2021 年网络安全岗位角色及职业发展路径研究报告

近日国外安全机构 INFOSEC 发布了他们每年一度的《IT和安全人才招聘研究报告》，该研究报告已在嘶吼编译发布（详见文末附录部分），整篇报告对业内同行寻找工作机会以及对于要入行的人都具备指导意义。在该篇报告中提及了到了《2021 年网络安全岗位角色及职业发展路径清晰度研究报告》，这篇报告从组织设立安全岗位角色、培育安全人才这两方面做了广泛的调查和研究，从最后的结论中可以明显感受到将安全岗位描述标准化、制定人才发展计划对于网络安全人才的选、用、育、留，大有裨益。强烈推荐安全部门主管及招聘 HR 参考。

识别、招聘和留住网络安全人才是我们这个行业面临的最大挑战之一。虽然网络安全工具和技术的进步很重要，但大多数安全事件都是由于网络安全团队人手不足、教育程度低和资源不足造成的。这不是一个小的挑战。去年，INFOSEC 的《2020 IT与网络安全人才招聘研究》(2020 IT & Security Talent Pipeline Study)显示，73% 的美国网络安全招聘经理在填补网络安全职位空缺时面临挑战。报告中提到的挑战总体上包括简历投递人数太少，当然，还包括缺乏足够技能和经验丰富的网络安全专家。

为了更好地了解企业为应对这些挑战而采取的措施，INFOSEC 调查了美国和加拿大370多名网络安全领域的主管，调查了他们用于构建职位描述和发展计划的资源。然后将这些主管在员工培训计划投资、组织填补网络安全角色的能力以及对类似 NICE 网络安全劳动力框架(NICE Framework)等资源的态度的反应进行了比较。本研究项目按团队规模、组织规模和行业类型具体分析了以下几个方面的数据:

职位描述和职业路径清晰度

员工发展计划成熟度

用于创建职位描述和员工发展计划的资源

类似于 NICE 这类框架的采用率

对组织招聘和雇用网络安全候选人能力的满意度

尽管用于指导职位描述和员工发展计划的资源在所有组织规模和行业中存在很大差异，但采用像NICE 框架这样的工具对组织填补网络安全角色的能力有最大的影响。总体上来看：

81% 的公司表示，他们至少在考虑将网络安全职位描述与 NICE 框架保持一致

同一群体中表示非常明确的网络安全工作角色和职责的可能性高出676%

与不打算将工作描述映射到 NICE 框架的组织相比，57% 的受访者对自己填补网络安全角色空缺的能力表示满意

NICE 框架的好处

INFOSEC 采用的调查方法

《2021 年网络安全角色与职业路径清晰度研究》调查了来自美国和加拿大至少有 1000 名员工的组织里的 370 多名 IT 和安全团队主管。数据收集于 2020 年底，分析于 2021 年初。INFOSEC 从自己的数据库和领先证券市场研究公司奥斯特曼(Osterman Research)的数据库中征求反馈，目的是使调查结果多样化。受访者来自不同的行业和规模大小不同的公司，以确保具有代表性和可靠的数据集，并获得参与调查的激励。

该项目由 INFOSEC 营销副总裁 Megan Sawle 指导和撰写，数据分析工作是与威斯康星大学研究项目经理以及 MolMoi 生物科学首席执行官 Margaret Phillips 博士合作进行。

IT和网络安全团队会随着企业规模而扩大

长期以来，网络安全团队的规模、头衔以及职责的神秘和模糊一直困扰着安全领域的科技行业分析师。即使是规模最大、最成熟的且数据最丰富的供应商，也未能将网络安全角色划分到 IT 功能之外，反而将其与从软件工程师到服务台技术人员等各种 IT 角色整合在一起。为了更好地理解IT和安全团队的规模如何随着组织规模——也可能是IT和安全需求——而扩大，2021年的网络安全角色和职业路径清晰度研究项目要求参与者分享他们的IT团队规模，以及从事网络安全工作的员工数量。

