杰森霍夫曼开始了他的职业生涯,作为一名内部审计员,但7年后,他准备离开他“真的很擅长”的工作,并尝试不同的东西。安全过渡超过18年前的“可能是我职业生涯最好的决定,”霍夫曼,谁现在是在CSO营销自动化软件供应商的Marketo说。“我不认为任何人在1998年能够预见多么重要的安全性会有今天。”
“公司高管和他们的董事会更敏锐地意识到,安全不只是一个IT问题,但它是一个商业问题,”霍夫曼说。“因此,安全是所有企业越来越重视,无论行业的。”
研究证实了安全对企业的重要性。CSO Online的姐妹网站CIO.com对IT高管进行了调查CIO的报告2016年国说:“提高网络安全排名第三的他们的CEO们已经为他们的个人(29%)的目标名单上,后面完成的重大企业项目(40%),并达到特定的收入目标(32%)。”与此同时,那些IT管理人员报告说,“安全是其中顶尖的技术举措推动IT投资(29%),几乎与云计算(30%)和大数据/业务分析(27%)相等。”
[现在注册以查看和下载工资比较和择业观数据在一个方便的图表]
霍夫曼说:“聪明的公司,那些从长远来看会成功的公司,会在安全方面投资,而且会做正确的事情。”对安全的投资转化为对人的投资。根据《计算机世界》2016年IT薪酬调查*,信息安全经理是IT行业最热门的职位(见下图1),平均总薪酬增幅最大(2015年至2016年增长6.4%)。信息安全专家也进入了热门工作名单,平均总薪酬增长了4.7%,与软件开发人员并列第五。
同时,由计算机世界调查安全主管和经理的刚刚超过一半(51.3%)表示,他们预计IT员工人数在未来一年增加。对他而言,霍夫曼说的Marketo目前正在招募信息安全的总监,他希望“扩大安全团队今年着重于技术的角色,如安全架构师,安全工程师和安全专家。”这一趋势也适用于身份管理提供商坪身份,其中CISO罗布雷克萨斯说,他们计划“增长显著今年保障部门,对应用安全,DEVOPS /基础设施的安全性,以及安全治理与合规员工。”
所有这些都为那些选择从事安全行业的人描绘了一幅美好的前景,霍夫曼表示,他“绝对”会推荐这一举措。
满意度较高;工资上涨
接受Computerworld调查的安全专家中有89.9%的人表示,他们要么非常满意,要么对从事IT业的决定感到满意。几乎同样多的人表示,他们觉得自己目前的处境要么非常安全,要么很安全。霍夫曼说:“安全不会消失。“随着大数据的扩散和货币化,企业需要安全专业人士来帮助它们保护数据。”
接受调查的安全专家的73.2%的人表示,他们认为,对于工资晋升从事IT工作路径和潜力超过其他大多数职业道路看好。雷克指出,“安全只是变得越来越重要,”和Hoffman补充说:“安全专业人员指挥相比,大多数IT角色的工资溢价。”
与此同时,毫不奇怪,保安的工资都在上升和良好的时间预计继续滚动。
接受调查的安全专家的76.1%的人表示,因为一年前,他们的基本工资增加。在那些谁报告了去年的工资增长,安全专家更有可能比其他IT专业人士到网站内部晋升(14.3%对10.5%),额外的/新的责任(15.2%比7.8%),或与促进新工作在不同的组织(10.5%对3.6%)的原因增加。安全专家(与所有IT专业人员的25.3%),34.1%的人表示,他们预计将在不同的组织从现在起5年之内更高级别的位置,而28.3%的预期中被提升到一个更高的水平位置同一家公司。
到底出了什么问题?
改写那部莫名其妙地长时间播出的电视剧的主题曲生活的真相,你接受好的,你接受坏的,你都接受,这样你就有了市场动态。
是的,安全专家的就业市场是热,这是为工资和流动性好,但它的一个严重的人才短缺:23.2%的安全优点(所有的it职员的12.3%)说,他们认为人才短缺是it行业面临的最大挑战。
史蒂夫特雷诺/ CSO
“随着失业率徘徊在0%,聘请经验丰富的一般安全专业人士是指从该公司挖走人才在大街上,”雷克说。“所有这一切确实是移动人才的缺口在路上,只能加剧人才短缺的问题。在,我们就越是帮助世界上普遍发现和培养了新的安全专业人士,我们所做的更好。”
“这个影响是无处不在,”雷克补充道。“如果一个公司不能雇用其人员计划就意味着要么丢失了关键的路线图项目或迫使现有的员工进行英勇的努力把它全部完成。没有情况是可以接受的,要么会导致灾难的中期。”
安全专家更容易比其他IT专业人员(64.5%比58.7%)报告压力下,以提高生产率,并采取新的任务,这种情况不太可能在未来一年改善:安全人员的60.1%(所有IT专业人员的56.1%)表示,他们预计自己的工作量和责任在未来12个月增加。
在那些谁被要求提高生产力和/或承担新的任务,安全人员的79%的人表示,他们的工资没有被调整,以补偿增加的工作量(尽管他们在这里表现好于一般的IT专业人士),他们比其他IT专业人士(60.9%对55.3%)更容易觉得自己的薪水没有跟上业务增长和需求的步伐。
这足以让任何人想要跳槽。
史蒂夫特雷诺/ CSO
有钱能使鬼推磨
在栅栏的另一边的草地补丁看起来强大绿色安全专家说,他们谁是是主动或被动寻找他们的组织之外的新工作的49.2%。
“随着安全专业人员和需求增长不足,市场肯定已经允许专业人士寻求新的机遇,”霍夫曼说。
史蒂夫特雷诺/ CSO
73.9%的安全专业人士(60.7%的IT专业人士)表示,招聘机构或猎头公司曾就工作机会接洽过他们。在没有找新工作的安全专业人士中,只有8.5%的人说,这是因为就业市场不景气或机会很少(相比之下,所有接受调查的it专业人士中有13.1%的人说这是因为就业市场不景气或机会很少)。
对于谁是寻找一个新的工作安全专家,他们的求职中最难的部分是不知道他们从一个新的位置想要的东西,因为它是其他IT专业人士,但知道多少赔偿要求。
安全专家更可能比其他IT专业人员有IT相关的证书(81.9%比54%),并更容易相信,有认证帮助他们找到一份工作,挣晋升或获得加薪(62.8%相比,41.6%)。但霍夫曼和雷克说,认证不携带尽可能多的重量技能和经验。
“认证是为那些谁是新的行业是有利的,”霍夫曼,谁相信,说:“认证提供了坚实的基础,并证明一个人的职业承诺。但他们不是一个必须具备的。”
Reck adds that while "certifications do have some value," for "most of [his] hires, [he is] worried only about the skills - can they do what I need them to do? A certification doesn’t play a role in that at all."
