如今，网络安全就业市场正面临一个不寻常的悖论：许多职位似乎都是开放的，但竞争和招聘实践可能会使获得职位成为一项真正的挑战。

网络犯罪的成本持续上升。与此同时，网络安全行业也面临着前所未有的人才短缺问题。根据 ISC2 的“2024 年网络安全劳动力研究”，全球网络安全劳动力必须增加 340 万名专业人员才能满足需求。尽管存在这个问题，就业市场对候选人来说仍然充满挑战。CyberSeek 表示，从 2023 年 9 月到 2024 年 8 月，美国有 457,433 个网络安全职位空缺，雇主正在努力寻找具有必要技能的工人。

造成这种情况的原因之一是网络威胁的快速发展。随着网络攻击每年变得越来越复杂，专业人士必须及时了解一系列不断变化的漏洞和策略。IBM 2024 年的一份报告指出，由于 有效应对这些威胁需要高度的专业技能，60% 的组织一直在努力填补网络安全职位。

主动和防御性网络安全专家的供需之间存在严重不匹配。许多进入该领域的专业人员主要接受进攻技术培训，例如渗透测试，尽管该行业不需要该领域的如此大量专家。结果，一些人被迫离开该行业或将注意力转移到防御技术上。那些过渡到防御角色的人经常会遇到困难，因为他们面临着大量的文书工作和日常任务，与同事相比，这可能导致更快的倦怠。

某些地区（尤其是美国、英国和欧盟）的监管和合规要求增加了另一层复杂性，尤其是在金融、医疗保健和国防等领域，并成为另一个限制因素。许多网络安全职位，尤其是政府或处理敏感数据的部门的职位，不仅需要技术技能，还需要本地（例如基本法律）专业知识。

专业人员通常必须熟悉特定的监管框架，至少在表面上熟悉，例如欧洲的通用数据保护条例 （GDPR）、美国的美国国家标准与技术研究院 （NIST） 或 ISO全球标准。这些网络安全角色还可能需要获得公民身份或安全许可才能被邀请工作，这使得从国外（如印度、菲律宾等国家）重新安置人才或聘请外包人员变得困难。德勤的一份报告证实，许多组织很难招聘以合规为重点的职位，因为他们不能简单地用远程或外包员工来填补这些职位，因为超过 40% 的合规网络安全职位无法外包。

初级网络安全专业人员的就业市场目前尤其具有挑战性。虽然并非所有职位都需要高度专业化或经验丰富的候选人，但公司目前不愿意聘请在网络威胁方面的实践经验较少的入门级专家。

幽灵工作和高期望

然而，有一个重大问题让各级专家感到沮丧。这就是“幽灵工作”的盛行。 网络新闻强调，它们占网络安全职位发布的近一半。

许多人力资源部门发布这些列表只是为了为未来的职位空缺建立潜在候选人库。不幸的是，这种方法浪费了候选人的时间，导致沮丧，并在市场上产生误导性的就业机会感。此外，这些工作机会通常带有夸大或过于宽泛的要求。单个列表可能需要渗透测试、网络防御和法规遵从方面的技能——这些能力通常分布在不同的角色中。

如何行动

每年，网络安全领域只产生有限数量的新专家，但很少有公司积极投资于这一管道。相反，许多人依赖这个小人才库，而不支持教育计划、实习或初级项目，而这些计划可以培养更大、更熟练的专业人士基础。

根据 ISACA2024 年的一份报告，只有不到一半的公司采用结构化的方法来培养内部网络安全人才，他们更愿意寻找“现成”的专家，而不是为培养新专家做出贡献。缺乏行业承诺只会加剧人才短缺，因为公司很难找到具有合适专业知识和实践经验的候选人。

为了弥合这一差距，企业必须重新思考人才培养方法。投资于初级专业人员，提供更多资源以使安全角色有效，并与教育机构合作建立稳定的技术人才管道至关重要。只要企业继续忽视这些努力，他们就会面临职位空缺和网络风险加剧的持续循环。只有对培养人才做出更坚定的承诺，该行业才能帮助为未来建立一支强大、可持续的网络安全劳动力队伍。#加密软件#