绝大多数来自大型组织的调查参与者表示，他们拥有最大的IT团队。当员工人数超过1万人时，这一点尤为明显。

随着IT团队规模的增长，招聘专门支持企业的网络安全专家的可能性和数量也在增加。这一趋势在员工超过2万人的企业中尤为明显。

该研究还分析了不同行业的团队规模，以更好地了解IT和安全人才招聘需求在垂直行业中的差异。研究中的行业部门还不够大，不足以产生具有统计意义的发现，应谨慎看待；然而，这些结果需要进一步的研究来验证，并确认这些结果和整个研究结论的共同趋势。

用培训对抗技术技能的半衰期

网络安全领域的从业人员在为员工提供持续技能发展的理由时，经常会提到技术技能的半衰期——或者技能如何随着时间的推移而失去价值。IBM 最近的一项研究表明（《缩小技能差距的企业指南》，研究报告见文末附录），大多数专业技能每5年就会失去50%的价值；对于技术角色来说，时间甚至更短。为什么、如何以及花多少资金用于IT和网络安全培训，可以帮助企业了解员工发展计划的成熟度，以及如何应对技术技能半衰期不断缩短的问题。

2021年网络安全角色与职业路径清晰度研究项目发现，IT和安全培训预算通常与组织和IT团队的规模相匹配。在IT团队规模方面尤其如此，人数在500人以上的团队更有可能每年花费至少10万美元来提高员工的技能。

在研究分析的20个行业细分中，金融、媒体/互联网、能源/公用事业和消费者服务在IT、安全团队规模和培训预算方面处于领先地位。农业、零售和政府部门的IT和安全团队规模最小并且培训预算最少，而金融、媒体/互联网、能源/公用事业和保险的预算最多。

对许多人来说，网络安全的角色和职业路径仍然模糊不清

像 NICE 框架这样的资源建立了一个通用词汇表，以便更清楚地描述网络安全角色、职责和职业路径，同时也使网络安全从业者更容易的理解支持组织内特定网络安全功能所需的知识、技能和能力。像 NICE 框架这样的倡议对于有抱负的网络安全专业人士突破入行壁垒是至关重要的——但前提是该行业相信网络安全角色和责任标准化是可能发生的事情。在 2021 年的网络安全角色与职业路径清晰度研究项目中，绝大多数参与者表示，工作角色标准化是可能的，无论是在一般行业还是在特定行业。

除了确认其可行性外，受访者还确认网络安全角色标准化有几个好处，包括提高员工留存率、招聘力度和职业l清晰度。

当分析网络安全职位角色和职业路径的清晰度时，很明显，没有任何组织能够避免网络安全角色和责任模糊的困扰。然而，随着组织规模的增加，角色清晰度也在提高，因为在大公司更可能存在更大的团队并且职责重叠情况较少。该研究项目发现，员工超过1万人的组织的受访者表示:

35%的受访者表示，他们的安全角色的工作岗位描述很清晰

55%的受访者表示，他们至少有一些明确的网络安全职业路径

46%的受访者表示，他们的员工更有可能拥有成熟的员工发展计划，并且会接受必要的培训

换句话说，对于各种规模的组织来说，网络安全工作角色和职业路径的明确仍然是一个严峻的挑战。虽然大型组织通常做得更好，但仍有很大的改进空间，以帮助从业者更好地理解他们的工作职责和职业潜力。在安全团队规模级别上也观察到了类似的差异。

员工数量决定发展项目的成熟度

与前面讨论的职位角色和职业路径的明确这一挑战类似，在员工发展计划成熟度方面，少于10,000名员工和500名IT员工的组织表现不如大型组织。考虑到小型组织在信息技术和网络安全教育方面的投资也较少，而且在网络安全工作角色和职业路径上也最不明确，这种情况也就不足为奇了。这种趋势在小型和大型组织之间存在的原因尚不清楚，但基本可以归因于大型组织具备资源更丰富的网络安全团队和更专注于某一细分工作内容的网络安全员工，因此，职责重叠和职业发展机会也更少。

