网络安全战略人才框架

W H I T E P A P E RA P R I L 2 0 24 Contents 1吸引人才进入网络安全9 1.11.21.31.4 2教育和培训网络安全专业人员12 2.12.2 2.3评估网络安全教育的有效性并确保更好的14与行业需求保持一致 3招聘合适的网络安全人才15 3.13.23.3 4留住网络安全专业人员20 4.14.24.34.44.5人才保留的策略24 免责声明 本文件由世界经济论坛发布，作为对项目、洞察领域的贡献或互动。本文表达的调查结果、解释和结论是世界经济论坛促进和认可的合作进程的结果，但其结果不一定代表世界经济论坛的观点，也不一定代表其成员、伙伴或其他利益攸关方的整体观点。 ©2024世界经济论坛。保留所有权利。本出版物的任何部分不得以任何形式或任何方式复制或传播，包括影印和记录，或通过任何信息存储和检索系统。 执行摘要 战略网络安全人才框架应指导公共和私营部门决策者建立和维持熟练的网络安全劳动力。 在当今的超连接数字环境中，网络安全行业面临着近400万专业人员的严重全球短缺。随着对合格从业人员的需求逐年持续增长，赤字没有减弱的迹象。 除其他事项外，优先领域探讨如何： –通过提高对网络安全专业人员的理解，消除进入障碍并改善员工队伍的多样性，可以吸引更多的人才进入网络安全–可以改进网络安全教育和培训，以有效地使学生和专业人员掌握该领域职业的基本技能–可以通过应对诸如职位描述中不切实际和苛刻的要求以及招聘经理与人力资源（HR）部门之间的错位等挑战来重新考虑招聘实践–可以通过解决诸如缺乏对该领域的赞赏和认可以及高压力水平等问题来改善网络安全专业人员的保留 在网络威胁的复杂性和频率不断增加的时候，作为组织安全的支柱，网络安全劳动力在确保第四次工业革命的好处方面发挥着关键作用。未能确保网络安全专业人员的稳定供应可能会产生深远的后果，全球组织在面临新威胁时发现自己脆弱且人手不足。因此，决策者必须优先考虑网络安全人才管理作为战略需要。 认识到单靠一个参与者无法有效解决网络安全劳动力短缺的问题，世界经济论坛建立了“弥合网络技能差距”倡议。该计划汇集了50多个公共和私营组织，制定了战略网络安全人才框架（CTF），其中包括可行的方法，以帮助组织建立可持续的人才管道。 作为一个普遍适用的框架，CTF旨在为行业领导者，政府机构，民间社会和学术界提供参考-即所有利益相关者关注网络安全劳动力短缺，并致力于在各自行业发展和培养强大的网络安全人才。 更具体地说，CTF围绕四个关键优先领域展开，旨在为网络安全领域的人才管理提供整体方法。 Introduction 网络安全行业受到全球工人短缺的影响，迫切需要采取可行的方法来吸引和留住熟练的员工。 随着组织面临不断升级的网络威胁的复杂性-从复杂的勒索软件攻击到阴险的数据泄露-合格的网络安全从业人员的稀缺性已经达到了惊人的比例，超过三分之二的组织由于网络安全技能短缺而面临额外的风险也就不足为奇了。15 劳动力短缺是一个全球性问题，涉及民族国家和行业。据估计，到2030年，全球人才短缺可能超过8500万工人，导致未实现年收入估计损失8.5万亿美元。1 网络安全行业也受到这一普遍挑战的影响。而网络安全在2022年至2023年期间，劳动力增长了12.6%，全球网络安全专业人员短缺近400万。2随着对合格从业人员的需求逐年持续增加，几乎没有人乐观地认为供应会赶上。事实上，只有15%的组织乐观地认为网络技能和教育将在未来两年内显著改善这一状况。3 网络安全劳动力短缺的根本原因有很多。一个关键因素是网络安全格局的快速发展，超过了相应劳动力的发展。随着威胁行为者不断改进和创新他们的攻击方法，对具有多样化和专业技能的专业人员的需求超过了供应。然而，能够抵御不断增加的网络风险的熟练专业人员的短缺超出了组织面临的直接挑战。作为。 