2023年全球网络安全现状

2023 年网络安全现状劳动力、资源和网络运营的全球发展新态势信息安全 © 2023 ISACA。版权所有。 2 2023 年网络安全现状——劳动力、资源和网络运营的全球发展新态势目录 4 执行摘要 5 调查方法 5 网络安全人才面临长期挑战 8 / 人员配置 10 / 岗位空缺 14/ 留住人才 15/ 企业福利缩减 17 深入探究人才输送问题 20 / 对大学毕业生的调查 22 / 员工资质问题 22 / 对职场新人的调查 22 / 针对人力资本的缓解措施 27 网络安全预算缩减 30 威胁态势 31 / 对检测和监控的信心 31 / 威胁行为者和攻击 36 网络安全成熟度——一项正处于发展阶段的工作 38 全组织方位的一致性 40 结论——未见显著变化 41 致谢 © 2023 ISACA。版权所有。 3 2023 年网络安全现状——劳动力、资源和网络运营的全球发展新态势摘要 ISACA 于 2023 年第二季度进行了一年一度的“全球网络安全现状调查”，《2023 年网络安全现状——劳动力、资源和网络运营的全球发展新态势》一文对相关调查结果进行了总结汇报。该调查报告聚焦当今网络安全人才发展、人员配置、网络安全预算、威胁态势和网络安全成熟度等领域的发展趋势。总体上，2023 年的调查数据再度印证了 2022 年的调查结果，甚至几乎与去年的数据如出一辙。但是进一步的深入分析表明，与之前的调查结果相比，2023 年的数据可能受到地缘政治、经济和技术进步的影响，表现出一些微妙的变化。 © 2023 ISACA。版权所有。 4 2023 年网络安全现状——劳动力、资源和网络运营的全球发展新态势执行摘要 ISACA 第九次全球网络安全现状年度调查持续聚 • 对员工进行交叉培训以及选用承包商和顾焦网络安全领域的发展趋势以及当下面临的挑战问依然是缓解劳动力短缺问题的主要方式。继去年以来，ISACA 继续深入探讨网络安全人。才技能组合以及入门级岗位人员配置等长期议题 • 52 % 的企业在设立入门级岗位时要求雇员。《2023 年网络安全现状》这一报告对网络安全拥有大学学历，这与 2022 年的数据一致，技能和人员配置、资源、网络威胁和网络安全成但不同地区的数据则表现出了明显的变化熟度等方面的调查结果进行了深入分析。 ——欧洲和非洲的数据有所下降，亚洲和北美洲保持不变，拉丁美洲和大洋洲的数本次调查结果与往年的调查结果基本一致，但当据则大幅上升。今时代科技进步日新月异、经济形势动荡不安、重大网络安全隐患时刻存在，这些要素都可能对据统计，受访者对网络安全项目资金的看法本次调查数据产生影响，导致数据发生一定的变化。社会发展存在多种不确定性，这导致员工不与 2022 年基本相同。去年对网络安全预算的乐观看法昙花一现，当下企业普遍认为下一再频繁跳槽。尽管多数公司仍有职位空缺，但调个预算周期将遵循少花钱多办事的原则。年查结果表明，绝大多数企业预见了经济衰退的趋度网络风险评估仍在进行中，相关数据显示势，并有意提前缩减公司预算以及薪酬补贴。，企业将更为频繁地进行小幅度改善。主要调查结果如下： • 在负责安全管理工作的受访者中，工作经验不足三年的人数占比与往年数据持平。此外，受访者的人口统计信息表明，安全管理人员呈现出老龄化的趋势。 • 71%的受访企业仍有空缺的网络安全岗位，其中空缺的高级岗位数量是入门级岗位的两倍。没有岗位空缺的受访企业数量增加了 6 个百分点。 • 企业明显缩减了学费报销以及聘用奖金等员工福利，越来越多的企业推出“带薪志愿服务休假”。 • 软技能是网络安全专业人士和大学毕业生技能差距中的主要问题，而存在于前者的软技能差距有所恶化。在现有从业人员中，云计算技能掌握情况比 2022 年提高了5 个百分点。大学毕业生的技术技能表现与2022年的数据基本相似，在安全控制和网络运维方面略有提高；值得关注的是，大学毕业生网络相关能力方面的数据下降了4 个百分点。去年对网络安全预算的乐观看法昙花一现，当下企业普遍认为下一个预算周期将遵循“少花钱多办事”的原则。企业遭受网络攻击的频率与安全领导者和网络安全团队的一致性毫无关联，但部分企业在董事会层面着重考虑网络安全问题并将网络安全战略融入企业目标，这些企业更有可能会设立首席信息安全官（CISO）及其下属的网络安全团队。很多企业则会忽视这种一致性，由首席信息官（CIO）统领网络安全团队，这种企业不设立首席信息安全官（CISO）或首席安全官（CSO）的可能性要高出一倍。 © 2023 ISACA。版权所有。 5 2023 年网络安全现状——劳动力、资源和网络运营的全球发展新态势调查方法 2023年第二季度，ISACA向全球发出在线调研的邀请，对象为网络安全从业人员，包括持有 ISACA 国际注册信息安全经理（CISM ）证书的人士或者在信息安全领域任职的专业人士。其中，共有 2178 名受访者完成了全部调查，调查结果展示了受访者的回答情况1。