浑水摸鱼

不过即便要面对如此复杂的环境，鉴于市场需求的客观存在，短时间内也会有很多从业者蜂拥至这一领域当中，这在某种程度上又会带来新的问题。某些人肯定会主动请战，明知能力不足经验不够仍想冒险一试。

普渡大学信息保障与安全教研中心执行总监Eugene Spafford认为，旺盛的需求“往往会让那些背景存疑的从业者将自己塑造成该领域的‘专家’。由于缺乏有说服力的竞争与参照机制，其中一些人肯定会被正式录用。”而更多时候，那些真正合格的候选人可能被认为不能应付恶化的环境而扫地出门。

他认为，目前某些企业将CSO角色定位为“背黑锅者而非价值供应者”——也就是说如果敏感数据遭遇外泄，CSO将首当其冲遭受指责，即使真正的原因在于某位员工“翻墙”将信息带到了非安全区域，CSO仍是替罪羊，这也给“冒险者”可乘之机。

如何应对人才短缺

Noble还指出，信息安全被视为增长速度最快的领域之一，市场上对CISO需求的增加速度显然快于人才培养的速度：“信息安全专业人员的数量预计在未来五年内每年增幅都将超过11%，即便如此人才短缺仍然存在。”

如何解决这样的困境?目前大家普遍认为安全培训应该成为优先级更高的主流教育课程，CSO这个职位本身也需要得到更多宣传与推广。Noble认为网络安全培训必须尽早开始：“安全必须成为早期教育课程中的组成部分，并贯穿从业者的整个求学生涯。”

不过单靠培训还不够，甚至研究生阶段的教育也难以达到实际要求，因为大部分企业都希望找到一位真正合格的CSO。按照Shaw的说法：“合格的CSO需要能够在上任的第一天就投入实际工作。对于刚刚走出校门的研究生来说，他们在实践层面的经验还非常匮乏。我认为这个难题可以通过充分的实习经历以及毕业后的从业积累加以解决。”

目前这一计划正在进行，普渡大学信息保障与安全教研中心(简称CERIAS)已经推进类似的方案。Noble说，这类方案在技术与其它学科之间建起了桥梁，能够帮助未来有意进军CSO角色的学生提前做好准备。他还列举出其他尚处于起始阶段的项目，并表示，这些项目旨在帮助成长中的人才同时从能力与专业两个方面汲取营养。参与项目推动的机构包括英国eSkills、欧洲标准化委员会(简称CEN)、国际标准化组织(简称ISO)、国际电信联盟、电信发展部门(简称ITU-D)以及NICE Framework。(ISC)?同样以多种方式向其中投入资源作为支持。

但是，对于那些无法耐心等待必须尽快找到相关人才的企业来说，Stroz认为目前最可选的解决方案在于将工作外包给专业咨询企业。他的理由是：在选拔合适人选的过程中“往往会涉及企业现有安全漏洞，这样的讨论内容相当敏感，因为难免会涉及大量价值极高的知识产权信息。”外包会相对安全。

所有的问题最终归结为人才在技术与业务两类技能方面的“高度适应性”。“目标在于建立一套与企业业务目标相一致的风险管理环境，”Stroz指出。“没有这样的前提作为辅助，不管是招聘专职还是外包都不可能获得令人满意的结果。”

(责任编辑：)