2023年全球网络安全现状-劳动力资源和网络运营的全球发展新态势

2023年网络安全现状 劳动力、资源和网络运营的全球发展新态势 信息安全 ©2023ISACA。版权所有。 目录 4执行摘要 5调查方法 5网络安全人才面临长期挑战 8/人员配置 10/岗位空缺 14/留住人才 15/企业福利缩减 17深入探究人才输送问题 20/对大学毕业生的调查 22/员工资质问题 22/对职场新人的调查 22/针对人力资本的缓解措施 27网络安全预算缩减 30威胁态势 31/对检测和监控的信心 31/威胁行为者和攻击 36网络安全成熟度——一项正处于发展阶段的工作 38全组织方位的一致性 40结论——未见显著变化 41致谢 摘要 ISACA于2023年第二季度进行了一年一度的“全球网络安全现状调查”，《2023年网络安全现状——劳动力、资源和网络运营的全球发展新态势》一文对相关调查结果进行了总结汇报。该调查报告聚焦当今网络安全人才发展、人员配置、网络安全预算、威胁态势和网络安全成熟度等领域的发展趋势。总体上，2023年的调查数据再度印证了2022年的调查结果，甚至几乎与去年的数据如出一辙。但是进一步的深入分析表明，与之前的调查结果相比，2023年的数据可能受到地缘政治、经济和技术进步的影响，表现出一些微妙的变化。 执行摘要 ISACA第九次全球网络安全现状年度调查持续聚焦网络安全领域的发展趋势以及当下面临的挑战 。继去年以来，ISACA继续深入探讨网络安全人 才技能组合以及入门级岗位人员配置等长期议题 。《2023年网络安全现状》这一报告对网络安全 技能和人员配置、资源、网络威胁和网络安全成熟度等方面的调查结果进行了深入分析。 本次调查结果与往年的调查结果基本一致，但当今时代科技进步日新月异、经济形势动荡不安、重大网络安全隐患时刻存在，这些要素都可能对本次调查数据产生影响，导致数据发生一定的变化。社会发展存在多种不确定性，这导致员工不再频繁跳槽。尽管多数公司仍有职位空缺，但调查结果表明，绝大多数企业预见了经济衰退的趋势，并有意提前缩减公司预算以及薪酬补贴。 主要调查结果如下： •在负责安全管理工作的受访者中，工作经验不足三年的人数占比与往年数据持平。此外，受访者的人口统计信息表明，安全管理人员呈现出老龄化的趋势。 •71%的受访企业仍有空缺的网络安全岗位，其中空缺的高级岗位数量是入门级岗位的两倍。没有岗位空缺的受访企业数量增加了6个百分点。 •企业明显缩减了学费报销以及聘用奖金等员工福利，越来越多的企业推出“带薪志愿服务休假”。 •软技能是网络安全专业人士和大学毕业生技能差距中的主要问题，而存在于前者的软技能差距有所恶化。在现有从业人员中，云计算技能掌握情况比2022年提高了5个百分点。大学毕业生的技术技能表现与2022年的数据基本相似，在安全控制和网络运维方面略有提高；值得关注的是，大学毕业生网络相关能力方面的数据下降了4个百分点。 •对员工进行交叉培训以及选用承包商和顾问依然是缓解劳动力短缺问题的主要方式 。 •52%的企业在设立入门级岗位时要求雇员拥有大学学历，这与2022年的数据一致，但不同地区的数据则表现出了明显的变化 ——欧洲和非洲的数据有所下降，亚洲和 北美洲保持不变，拉丁美洲和大洋洲的数据则大幅上升。 据统计，受访者对网络安全项目资金的看法与2022年基本相同。去年对网络安全预算的乐观看法昙花一现，当下企业普遍认为下一个预算周期将遵循少花钱多办事的原则。年度网络风险评估仍在进行中，相关数据显示 ，企业将更为频繁地进行小幅度改善。 去年对网络安全预算的乐观看法昙花一现，当下企业普遍认为下一个预算周期将遵循“少花钱多办事”的原则。 企业遭受网络攻击的频率与安全领导者和网络安全团队的一致性毫无关联，但部分企业在董事会层面着重考虑网络安全问题并将网络安全战略融入企业目标，这些企业更有可能会设立首席信息安全官（CISO）及其下属的网络安全团队。