作为一种系统性风险，人们越来越担心网络安全劳动力赤字对国家安全、关键基础设施以及经济和社会的整体复原力和安全的潜在影响。此外，尖端技术的激增-例如生成人工智能（AI），量子计算和物联网-引入了新的风险，扩大了攻击面，因此进一步扩大了对配备不断发展的专有技术的网络安全劳动力的需求。网络安全部门也明显缺乏多样性-包括。 从区域角度来看，短缺在亚太地区最为明显，亚太地区的短缺超过 250万网络安全工作者，其次是北美，面临着近522,000人的劳动力缺口。4在总人口超过14亿的非洲，经过认证的安全专业人员的数量估计只有2万左右。5在国家一级，人才短缺在中国，印度，美国和巴西尤为明显。尽管印度拥有世界上最大的青年人口之一，并且在全球范围内拥有31.7％的科学，技术，工程和数学（STEM）毕业生，6,2023年5月，网络安全专业人员估计有4万个职位空缺。8由于人才短缺，这些空缺中有30％无法填补。9同样，截至2024年1月美国在私营和公共部门估计有448, 000个网络安全职位空缺。10 女性，移民，少数民族和神经多样性员工的代表-因此，91％的组织认为有必要在网络安全领域推动更多样化的人员也就不足为奇了。16 导致劳动力短缺的其他因素包括某些雇主（主要来自公共部门）无法与其他组织提供的薪水竞争等问题；教育计划之间的错位；网络安全行业不断变化的需求；以及该领域的职业机会缺乏明确性。 网络安全劳动力短缺在教育、政府和医疗保健领域尤为明显。11事实上，《2024年全球网络安全展望》发现，在为52%的公共组织设计网络弹性时，缺乏资源和技能是最大的挑战。12同样，由于缺乏网络技能，中小型企业（SME）难以数字化。研究表明，由于缺乏专家或在吸引，招聘和留住网络安全从业人员方面面临挑战，有43％的英国中小企业无法雇用网络安全支持。13当它来临时 为了解决网络安全劳动力缺口，以下战略网络安全人才框架（CTF）旨在向全球公共和私人决策者提供可行的方法和最佳实践，以帮助他们培养和维持一批熟练的专业人员。 对于特定的网络安全角色，云安全、网络威胁情报和恶意软件分析等领域的劳动力短缺非常严重。14 网络安全劳动力的格局是多方面的，涉及各种各样的参与者，形成一个动态的、相互连接的网络，致力于保护一个日益数字化的世界。 寻找共同语言 教育、招聘和留住人才是一项战略要务，需要采取可行的方法。 与此同时，某些采用者也可能选择扮演推动者的角色，作为CTF成功实施和持续改进的催化剂。推动者拥有专业知识、资源和工具，可以帮助驾驭网络安全人才管理的复杂性，产生切实的成果。Enablersinclude: 在讨论网络安全劳动力短缺时，“技能短缺”，“人才短缺”，“能力短缺”和“经验短缺”等术语尽管有明显的细微差别，但通常会互换使用。这种不准确导致对行业面临的特定类型的稀缺性的混淆和误解。 仔细观察不同类型的缺陷，“技能短缺”通常是指网络安全领域中特定角色所需的特定技术和软能力或能力的缺乏。在这种情况下，组织可能很难找到精通特定编程或外语的个人。上 政府实体：负责根据供求关系制定和制定网络安全劳动力发展的政策和法规，政府实体还可以为网络安全培训计划和计划提供资金，赠款和资源。政府实体的相关例子包括国家网络安全机构、教育部、信息和技术部以及劳动和就业部。 另一方面，“人才短缺”表明缺乏拥有更广泛的技能、知识和属性的个人，这些技能、知识和属性需要在不同的网络安全角色中脱颖而出。“能力短缺”一词超出了网络安全人员的范围，涵盖了诸如数字 私营部门：私营部门通常是网络安全专业人员的最大雇主，在支持和促进网络人才发展方面发挥着关键作用培训计划，并通过实习和学徒制为能力的实际发展提供各种途径。 在数字环境中建立和维护强有力的安全措施所需的基础设施和监管框架。最后，“经验不足”是指在处理现实世界的网络安全问题方面缺乏实用和动手的专业知识。除了这些类型的稀缺性，组织越来越难以找到具有正确动力和动力的个人。 