被勒索、洩個資事件頻傳,美企業都在搶資安長

作者 | 發布日期 2017 年 05 月 18 日 9:00 | 分類 人力資源 , 資訊安全 follow us in feedly

就在上週末,超過 150 個國家受到勒索軟體 WannaCry 的網路攻擊事件,全球約有超過 20 萬名網路用戶受害,更別提先前多起大型企業的個資洩漏事件,資訊安全問題已經開始受到企業注重,但問題在於,資安人才真的夠多嗎?




華爾街日報報導,根據美國網路安全教育中心(CCSE)的調查,2015 年全球資安人才的需求約為 150 萬人,估計至 2022 年時,需求將會再擴大 20%,來到 180 萬人。

國際電腦稽核協會(ISACA)的統計則顯示,2017 年在美國大型企業中,約有 65% 設有資訊安全長(CISO)的職位,較 2016 年的 50% 比例大幅提升。

資安長的條件?

諮詢公司 Mercer 也是尋找資安長的企業之一。自 3 月起,技術長 Gail Evans 就一直在尋找適任的資安長,Evans 表示,希望能找到具備足夠的執行經驗和自信的人才,能夠處理這個位置要面對的挑戰,來幫公司解決困境。

「我們希望找到一個在面對資安問題時,不會僵住失去思考能力的人」,但在經過 5 位應徵者的電話訪談和面試後,Mercer 還是沒有找到適合的人才。

做為一個新興的企業高層職位,資訊安全長必須能和執行長一同規劃策略,並在危機中與各級主管合作,帶領工程師團隊前進,運用自己的技術技能來揪出攻擊事件幕後的策畫者,來解決危機。

根據獵人頭公司海德斯哲(Heidrick & Struggles)的合夥人 Phil Seneidermeyer 估計,在多數行業中,經驗豐富的資訊安全長的薪資約在 40~50 萬美元(約台幣 1,200~1,500 萬元),若是在金融服務業,薪資還可以達到近 150 萬美元(約台幣 4,500 萬元)。

即使有如此高薪,資安長的工作並不是都適合每一個有對應技能的人。湯森路透(Thomson Reuters)的資安長 Tim McKnight 指出,當危機來臨時,資安長必須在幾個星期、甚至幾個月間承擔巨大的壓力工作,還得小心違約後果。

McKnight 以建築的屋頂修繕作為舉例,上去工作的人都必須保持平穩情緒工作,維持自己低血壓和心跳避免犯錯,「對一些人來說,太靠近太陽並不是最好的工作。」

資安人才的缺乏

在加入湯森路透之前,McKnight 曾在奇異電器(GE)、富達投信(Fidelity)、諾格(Northrop Grumman)、英國航太系統(BAE Systems)待過,在資安領域工作了近 17 年,業界只有少數資安長資歷能和 McKnight 相較,而海德斯哲的招聘顧問認得所有人。

為何招聘僱問會認識所有資深的資安長?Schneidermeyer 解釋,這是因為公司幾乎每個星期,都會接到許多通關於他們的詢問電話,「這真的很瘋狂,非常瘋狂。」

根據國際電腦稽核協會和諮商公司 Enterprise 2016 年調查,在受訪的 437 位資安人員中,約有 23% 具備資安長資格的人每週會收到 5 次以上的招攬邀約。在這樣人才缺乏的情況下,瓦里安醫療系統(Varian Medical Systems)花了 5 個月時間才找到一位適任的資安長。

執行長 Jessica Denecour 表示,為了應對越來越複雜的網路攻擊,許多企業開始將公司的資訊轉移到雲端,其中甚至包含具嵌入式感測器的醫療設備,為了避免系統被重新編程或患者的醫療隱私遭曝露,越來越多保健公司開始尋求適任的資安長協助。

「公司和客戶所處的環境風險都在變化,企業必須專注在這一點。」

目標百貨(Target)在 2014 年雇用了首任資安長,6 個月後就發現客戶數據洩漏情況,將近 4,000 萬名客戶的個人資料遭竊,這個攻擊讓目標百貨損失了近 2.02 億美元(約台幣 60 億元),也讓企業董事會開始關注資安問題。

在全球都缺乏資安人員的情況下,企業不僅需要尋找領導者,也必須提高員工對資安的意識。目標百貨的前任資安長 Brad Maiorino 指出,資安長必須持續培訓並指導員工,這樣即使離任後公司也能保持安全。「即使選擇繼續前進,你也不會希望資安因為你而分崩離析。」

(首圖來源:Flickr/Blogtrepreneur CC BY 2.0)

延伸閱讀: