計(jì)算機(jī)世界(Computer world)《2016年度IT薪酬調(diào)查》揭示了安全招聘和薪酬趨勢(shì),讓我們來(lái)看看同行們都是怎么看待他們的職業(yè)前景的,順便也比較一下自己的待遇吧。
營(yíng)銷自動(dòng)化軟件廠商Marketo的首席安全官,杰森·霍夫曼在某企業(yè)做了7年的內(nèi)部審計(jì)員,之后離開了這個(gè)他已經(jīng)非常熟悉和擅長(zhǎng)的工作,去嘗試一些別的東西。對(duì)于18年前這次華麗轉(zhuǎn)身,霍夫曼甚為慶幸。“1998年的時(shí)候,誰(shuí)能想到安全在今天會(huì)如此重要呢?”
安全對(duì)業(yè)務(wù)的重要性已經(jīng)在研究中被證實(shí)了?!?016首席信息官態(tài)勢(shì)報(bào)告》揭示:公司CEO目標(biāo)清單上位列第三的,就是改善網(wǎng)絡(luò)安全(29%),緊跟在完成重大企業(yè)項(xiàng)目(40%)和達(dá)成某個(gè)利潤(rùn)目標(biāo)(32%)之后。同時(shí),被調(diào)查的IT高管們說,安全是驅(qū)動(dòng)IT投資的主要技術(shù)動(dòng)力之一(29%),幾乎與云計(jì)算(30%)和大數(shù)據(jù)/商業(yè)分析(27%)并駕齊驅(qū)。
公司高管和董事會(huì)更為尖銳地意識(shí)到了安全不僅僅是個(gè)IT問題,而是業(yè)務(wù)問題。因此,不分行業(yè)和公司,大家有志一同地重視起了安全。聰明的公司,將長(zhǎng)久成功的公司,必然會(huì)投資到安全上,做正確的事情。而在安全上的投資,可被投射到在人才方面的投資。
在《2016 IT 薪酬調(diào)查》中,信息安全經(jīng)理是IT界最熱門的職業(yè),平均收入漲幅最大(2015到2016年漲了6.4%)。信息安全專家也以年漲幅4.7%的佳績(jī)榮登熱門職業(yè)排行榜,與軟件開發(fā)者并列第五。
信息安全經(jīng)理 +6.4%
系統(tǒng)分析師 +6.2%
系統(tǒng)管理員 +5.3%
網(wǎng)絡(luò)管理員 +4.8%
軟件開發(fā)者 +4.7%
信息安全專家 +4.7%
網(wǎng)絡(luò)工程師 +4.6%
首席信息官 +4.6%
軟件工程師 +4.5%
應(yīng)用開發(fā)者 +4.4%而且,只有一半多一點(diǎn)兒(51.3%)的安全高管和經(jīng)理認(rèn)為,IT員工總?cè)藬?shù)來(lái)年將有所上升。以Marketo為例,信息安全總監(jiān)在其當(dāng)前招聘職位列表之中,今年也會(huì)充實(shí)其安全團(tuán)隊(duì)的力量配備,主要是增加像安全架構(gòu)師、安全工程師和安全分析師之類的技術(shù)角色。身份認(rèn)證管理提供商 Ping Identity 的趨勢(shì)也是如此,其首席信息安全官羅博·雷克稱,他們計(jì)劃年內(nèi)大幅擴(kuò)張安全部門,應(yīng)用安全、開發(fā)/基礎(chǔ)設(shè)施安全、安全監(jiān)管和合規(guī)將是重點(diǎn)招聘領(lǐng)域。
所有這些都為選擇了安全為職業(yè)的人士鋪開了一幅美好的景象。
滿意度高 薪酬增漲
調(diào)查中,高達(dá)89.9%的安全專業(yè)人士表示,他們對(duì)從事IT行業(yè)的決定滿意或非常滿意。覺得自己當(dāng)前位置穩(wěn)固或非常穩(wěn)固的比例也一樣的高。隨著大數(shù)據(jù)的激增和貨幣化,公司企業(yè)需要安全專業(yè)人士來(lái)幫助他們保護(hù)這些數(shù)據(jù),安全不會(huì)弱化。
73.2%的安全專業(yè)人士稱,IT職業(yè)道路和薪酬增長(zhǎng)潛力比大多數(shù)其他職業(yè)道路要更有前途。安全只會(huì)越來(lái)越重要,安全專業(yè)人士的薪資漲幅會(huì)比大多數(shù)IT職業(yè)角色要高,安全人士的好時(shí)光將繼續(xù)延續(xù)。
