尽管很多企业首席信息安全官们（CISOs）如今已经找到了成功构建有效网络安全团队的方法，但是大多数行业专家仍然认为，想要实现这一过程并非易事。其中，获得抱怨最多的一个现状就是，没有丰富经验、技能娴熟的安全专业人员来填补现有的职位空缺。但是事实上，如果企业组织知道去哪里寻找他们，其实是有足够的人才供他们所用的。

尽管如此，以下数据仍然显示这样一个现实：市场对安全人才的限制是一个非常真实的因素，下面就是最新数据揭示的具体内容：

1.长期（Long-Term）职位空缺是常态

根据ISACA的调查数据结果显示，如今，大多数的组织都在努力填补他们在网络安全职位方面的空缺。但是有大约一半的组织报告称，“他们能在6个月内填补网络安全职位的空缺”。而只有不到十分之一的受访组织表示，“他们可以在一个月内迅速填补职位空缺”。

2.岗位技能短缺现状

根据Cyber Edge Group的一项年度调查报告显示，网络安全技能短缺已经成为安全领导日益重视的问题。它已经从“第五大最紧迫的问题”转移到了安全的首要障碍。在现有的人才中，最短缺的角色是通用型安全管理员以及SOC（安全运营中心）应急响应人员。

3.最急缺的安全技能组合

与此同时，Dark Reading（外媒网站）在一项针对网络安全专业人士的调查中发现，不仅仅是基于个体角色（如上述的通用型安全管理员以及SOC应急响应人员）的技能空缺难以填补，那些既具备相关技能，又对与特定组织相关的环境和行业所存在的固有风险有深刻认识的专业人士就更难寻找了。

4.技能短缺意味着什么？

 

当组织无力填补网络安全职位空缺时，他们将面临与风险相关的严峻挑战。其中最明显的是，组织中优秀的员工会产生职业倦怠（指个体在工作重压下产生的身心疲劳与耗竭的状态）的风险。接近三分之二的受访组织表示，如果存在职位空缺，就意味着现有员工的工作量会大幅增加，而这通常会导致他们筋疲力尽。还有大约五分之二的受访组织表示，如果现有员工都耗尽心力忙着填补因职位空缺产生的额外工作，这意味着他们不太可能在安全问题上进行战略性的规划和思考，同时，也不太可能将网络安全与企业业务结合起来，以及不太可能帮助企业从昂贵的安全支出中获得最大收益。

5.面对网络安全职位空缺，我们说得太多做的太少

 

由Vanson Bourne代表McAfee进行的一项最新的网络安全技能调查发现，虽然有84%的组织报告称，在聘请技能熟练的安全专业人员方面存在一定的困难，但事实上，其中的很多组织并没有真正做些什么来地吸引人才。那些抱怨无法聘请到优秀安全专业人员的组织，一般都不太可能提供培训机会、灵活的工作时间或是接触新技术的机会。

6.安全培训：重要却总被忽略

如果组织想要克服市场对安全技能的限制，最明显有效的方式之一就是增加对培训方面的投资。安全培训不仅可以提高和保持现有团队成员的技能水平，而且还是吸引那些最需要不断提升自身技能的网络安全专业人员的一个重要招聘工具。不幸的是，根据Dark Reading进行的一项调查发现，只有不到四分之一的组织报告称，“他们为其安全人员提供了最新的培训内容”。

这通常是由于在培训材料和专门用于完成培训的工作时间方面的投资不足所致。根据Cybrary最近的一项调查结果显示，只有大约15%的雇主承担了他们所有的安全专业人员的培训费用。

7.克服对安全培训投资的恐惧

 

企业很多时候都不敢在员工培训方面投入太多资金，因为他们担心员工一旦掌握了新的技能，自身能力的提升后就可能会被一家新的公司挖走，如此一来，所有投入都付诸东流了。

根据相关调查显示，近一半的安全专业人士报告称，猎头和招聘人员至少每周都会向他们咨询一次“是否考虑尝试新的工作机会”。但是，出于对新工作环境和技能培训的恐惧，他们很多时候会选择放弃。猎头公司和其他招聘专家表示，组织必须努力改善自身的工作环境，增强自身吸引力。最明显的是由于技能短缺所产生的薪水的增加，而且还意味着通过更好的培训、灵活的工作时间、晋升机会和合理的工作量来改善工作文化。

8.非常规智慧：招聘游戏玩家

 

最后，对于面临绝大人才缺失压力的组织而言，不妨进行一些更具创造性的招聘工作。Vanson Bourne和McAfee最近的一个想法是考虑开发游戏社区。近四分之三（72%）的招聘经理表示，他们认为雇佣有经验的视频游戏玩家可能是创造性地填补安全技能空白的好方法，即使这些玩家没有相关的网络安全知识。调查显示，一个有经验的游戏玩家通常具备安全职业中的相关技能，这正是招聘经理正在寻找的目标人选。

迈克菲首席信息安全官Grant Bourzikas表示，McAfee每两周就会为其员工举办一次桌面练习，而且每个月还会进行一次实战演练（red exercises）。他表示，

我认为，游戏化可以帮助人们更为直观、深刻地认识他们的日常安全任务。网络安全新手希望能够专注于新的威胁、攻击以及攻击媒介，但是大多数人并不喜欢（只是）做一些基本的操作。

游戏训练能够为玩家提供洞察网络安全威胁所必需的经验和关键技能，例如逻辑性、毅力，对网络犯罪分子所使用的手段的理解等等。而且，游戏玩家还比传统网络安全从业者更容易接纳新鲜事物。Bourzikas表示，

游戏可以激发玩家对问题的不同想法，让他们能够从错误中学习如何击败对手。