被勒索、洩個資事件頻傳，美企業都在搶資安長

【Technews科技新報】就在上週末，超過 150 個國家受到勒索軟件 WannaCry 的網絡攻擊事件，全球約有超過 20 萬名網絡用戶受害，更別提先前多起大型企業的個資洩漏事件，資訊安全問題已經開始受到企業注重，但問題在於，資安人才真的夠多嗎？

華爾街日報報導，根據美國網絡安全教育中心（CCSE）的調查，2015 年全球資安人才的需求約為 150 萬人，估計至 2022 年時，需求將會再擴大 20%，來到 180 萬人。

國際電腦稽核協會（ISACA）的統計則顯示，2017 年在美國大型企業中，約有 65% 設有資訊安全長（CISO）的職位，較 2016 年的 50% 比例大幅提升。

資安長的條件？

諮詢公司 Mercer 也是尋找資安長的企業之一。自 3 月起，技術長 Gail Evans 就一直在尋找適任的資安長，Evans 表示，希望能找到具備足夠的執行經驗和自信的人才，能夠處理這個位置要面對的挑戰，來幫公司解決困境。

“我們希望找到一個在面對資安問題時，不會僵住失去思考能力的人”，但在經過 5 位應徵者的電話訪談和麵試後，Mercer 還是沒有找到適合的人才。

做為一個新興的企業高層職位，資訊安全長必須能和CEO一同規劃策略，並在危機中與各級主管合作，帶領工程師團隊前進，運用自己的技術技能來揪出攻擊事件幕後的策畫者，來解決危機。

根據獵人頭公司海德斯哲（Heidrick & Struggles）的合夥人 Phil Seneidermeyer 估計，在多數行業中，經驗豐富的資訊安全長的薪資約在 40~50 萬美元，若是在金融服務業，薪資還可以達到近 150 萬美元。

即使有如此高薪，資安長的工作並不是都適合每一個有對應技能的人。湯森路透（Thomson Reuters）的資安長 Tim McKnight 指出，當危機來臨時，資安長必須在幾個星期、甚至幾個月間承擔巨大的壓力工作，還得小心違約後果。

McKnight 以建築的屋頂修繕作為舉例，上去工作的人都必須保持平穩情緒工作，維持自己低血壓和心跳避免犯錯，“對一些人來說，太靠近太陽並不是最好的工作。”

資安人才的缺乏

在加入湯森路透之前，McKnight 曾在奇異電器（GE）、富達投信（Fidelity）、諾格（Northrop Grumman）、英國航太系統（BAE Systems）待過，在資安領域工作了近 17 年，業界只有少數資安長資歷能和 McKnight 相較，而海德斯哲的招聘顧問認得所有人。

為何招聘僱問會認識所有資深的資安長？Schneidermeyer 解釋，這是因為公司幾乎每個星期，都會接到許多通關於他們的詢問電話，“這真的很瘋狂，非常瘋狂。”

根據國際電腦稽核協會和諮商公司 Enterprise 2016 年調查，在受訪的 437 位資安人員中，約有 23% 具備資安長資格的人每週會收到 5 次以上的招攬邀約。在這樣人才缺乏的情況下，瓦里安醫療系統（Varian Medical Systems）花了 5 個月時間才找到一位適任的資安長。

CEO Jessica Denecour 表示，為了應對越來越複雜的網絡攻擊，許多企業開始將公司的資訊轉移到雲端，其中甚至包含具嵌入式感測器的醫療設備，為了避免系統被重新編程或患者的醫療隱私遭曝露，越來越多保健公司開始尋求適任的資安長協助。

“公司和客戶所處的環境風險都在變化，企業必須專注在這一點。”

目標百貨（Target）在 2014 年僱用了首任資安長，6 個月後就發現客戶數據洩漏情況，將近 4,000 萬名客戶的個人資料遭竊，這個攻擊讓目標百貨損失了近 2.02 億美元，也讓企業董事會開始關注資安問題。

在全球都缺乏資安人員的情況下，企業不僅需要尋找領導者，也必須提高員工對資安的意識。目標百貨的前任資安長 Brad Maiorino 指出，資安長必須持續培訓並指導員工，這樣即使離任後公司也能保持安全。“即使選擇繼續前進，你也不會希望資安因為你而分崩離析。”

（首圖來源：Flickr/BlogtrepreneurCC BY 2.0）

如需獲取更多資訊，請關注微信公眾賬號：Technews科技新報

跨足科技、電腦、移動設備與能源產業新聞的網絡媒體，為讀者提供各式實用資訊。

Latest posts by Technews科技新報