技能差距是企业网络安全风险主因

ISACA最近发布的《2023年网络安全状况》报告显示，网络安全技能差距正使企业更加容易受到攻击。绝大多数受访企业表示，与一年前相比他们遭受了更多的网络攻击，但因为安全团队人手不足或技能差距问题，企业在应对网络安全攻击时面临挑战。



在技能差距方面，报告指出，企业在雇佣网络安全专业人员时急需寻找一些顶级技术技能拥有者，涉及云计算（46%）、渗透测试（42%）、取证（38%）、身份和访问管理（38%）以及数据保护（38%）。总之，企业更愿意吸纳云计算领域拥有丰富经验的和顶级安全技能拥有者。
 
这是因为数据泄露是企业面临的主要挑战，而企业的在线业务现在基本处在云上。网络攻击事件将造成数据泄露，进而在业务停摆期间对供应链产生影响，最终影响企业声誉。这是企业当前面临的主要挑战。社工威胁、高级持续性威胁、勒索软件、安全配置错误、未修复的漏洞等则是企业普遍关注的安全技能。
 
技能差距是网络安全面临更大风险的主因，但这是一个持续存在的问题，同时因为全球长期处于百万以上的网安人才缺口，这让企业很难在招聘市场上找到令人满意的答案。所以，企业现在想要在日益增长的网络威胁面前保持领先，必须优先考虑在职人员的网络安全培训和技能提升上来，报告强调称。
 
报告还指出，企业的首席信息官正在建议，培训有兴趣过渡到安全角色的非安全人员，增加技能培训计划，并实施基于绩效的培训，利用人工智能/自动化，以及增加合同员工或顾问的使用，可能有助于解决其中一些技能差距。
 
在国内，2023年国家安全周期间，工信部联合企业、高校发布的《网络安全产业人才发展报告》（2023版）同样将“在职人员能力提升体系欠缺”列为网安人才建设的主要挑战之一。但网安市场高技能人才相对流通频繁，这可能也是企业不愿做内部培训这件事的主要原因。