很多企业则会忽视这种一致性，由首席信息官（CIO）统领网络安全团队，这种企业不设立首席信息安全官（CISO）或首席安全官（CSO）的可能性要高出一倍。 ©2023ISACA。版权所有。 调查方法 2023年第二季度，ISACA向全球发出在线调研的邀请，对象为网络安全从业人员，包括持有ISACA国际注册信息安全经理（CISM ）证书的人士或者在信息安全领域任职的专业人士。其中，共有2178名受访者完成了全部调查，调查结果展示了受访者的回答情况1。该调查的误差范围为+/-2%，置信区间为95%。 该调查采用多项选择和李克特量表的形式，主体内容包括七个部分： •人员配置 •技能 •网络安全预算 •网络安全威胁 •网络安全成熟度 •网络风险度量 •组织治理 本次调查的调查对象为负责网络安全工作的人员。在2178位受访者中，53%表示网络安全是他们的主要专业职责领域。图1是受访者的人口统计 信息，他们来自112个不同的国家和地区。图2进一步说明了本次调查的覆盖范围之大，受访者代表了17个以上的行业。 网络安全人才面临长期挑战 从行业的总体从业人员概况来看，网络安全就业市场似乎为拥有雄心壮志的网络安全从业者以及跳槽人员提供了巨大的机会 。迄今为止，价值数十亿美元的全球网络安全培训市场2、丰富的大学课程和数不胜数的其他举措（如学徒制、再培训、奖学金）都无法扭转供需失衡的市场现状。尽管越来越多的调查预计就业市场将呈现出供不应求的趋势，但几乎没有看到任何有效的解决措施。 继续过度关注人员短缺问题并试图填补那些未经核实的网络安全人员空缺岗位并非良策，因为这不仅没有解决市场中空缺岗位重复发布的问题，也没有考虑到壮志难酬的从业人员们，他们花费了大量的时间和金钱完成了对自身的培训，却依然无法在网络安全领域就业。尽管美国国家网络劳动力和教育战略（NCWES）3以及全球其他类似的项目已经做出了全面的努力，但它们无法迫使企业设立更多的入门级岗位。如果不能解决这一关键问题，就算学生和跳槽人员掌握了相关的知识和技能并且拥有相关证书，他们因缺乏工作经验而无法就业的问题将变得更加严重。 1部分问题的答案中存在“不知道”的选项，与往年一致，这种选项将视情况在计算结果中予以剔除。计算结果将基于四舍五入的原则取最为相近的整数值。 2Patil,V.；《2022年网络安全培训市场报告——未来趋势研究》，LinkedIn，2023年1月20日， https://www.linkedin.com/pulse/cyber-security-training-market-report-2022-research-vinayak-patil/ 3白宫，“《国家网络劳动力和教育战略》：建设美国网络人才”，2023年7月31日， https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/31/fact-sheet-biden ©2023ISACA。版权所有。 图1：受访者人口统计信息 地区 北美* 欧洲 亚洲** 中国† 93% ISACA 会员 42% 26% 13% 3% 行业 5% 3% 4% 印度 5% 24% 技术服务/咨询 拉丁美洲 非洲 大洋洲 *包括加勒比和中美洲 **不包括中国 †包括香港、澳门和台湾 主要职能领域 21 40% 网络安全管理 59% % 7% 金融/银行 IT合规性管理 12% 受雇企业的人员规模超过 14% 政府/军事（国家/州/地方） 13% IT风险管理 网络安全专员 1500 名员工 ©2023ISACA。版权所有。 图2：所代表的行业 请选择贵公司的所属行业。 技术服务/咨询 24% 金融/银行 21% 政府/军队（国家/州/地方） 14% 其他 9% 保健/医疗 5% 制造/工程 5% 保险 4% 电信/通信 4% 零售/批发/分销 3% 公共设施 2% 运输 2% 采矿/建筑/石油/农业 2% 广告/营销/媒体 1% 1% 航空航天 公共会计 1% 制药 1% 法务/法律/房地产 1% 0%10%20%30%40%50%60%70%80%90%100% ©2023ISACA。