在网络安全角色、职业路径清晰度和员工发展计划成熟度方面，有些行业似乎做得很好。需要更多的数据来证实下面的发现。然而，数据反映的结果是非常有趣的：在研究涵盖的20个行业领域中，金融、能源/公用事业、媒体/互联网、商业服务和军事/国防的角色和职业路径清晰度最强，员工发展计划成熟度也最强。

人才招聘管理：熟悉胜于效率?

经过调查后，INFOSEC 还发现一个有趣的情况，该研究项目的大多数参与者在构建或修改网络安全职位描述时都会关注现状。虽然员工超过1万人的组织更有可能采用 NICE 框架等资源，但大多数受访者表示，在创建网络安全职位描述时，会参考现有或外部职位描述以及咨询内部利益相关者的建议。这种模式表明，企业可能在无意中进入了一个“自我实现的预言”，即现有的、不明确的网络安全岗位描述会被不存在的外部职位信息所确认。

随着安全团队规模的增加，管理者在创建或修改现有的网络安全职位描述时，更有可能参考NICE框架等替代资源，并与内部资源合作。领导大型团队的IT经理也不太可能咨询外部招聘信息来比较职位描述。

采用 NICE 框架可以提升招聘率以及角色清晰度

随着企业规模的增长和人才招聘需求的变化，将网络安全职位描述与NICE框架相匹配的意图也在增加。员工人数超过5000人的公司的受访者更有可能考虑或追求将自己的网络安全职位描述与NICE保持一致。

总的来说，81%的受访者表示，他们至少考虑将现有的网络安全角色映射到NICE框架中。

劳动力框架的作用

尽管用于指导职位描述和员工发展计划的资源在不同规模的组织和行业中存在很大差异，但采用像NICE框架这样的工具对组织填补网络安全职位角色的能力有最大的影响。来自曾经将网络安全职位描述映射到NICE的组织的受访者，比那些没有意向将职位描述映射到NICE框架的组织的受访者，有57% 的人对自己填补网络安全职位空缺的能力感到满意。

在使用任何劳动力框架时，包括DoD网络劳动力框架和 DoDD 8570/8140，都可以观察到同样的优势。

通过分析受访者对采用NICE框架的招聘工作的满意度以及提交的角色清晰度，可以得出如下结论：至少考虑将网络安全职位描述映射到 NICE 框架的组织表示网络安全职位角色和职责明确定义的可能性也高出 676%。一句话：劳动力框架起了作用。

结论

一项又一项研究表明，在大多数职位和行业中，网络安全的职位描述都不够清晰，这阻碍了人才的招聘、培育和挽留。来自 2021 年网络安全角色和职业路径清晰度研究的数据强烈表明，难以招聘和填补网络安全职位空缺的组织应该参考像 NICE 网络安全劳动力框架这样的资源，以提高招聘成功率并指导员工发展计划。

来自曾经将网络安全职位描述映射到 NICE 的组织的受访者，比那些没有意向将职位描述映射到NICE 框架的组织的受访者，有57%的人对自己填补网络安全职位空缺的能力感到满意。他们还报告了最强的网络安全角色清晰度——很可能是他们努力与NICE框架保持一致的结果。

尽管几乎所有的调查参与者都报告了网络安全职位角色清晰度和职业发展路径方面的挑战，但很明显，那些寻求创新和灵活解决方案（如 NICE 框架）的人没有保持现状，他们将受益于更丰富的人才渠道以及更清晰的网络安全员工角色和期望。

附录

1、缩小员工技能差距的企业指南：https://www.ibm.com/downloads/cas/EPYMNBJA

2、2021 年网络安全人才招聘研究报告：https://www.4hou.com/posts/JWMg