对于安全从业者来说，CSO这一职位可谓硬币的两面，一方面是市场需求旺盛，另一方面是招不到合适的人，企业要求的综合能力无法衡量，没有明确的职位定义和职责规范从业者处境尴尬，因此，高就业率并不足以让从业者乐观，企业和人才的高匹配度才应该是真正的追求。

    在美国合格的CSO们基本不用为失业而烦恼，因为这一职位失业率非常低。据2013年初美国劳动统计局（简称BLS）发布的报告显示：2012年第四季度安全高管群体的失业率仅为3%（在美国失业率低于4%则被视为充分就业），相对于美国全国平均7.3%的失业率来讲简直微不足道，这说明CSO职位目前仍属于“卖方市场”，那些拥有相应资历的从业者前途依旧光明。

    不过，和CSO们的个人就业状况相比，企业安全部门的招聘就没那么乐观了，对于大部分企业来说信息安全官则是一将难求。美国的相关机构做出预测：2014年信息安全高管（即CSO）的供应量将无法满足市场需求。更有人认为高管层以下的信息安全管理人才同样十分匮乏。

    环境演变

    曾任美国联邦通信委员会（简称FCC）CSO、现任（ISC）？政府事务主管兼网络安全认证合作组织主席的Marc Noble在今年年初接受采访时指出：人才的短缺一部分原因在于环境的迅速变化，安全威胁大量增加。“这就需要投入更多的时间来认识新技术，观察其带来的安全漏洞以及考虑如何采用最佳安全控制方案，而这一切都给从业者带来前所未有的复杂性，”它要求从业者能够高度适应新技术和新规程，这一点非常不容易。“可以说，攻击者们始终领先于我们。” Marc Noble感叹道。

    除了要有处理动态风险的能力，优秀的CSO还必须超越技术层面进一步丰富自身角色内涵。他们需要成为宏观层面的业务与运营专家，需要了解营销、金融以及法律知识。“大部分企业希望找到一位既能够出色完成本职工作，同时还谙熟企业管理和行业趋势的安全管理者。”然而对于这样的职位描述，目前市场上对应的人才非常稀缺甚至根本不存在。

    定位危机

    美国普渡大学CSO David Shaw对这种状况作出了自己的解读，他认为“CISO角色正面临着一定程度上的定位危机，因为目前这一角色尚缺乏明确的定义，企业也不知道该将其安排在什么样的位置上，他们该向谁汇报？董事会、CIO还是CFO?”“我们真的拿不出一套有效的标准化规范来说明到底哪部分事务需要CSO的介入，更别说保证其取得成功，”他解释道。详情请阅读本站CSO角色定位不明晰 实至名归需企业魄力一文。

    一方面是没有准确的职业定位，另一方面是能力培训的缺失，“对于那些市场需求最旺的人才，需要在安全领域之外拥有更多知识，包括商业、通信、领域以及法律等。除此之外还要拥有关系创建、前瞻性以及与企业中各级别成员交流等一些关键能力。” Marc Noble说， “但这并不列入我们对安全管理者的培训范畴，这方面技能的缺失也直接导致了CSO人选的严重短缺。”

    一家风险管理咨询企业联合创始人兼执行主席Ed Stroz对此深表赞同，他还指出优秀CSO最重要的能力还在于参透“安全性绝不能凌驾于便捷性之上”，现实工作中如何取舍需要更高的智慧。

[page]    浑水摸鱼

    不过即便要面对如此复杂的环境，鉴于市场需求的客观存在，短时间内也会有很多从业者蜂拥至这一领域当中，这在某种程度上又会带来新的问题。某些人肯定会主动请战，明知能力不足经验不够仍想冒险一试。

    普渡大学信息保障与安全教研中心执行总监Eugene Spafford认为，旺盛的需求“往往会让那些背景存疑的从业者将自己塑造成该领域的‘专家’。由于缺乏有说服力的竞争与参照机制，其中一些人肯定会被正式录用。”而更多时候，那些真正合格的候选人可能被认为不能应付恶化的环境而扫地出门。

    他认为，目前某些企业将CSO角色定位为“背黑锅者而非价值供应者”——也就是说如果敏感数据遭遇外泄，CSO将首当其冲遭受指责，即使真正的原因在于某位员工“翻墙”将信息带到了非安全区域，CSO仍是替罪羊，这也给“冒险者”可乘之机。

    如何应对人才短缺

    Noble还指出，信息安全被视为增长速度最快的领域之一，市场上对CISO需求的增加速度显然快于人才培养的速度：“信息安全专业人员的数量预计在未来五年内每年增幅都将超过11%，即便如此人才短缺仍然存在。”

    如何解决这样的困境？目前大家普遍认为安全培训应该成为优先级更高的主流教育课程，CSO这个职位本身也需要得到更多宣传与推广。Noble认为网络安全培训必须尽早开始：“安全必须成为早期教育课程中的组成部分，并贯穿从业者的整个求学生涯。”

    不过单靠培训还不够，甚至研究生阶段的教育也难以达到实际要求，因为大部分企业都希望找到一位真正合格的CSO。按照Shaw的说法：“合格的CSO需要能够在上任的第一天就投入实际工作。对于刚刚走出校门的研究生来说，他们在实践层面的经验还非常匮乏。我认为这个难题可以通过充分的实习经历以及毕业后的从业积累加以解决。”

    目前这一计划正在进行，普渡大学信息保障与安全教研中心（简称CERIAS）已经推进类似的方案。Noble说，这类方案在技术与其它学科之间建起了桥梁，能够帮助未来有意进军CSO角色的学生提前做好准备。他还列举出其他尚处于起始阶段的项目，并表示，这些项目旨在帮助成长中的人才同时从能力与专业两个方面汲取营养。参与项目推动的机构包括英国eSkills、欧洲标准化委员会（简称CEN）、国际标准化组织（简称ISO）、国际电信联盟、电信发展部门（简称ITU-D）以及NICE Framework。（ISC）？同样以多种方式向其中投入资源作为支持。

    但是，对于那些无法耐心等待必须尽快找到相关人才的企业来说，Stroz认为目前最可选的解决方案在于将工作外包给专业咨询企业。他的理由是：在选拔合适人选的过程中“往往会涉及企业现有安全漏洞，这样的讨论内容相当敏感，因为难免会涉及大量价值极高的知识产权信息。”外包会相对安全。

    所有的问题最终归结为人才在技术与业务两类技能方面的“高度适应性”。“目标在于建立一套与企业业务目标相一致的风险管理环境，”Stroz指出。“没有这样的前提作为辅助，不管是招聘专职还是外包都不可能获得令人满意的结果。”

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。