该调查的误差范围为 +/- 2%，置信区间为 95%。该调查采用多项选择和李克特量表的形式，主体内容包括七个部分： • 人员配置 • • • • • 网络安全预算网络安全威胁网络安全成熟度网络风险度量组织治理本次调查的调查对象为负责网络安全工作的人员。在2178位受访者中， 53%表示网络安全是他们的主要专业职责领域。图 1 是受访者的人口统计信息，他们来自 112 个不同的国家和地区。图 2 进一步说明了本次调查的覆盖范围之大，受访者代表了 17 个以上的行业。 • 技能网络安全人才面临长期挑战从行业的总体从业人员概况来看，网络安全就业市场似乎为拥有雄心壮志的网络安全从业者以及跳槽人员提供了巨大的机会。迄今为止，价值数十亿美元的全球网络安全培训市场2 、丰富的大学课程和数不胜数的其他举措（如学徒制、再培训、奖学金）都无法扭转供需失衡的市场现状。尽管越来越多的调查预计就业市场将呈现出供不应求的趋势，但几乎没有看到任何有效的解决措施。继续过度关注人员短缺问题并试图填补那些未经核实的网络安全人员空缺岗位并非良策，因为这不仅没有解决市场中空缺岗位重复发布的问题，也没有考虑到壮志难酬的从业人员们，他们花费了大量的时间和金钱完成了对自身的培训，却依然无法在网络安全领域就业。尽管美国国家网络劳动力和教育战略（NCWES）3以及全球其他类似的项目已经做出了全面的努力，但它们无法迫使企业设立更多的入门级岗位。如果不能解决这一关键问题，就算学生和跳槽人员掌握了相关的知识和技能并且拥有相关证书，他们因缺乏工作经验而无法就业的问题将变得更加严重。 1 部分问题的答案中存在“不知道”的选项，与往年一致，这种选项将视情况在计算结果中予以剔除。计算结果将基于四舍五入的原则取最为相近的整数值。 2 Patil, V.；《2022 年网络安全培训市场报告——未来趋势研究》，LinkedIn，2023 年 1 月 20 日， https://www.linkedin.com/pulse/cyber-security-training-market-report-2022-research-vinayak-patil/ 白宫，“《国家网络劳动力和教育战略》：建设美国网络人才”，2023 年 7 月 31 日， https://www.whitehouse.gov/briefing-room/statements-releases/2023/07/31/fact-sheet-biden 3 © 2023 ISACA。版权所有。 6 2023 年网络安全现状——劳动力、资源和网络运营的全球发展新态势图 1：受访者人口统计信息地区北美* 93% 亚洲** 欧洲 42% 26% 13% 中国† 3% ISACA 会员行业 5% 3% 4% 拉丁美洲 24 % 印度 5% 非洲大洋洲 * 包括加勒比和中美洲 **不包括中国 † 包括香港、澳门和台湾技术服务 / 咨询主要职能领域 21 % 金融/银行 40 % 网络安全管理 59% 7% IT 合规性管理 12% 14% 13 % 政府/军事（国家/州/地方）网络安全专员 © 2023 ISACA。版权所有。 IT 风险管理受雇企业的人员规模超过 1500 名员工 7 2023 年网络安全现状——劳动力、资源和网络运营的全球发展新态势图 2：所代表的行业请选择贵公司的所属行业。技术服务/咨询 24% 21% 金融/银行政府/军队（国家/州/地方） 14% 其他 9% 保健/医疗 5% 制造/工程 5% 保险 4% 电信/通信 4% 零售/批发/分销 3% 公共设施 2% 运输 2% 采矿/建筑/石油/农业 2% 1% 广告/营销/媒体 1% 航空航天 1% 公共会计制药 1% 法务/法律/房地产 1% 0% 10% 20% 30% 40% © 2023 ISACA。版权所有。 50% 60% 70% 80% 90% 100% 8 2023 年网络安全现状——劳动力、资源和网络运营的全球发展新态势网络安全现状形势严峻——员工队伍老化，入门级职位紧缺。把关制度的存在4 、 5和职位描述不清 6导致局势恶化，企业如此作为终将自食其果，再多的再就业培训计划也无济于事。此外，当前员工倦怠问题严重7 ，经济形势动荡8，多数企业重启了线下办公模式9,10，这使本已脆弱的局面雪上加霜。网络安全现状形势严峻——员工队伍老化，入门级职位紧缺。据经济学家预测，全球经济可能会进入衰退期。11曾经在“大辞职潮”的影响下，从业人员跳槽指数一度创下新高，但那可能已经成为过去式，经济的不确定性迫使员工不敢轻易变动工作。12 目前的经济发展情况可能不会影响那些经验丰富的网络安全专业人士挑选其满意的岗位，但有证据表明，很多企业有意通过减少福利来缩减开支。人员配置在 ISACA 调查中，管理从业经验不足三年的安全人员团队的受访者占比保持不变，仍为 44%。劳动力体系面临着诸多挑战，为日益老龄化的劳动力带来了压力。在 ISACA 的调查中，35 至 44 岁的受访者人数占比最高