版权所有 。 网络安全现状形势严峻——员工队伍老化，入门级职位紧缺。把关制度的存在4、5和职位描述不清6导致局势恶化，企业如此作为终将自食其果，再多的再就业培训计划也无济于事。此外，当前员工倦怠问题严重7，经济形势动荡8，多数企业重启了线下办公模式9,10，这使本已脆弱的局面雪上加霜。 网络安全现状形势严峻——员工队伍老化 ，入门级职位紧缺。 据经济学家预测，全球经济可能会进入衰退期。11曾经在“大辞职潮”的影响下，从业人员跳槽指数一度创下新高，但那可能已经成为过去式，经济的不确定性迫使员工不敢轻易变动工作。12目前的经济发展情况可能不会影响那些经验丰富的网络安全专业人士挑选其满意的岗位，但有证据表明，很多企业有意通过减少福利来缩减开支。 人员配置 在ISACA调查中，管理从业经验不足三年的安全人员团队的受访者占比保持不变，仍为44%。 劳动力体系面临着诸多挑战，为日益老龄化的劳动力带来了压力。在ISACA的调查中，35至44岁的受访者人数占比最高（34%），但44岁以上的受访者人数 有所增加。与2022年相比，45至54岁 的受访者人数增加了2个百分点（32%） ，55至64岁的受访者人数则增加了3个百分点（19%）（图3）。 今年关于人员配置的调查结果与去年的趋势基本相似（图4）。各个年龄段的受访者大体上都认为今年企业招聘网络安全人员的速度没有变化（40%），但有20%的受访者认为招聘速度变快了。 企业今年在留住人才方面的压力有所减轻 ，但局势依然不容乐观。超过一半（56%）的受访者表示他们所在的企业在努力留住人才，去年该比例则为60%。在就业市场中 ，员工倦怠的问题早已众所周知13，但经济不确定性直接减少了人员流动，这可能帮助了企业更好地留住人才。多年数据表明 ，任何类型的不确定性都会影响员工留任 （图5）。 4Markel,D.；“把关制度在网络安全中没有立足之地”，《福布斯》，2022年10月7日，https://www.forbes.com/sites/forbestechcouncil/2022/10/07/gatekeeping-has-no-place-in-cybersecurity/?sh=b60f4b35fdd4 5SC杂志，“网络安全中的把关，第1部分-NaomiBuckwalter-SCW#83”，2021年8月17日，https://www.scmagazine.com/podcast-segment/gatekeeping-in-cybersecurity-part-1-naomi-buckwalter-scw-83 6Pratt,K.M.；“六个岗位描述危险信号，影响安全分析师的招聘难度”，CSO，2022年7月18日，https://www.csoonline.com/article/573115/6-security-analyst-job-description-red-flags-that-make-hiring-harder.html 7Townsend,K.；“网络安全中的员工倦怠——可以预防吗？”，《安全周刊》，2023年3月22 日，https://www.securityweek.com/burnout-in-cybersecurity-can-it-be-prevented/ 8Markovitz,G.;S.Feingold(eds.)；“2023年的经济衰退？这取决于你身在何处”，《世界经济论坛》，2023年1月16日，https://www.weforum.org/agenda/2023/01/global-recession-economic-outlook-2023/ 9Lebowitz,S.;M.Ward;E.C