国际/区域组织和发展机构：欧洲联盟、国际电信联盟、 美洲国家、世界银行和联合国通过一系列活动，包括制定政策、促进能力建设方案以及提供技术和财政援助，帮助建立一支精通网络的劳动力队伍。 为了设计有效和有效的解决方案来解决手头的问题，有必要确定给定的短缺的确切性质 地理、行业或组织正在遭遇。 重要的是要注意，在网络安全中，多种短缺可以同时以相互关联的方式出现。例如，最近的毕业生可能拥有正确的技能，但缺乏现实生活经验。另一方面， 非正规培训包括旨在为学习者提供网络安全技能、知识和正规教育系统之外的能力，包括社区教育、新兵训练营和实践竞赛以及专业发展课程。 有经验的专业人员可能缺乏技能，因为许多组织都在努力投资提高技能计划。最后，具有正确技能和经验的合格专业人员往往会寻求更高的薪水，而组织可能会发现自己面临劳动力短缺，仅仅是因为他们负担不起招聘人才的费用。 民间社会：民间社会组织通过提供负担得起的和可获得的教育和培训、通过指导机会支持妇女和青年等代表性不足的群体、主办网络活动和倡导支持性政策，促进网络安全劳动力的发展。 采用者和推动者 CTF的采用者和推动者之间的协同作用构成了网络安全劳动力全面发展方法的基石。 网络安全劳动力的格局是多方面的，涉及各种各样的参与者，形成一个动态的、相互连接的网络，致力于保护一个日益数字化的世界。 最重要的是CTF的采用者。从本质上讲，任何面临网络安全人才短缺的公共或私人组织都可以成为CTF的采用者。更具体地说，采用者承认吸引， 吸引网络安全人才 教育和培训网络安全专业人员 尽管网络安全职业往往报酬丰厚，目标明确，并为职业发展提供机会，但该行业仍在苦苦挣扎 无论是否面向中小学生、大学生或专业人员，网络安全教育方案都面临着诸多挑战，包括课程过时和错位、缺乏合格的教师和缺乏结构化的指导方案。这种挫折加剧了 四个优先领域 不能孤立地看待，而是作为全面的网络安全人才管理方法的相互关联的组成部分。 吸引人才。缺乏对网络安全专业人员在日常工作中所做的事情的了解，再加上对如何进入网络安全领域以及可能提供的职业机会的认识不足，使个人无法从事网络安全职业。此外，缺乏多样性（这使得可用工人的人才库比需要的要小），对利基人才的激烈竞争以及不断变化的工作需求加剧了组织吸引熟练人才的困难。 甚至由于对昂贵的网络安全学位和认证的频繁需求，具有不同的认可和相关性。识别学习者需求，背景和学习偏好的多样性的培训供应有限也阻碍了网络安全教育的有效性。 如何改善网络安全教育，使学生和专业人士有效掌握基本技能？ 可以采取哪些措施来吸引网络安全人才？ 留住网络安全专业人员 招聘合适的网络安全人才 网络专业人员经历的持续压力，疲劳和压力导致员工流失率很高。导致网络安全任期短的另一个因素是缺乏对网络安全人员的赞赏和认可。有时，个人为了其他内部机会而离开他们的网络安全角色，寻求责任的改变，而其他人则完全退出组织。网络安全专家的离职不仅对组织试图取代人才的财务影响，而且还会导致宝贵的机构知识的流失，并可能对受影响组织的安全状况产生影响。 虽然许多网络技能是可以转移的，但雇主对正规网络安全教育的需求 形成了进入的障碍。此外，由于职位描述中列出的广泛要求，包括认证和几年的经验，许多潜在的（入门级）候选人不鼓励申请网络安全职位。这种不切实际和苛刻的要求的根本原因之一是因为人力资源部门通常不了解他们正在招聘和从事的工作。 不会说网络安全的语言。 组织如何为人才创造激励并留住员工？ 组织如何重新思考招聘和人才采购实践？ 吸引网络安全人才 网络安全专业人员对数字世界产生有意义的影响，保护其免受网络威胁。 然而，尽管这是一项有价值的工作，对更广泛的社会有重大好处，但该行业仍在努力吸引人才。 造成这种困难的原因有很多，包括有缺陷的看法，即网络安全角色是高度技术性的。此外，约85％的网络安全专业人员认为个人通常不鼓励从事职业因为他们缺乏对该领域各种潜在角色和向上流动机会的洞察力。18 这一挑战在组织层面也很明