购买第三方产品集成,大型互联网公司人才济济,大多自研,而企业,尤其是传统企业,受限财力、人力,以后者居多,但这要求安全人员在选择产品和合作伙伴时,必须对其有足够的认识和判断能力,“安全人员不仅要懂各种系统和网络,还要懂业务,了解产品的哪些逻辑可能产生风险,更要会沟通,这样的人才,很少有现成的,”王彬团队里的成员,不少都是自己培养的。
2019年,随着网络安全等级保护制度2.0标准正式发布,对中小型机构的安全等级提出更高要求,也让网安人才的需求缺口进一步扩大。
稀缺资源CSO
如果说网安人才是企业技术型岗位中的皇冠,那CISO(首席信息安全官)/CSO(首席安全官)便是皇冠上的那颗明珠。
“安全大环境在变。”作为安全领域的垂直媒体,张耀疆在这块领域浸淫十几年,在他看来,近几年,安全的概念发生巨大变化,攻防交错升级,技术快速迭代,领域愈发细分,产业迅猛扩展,传统安全变成了“泛安全”,狭义安全变成了“大安全”,“除了网络和系统,物理环境、人员意识、业务应用、法律合规、商业情报,数据隐私等等,都入了安全之眼。”
华住信息安全中心在集团内拥有相当的独立性和话语权,“安全是红线,它不能妥协于业务开发周期和预算框架,否则不足以构建整个公司的防御底线。”也正因此,作为整个安全部门的负责人,王彬不仅要懂复杂的安全技术,拥有系统的专业知识和能力,还必须有处理社会问题的沟通能力,熟悉公司的业务产品,对国家和行业各种政策清晰明了,“作为集团一级部门负责人,这些都是基本要求。”
“网安领域的顶级人才,是稀缺资源。”张耀疆告诉记者,像王彬这样在网络安全公司、大型互联网公司有近20年从业经验的管理型、复合型人才,“一将难求”。
高端人才养成计划
各种招聘网站上,CSO的薪酬基本在月薪30K-60K之间,通常要求10年以上网络安全领域工作经验,负责公司整体安全体系建设,完成公司整体安全策略及方案的制订及推进落地实施。
王彬认为,具有良好背景的安全从业人员、风控负责人、IT负责人、审计负责人、内控负责人都是CSO的候选人员,“一些大型传统企业给出的薪酬已经与互联网公司基本持平,而且直接向CEO或者董事会负责,职业前景可期。”
张耀疆告诉记者,真正的“高手”都是通过猎头寻找,年薪百万以上的CSO并不鲜见,但据他所知,这个圈子很小,基本都是成熟人才在不同企业间轮转,能够做到融合大安全、隐私保护、数字风险管理等领域专业的企业领导者,非常少,“以往大家对网安人才的关注更多在于技术或运营方面,却忽略了CSO这个角色,加之国内还没有专门针对CSO的培养机制,更缺乏有利于CSO成长的环境,已在CSO位置的,也多是技术转型、临时授命加自我摸索而成,普遍缺乏履职所需专业技能和职业素养,其职场提升也存在明显的瓶颈。”
春节后,安在的超级CSO研修班就要开课了,张耀疆集齐了16位业内大咖,要为网安群体打造一个“CSO养成计划”。导师阵容可谓“豪华”:既有网络安全领域的大咖,如上海交通大学网络空间安全学院院长谷大武、百度安全总经理马杰、赛博英杰创始人及董事长谭晓生;也有西安交通大学苏州信息安全法律研究中心主任马民虎等法律专业人士讲授合规政策;UCloud创始人兼CEO季昕华则告诉你,CEO需要什么样的CSO……“这应该是国内第一个CSO专业研修班,我们希望,它可以成为国内CSO的‘黄埔军校’,打开网安高手的职业通道。”