表示一年來(lái)基本工資有所增加的安全專業(yè)人士有76.1%。在報(bào)告說自己的薪資去年有漲的被調(diào)查者中,安全專業(yè)人士比其他IT從業(yè)者更傾向于將內(nèi)部升職(14.3% vs. 10.5%)、額外/新的職責(zé)(15.2% vs 7.8%)、跳槽升職(10.5% vs. 3.6%)列為增資原因。34.1%的安全專業(yè)人士(全部IT從業(yè)者是25.3%)認(rèn)為未來(lái)5年內(nèi)自己將在另一家公司獲得更高職位,28.3%覺得會(huì)在同一家公司升職。
一個(gè)嚴(yán)重的問題
沒錯(cuò),安全專業(yè)人士的就業(yè)市場(chǎng)很熱,對(duì)薪水和流動(dòng)性而言是好事,但這是建立在嚴(yán)重的人才短缺背后的:23.2%的安全專業(yè)人士(所有IT從業(yè)者是12.3%)認(rèn)為,IT產(chǎn)業(yè)面臨的最大挑戰(zhàn)就是IT人才的短缺。
在失業(yè)率幾乎為零的狀態(tài)下,招聘有經(jīng)驗(yàn)的安全專業(yè)人士基本上意味著要從別的公司挖人。這不過是把人才缺口推給下家而已,只會(huì)讓人才短缺問題更加惡化。只有更精于發(fā)現(xiàn)安全人才,更好地培訓(xùn)出新的安全人才,我們才能從總體上讓世界更美好。
人才短缺的影響滲透到方方面面。如果一家公司不能聘用到足夠的人手,那它發(fā)展路線圖的關(guān)鍵部分就缺失了,或者其現(xiàn)有員工不得不透支生命來(lái)完成任務(wù)。兩種情況都不可取,也都會(huì)導(dǎo)致發(fā)展中期就遭遇毀滅性打擊。
安全專業(yè)人士比其他IT從業(yè)者更易于遭受提高生產(chǎn)力和接受新任務(wù)的壓力(64.5% vs. 58.7%)。而這種狀況在來(lái)年不太可能有所好轉(zhuǎn):60.1%的安全專業(yè)人士(所有IT從業(yè)者是56.1%)預(yù)計(jì)自己未來(lái)12個(gè)月的工作量和職責(zé)將會(huì)增加。
在被要求提高生產(chǎn)力或接受新的任務(wù)的人中,79%的安全專業(yè)人士稱其工資并未根據(jù)增加的工作量進(jìn)行調(diào)整(雖然已經(jīng)比整個(gè)IT行業(yè)的總體水平好了),而且他們也比其他IT從業(yè)者更容易感到自己的薪酬漲幅沒趕上業(yè)務(wù)增長(zhǎng)和要求(60.9% vs. 55.3%)。
這足以讓任何人想跳槽。
人往高處走
49.2%的安全專業(yè)人士稱,他們或主動(dòng)或被動(dòng)地在另外的公司謀求新職位。人才少,需求漲,典型的人才賣方市場(chǎng),人才紛紛去追尋新機(jī)會(huì)簡(jiǎn)直天經(jīng)地義。
73.9%的安全專業(yè)人士(所有IT從業(yè)者是60.7%)稱曾被招聘公司或獵頭詢問過工作意向。而沒興趣找新工作的安全專業(yè)人士中,只有8.5%是因?yàn)榫蜆I(yè)市場(chǎng)不景氣,或者機(jī)會(huì)少(IT行業(yè)總體是13.1%)。
對(duì)尋找新工作的安全專業(yè)人士而言,與其他IT從業(yè)者不同,最難的部分不是弄清自己對(duì)新職位的期望是什么,而是考慮該為自己定價(jià)幾何。
安全專業(yè)人士遠(yuǎn)比其他IT從業(yè)者更有可能擁有IT相關(guān)的各類資質(zhì)證書(81.9% vs. 54%),也更易于認(rèn)為擁有證書能幫他們謀得工,獲得升職或漲薪(62.8% vs. 41.6%)。但實(shí)際上,證書的作用并沒有技術(shù)和經(jīng)驗(yàn)?zāi)敲创蟆?/p>
對(duì)新入行的從業(yè)者而言,證書是有用的,能證明你基礎(chǔ)扎實(shí),表明你對(duì)這一職業(yè)的熱愛。但證書并不是必需品。老板們只關(guān)心技術(shù)水平——這人能不能做到我需要他做的事啊?這個(gè)時(shí)候,一張證書根本起不了什么作用。
招聘挑戰(zhàn)
如果打算勾引到頂級(jí)人才,需要用到的誘餌是相當(dāng)明顯的(79.7%的安全專業(yè)人士會(huì)因?yàn)楦叩男劫Y而跳槽),但這并不意味著你就能很快撬到想要的人才。
IDC對(duì)高級(jí)信息安全主管的一項(xiàng)調(diào)查表明:大多數(shù)工作經(jīng)驗(yàn)要求不到5年的職位只要3個(gè)月就能聘到人,但要求10年以上工作經(jīng)驗(yàn)的職位有21%都要至少1年才能招到人,而要求20年以上工作經(jīng)驗(yàn)的職位更是幾乎有一半要花費(fèi)1年以上的時(shí)間尋覓人才填補(bǔ)空缺。