招聘挑战
如果你是雇主希望吸引顶尖人才,这是很清楚什么杆,你需要拉(安全人员的79.7%的人认为加薪会说服他们跳槽),但是,这并不意味着你不有你的工作等着你。
根据IDC调查在infosec的高级管理人员中,大多数需要少于5年工作经验的职位在3个月内就能得到填补。“但是,当我们寻找更有经验的安全专家时,我们似乎达到了这个临界点,”IDC的IT执行计划的安全研究副总裁Pete Lindstrom说。根据这份报告,需要10年以上工作经验的工作中,有21%需要一年或更长时间才能完成,而需要20年以上工作经验的工作中,有近一半需要一年以上才能完成。
“围绕安全行业的一个主要误解是‘安全人员/女孩’的概念,”Reck说。他说:“人们讨论这个问题的方式似乎是,安全是一种单一的实践。实际上,在安全行业中有数十条甚至数百条完全独立的路径,其中许多与其他路径几乎没有重叠。一个优秀的恶意软件分析师可能会成为一个糟糕的安全审核员,而一个安全意识程序设计者不能执行安全代码审查。因此,我们不仅面临全球“安全”人才短缺的问题。还有许多子领域甚至更加人手不足。”
“在我的计划,我需要安全人员谁是他们将确保技术专家,”雷克说。"So for my appsec team, they need to understand web development in an agile environment. My devops/engineering folks need to understanding the cloud computing environment we are in, and the devops tools we use. So I can’t simply find ‘a security person.’ I need someone who either already has deep knowledge in those technologies, or is hungry to gain that experience here at Ping."
“对于一个专业的安全性,它需要数年时间来学习所需的技能,并获得现实世界的经验,可以使他们有效地自己的工作,”霍夫曼说。“为了帮助人们什么安全专业人员做,我经常告诉他们在IT的世界里解释,你有以下组:网络,服务器,桌面,应用程序和数据库各基团的有主题专家在世界各地。security, you need to find someone with knowledge and experience in all of those areas. If you’re a CISO and find someone who has command of all of these areas, hire them right away and do everything you can to retain them. There are not many people who match this criteria, therefore companies typically look for highly skilled IT staff and train them in security. This is a legitimate and effective career path for IT staff to grow into the security space."
职业前景
霍夫曼和雷克都说,现在是职业发展的好时机,或者说是向安全的过渡的好时机。霍夫曼说:“越来越多的公司正在寻找安全主管,甚至是他们的第一个CISO。”“尽管缺乏安全主管,但企业仍在填补这些职位空缺,往往是由一位以前从未担任过CISO的候选人担任。”
但在安全择业是不那么简单,拿到学位。Reck says that while he recommends a career in security to anyone who asks, he says he "wouldn’t recommend something as general as 'go study security.'" Hoffman adds that "Although there are now some colleges offering Bachelor’s and Master’s degrees in security, as an industry we still could do more to help train our future security leaders straight out of college," says Hoffman. "It is going to take 20 years to get where we need to be in having schools at all levels have security teachers and professors teach security to students so the workforce is stacked with security experts."
但是,唉,有什么令人兴奋的传承二十年将是!
“找一个技术或安全范围内的学科,[你]很在意,并在[你]能真正享受到[自己],然后潜入说,”雷克说。“不要成为一个‘安全人’。是DEVOPS安全工程师,解决在AWS环境与安全的问题。或者是一个安全合规专家,理解复杂的细节相关合规框架,以及他们如何可以用来使你的公司好。或安全的Java开发大师,使标准化方法常见问题“。
“关键是找到一个你想要解决的问题,然后非常详细地解决它,”Reck说。“这些问题在未来十年都不会消失。如果你不能解决其中一个问题,别担心,后面还会有另一个问题让你感兴趣,让你忙碌,让你拿高薪。”
*对于其2016 IT薪资调查显示,接受调查计算机世界3,878 IT专业人士,其中138名受访者的安全冠军。