我們面臨的,不僅僅是全球范圍內(nèi)的安全人才荒,還有很多分支領(lǐng)域更加求才無(wú)門。
對(duì)安全行業(yè)最主要的誤解之一,就是“安全人”的概念。通常人們談起安全,總以為這就是個(gè)單一的領(lǐng)域。實(shí)際上,安全行業(yè)中完全沒有交匯的工種多達(dá)幾十甚至上百個(gè)。杰出的惡意軟件分析師或許會(huì)是個(gè)糟糕的安全審計(jì)員,安全感知程序設(shè)計(jì)者也無(wú)法進(jìn)行安全代碼審核工作。因此,我們面臨的不僅僅是安全人才的全球性稀缺,還有很多子領(lǐng)域甚至更加人手不足。
搞安全的兄弟伙必須得是自己負(fù)責(zé)領(lǐng)域的技術(shù)專家。比如說,應(yīng)用安全團(tuán)隊(duì)中,敏捷環(huán)境Web開發(fā)就是必須精通的。開發(fā)人員/工程師則需要了解所處的云計(jì)算環(huán)境和團(tuán)隊(duì)采用的開發(fā)工具。基于這一點(diǎn),找到所需的安全人才并不難。只要狩獵那些要么已經(jīng)深入理解了這些技術(shù),要么非常期待在公司汲取這方面經(jīng)驗(yàn)的人就可以。
對(duì)安全專業(yè)人士來(lái)說,習(xí)得這些技術(shù),獲得極具價(jià)值的實(shí)際經(jīng)驗(yàn),可能需要花去數(shù)年的時(shí)間。為幫助人們理解安全專業(yè)人士是干神馬的,通常需要以IT世界為背景舞臺(tái)進(jìn)行解釋。在IT界,以下幾個(gè)分類基本是眾所周知的:網(wǎng)絡(luò)、服務(wù)器、桌面、應(yīng)用、數(shù)據(jù)庫(kù)。每個(gè)分類都有自己的主題專家。在安全界,你需要尋找的安全專業(yè)人士必須是掌握所有這些領(lǐng)域知識(shí)和經(jīng)驗(yàn)的全才。作為一名CISO,如果遇到能玩轉(zhuǎn)所有這些領(lǐng)域的人才,那就立馬簽下來(lái),使盡渾身解數(shù)留住他/她吧!這世上可沒多少人符合這么苛刻的標(biāo)準(zhǔn),因此,公司企業(yè)通常會(huì)退而求其次,尋來(lái)技術(shù)水平高超的IT人士,再把他們培養(yǎng)成安全專家。相對(duì)而言,這是IT人踏入安全門的合理且有效的職業(yè)途徑。
職業(yè)前景
目前是謀求職業(yè)發(fā)展或者轉(zhuǎn)行到安全界的極好時(shí)機(jī)。很多公司都在招聘安全領(lǐng)頭人,甚至剛開始招募公司歷史上首位CISO。即使勝任安全領(lǐng)頭人的人才極度稀缺,公司企業(yè)依然會(huì)招人填充進(jìn)這一角色,從未擔(dān)任過CISO的應(yīng)聘者也有可能成功獲得這一職位。
想要建立完善的安全教學(xué)體系,讓勞動(dòng)力市場(chǎng)上有充足的安全專家,這一過程可能需要20年。
但選擇安全作為職業(yè)并不是拿個(gè)學(xué)位那么簡(jiǎn)單的事。雖然建議選擇入行安全界,卻不建議去干諸如“學(xué)習(xí)安全”這種事。盡管現(xiàn)在已經(jīng)有學(xué)院提供安全學(xué)士和碩士學(xué)位,作為一個(gè)產(chǎn)業(yè),我們還可以在學(xué)校以外直接培養(yǎng)未來(lái)安全領(lǐng)頭人上做到更多。想要建立完善的安全教學(xué)體系,讓勞動(dòng)力市場(chǎng)上有充足的安全專家,這一過程可能需要20年。
不過,這20年還是蠻令人激動(dòng)的??梢宰龅氖潞芏?
在安全界找種自己愛好的技術(shù)或者門類,深入進(jìn)去,不要想著成為“安全人”,要奔著開發(fā)安全工程師而去,解決IT應(yīng)用環(huán)境中的安全問題。或者,成為一名安全合規(guī)專家,了解相關(guān)合規(guī)框架的復(fù)雜細(xì)節(jié),知道該怎樣利用這些框架讓公司更加杰出。再或者,當(dāng)一位安全Java開發(fā)大師,為普通問題設(shè)計(jì)出標(biāo)準(zhǔn)解決方法。
關(guān)鍵在于,找到你想解決的問題,深入追尋,探討細(xì)節(jié)。這些問題也許十年后都還存在,即使你無(wú)法為某個(gè)問題貢獻(xiàn)解決方案,別擔(dān)心,總有另一個(gè)問題能讓你興致盎然,生活充實(shí),且薪資客觀。