網絡安全人才短缺,估計到2021年,全球會有350萬個空缺。隨著網絡攻擊愈來愈多,包括有組織的犯罪集團和國家級的黑客,數據洩露事故無日無之。另一方面,網絡安全的管制愈趨加強,歐盟國家的GDPR法規(General Data Protection Regulation)實施兩年,共收到9.8億港元的罰款。面對嚴峻的環境,機構對網絡安全求才若渴,但人才卻供不應求。
網絡安全是很專門的行業,對從業員的技術要求頗高,而且要掌握足夠的威脅情報(threat intelligence),才能更有效防禦網絡攻擊,因此。資源不足的中小企通常考慮外判這類工作予託管安全服務(managed security services)的供應商;大機構則可提供友善的工作環境、清晰的職業發展路線圖,以及適合的訓練以吸引人才。
在人才不足的情況下,留住員工至為重要,需知道重新培訓新員工並讓他們熟悉公司環境需時,因此企業皆重視留才,從業員的工作前景非常穩定。由於網絡安全會接觸到資訊科技的每個層面,不少機構亦會吸納一些有經驗的系統管理員、網絡工程師,甚至應用程式開發人員,轉到網絡安全這行業上發展。
若有意在網絡安全行業發展,可先裝備自己,考取大機構常見要求的CISSP、CISA、CISM和CEH等認證,這些認證亦可顯示你對行業的熱誠和投入,增加獲取錄或晉升的機會。網絡安全知識日新月異,從業員對行業富有熱誠和不斷進修極為重要。
投身這門專業,亦要具備良好的分析和解難能力。網絡安全的接觸層面很廣,面對的資訊很多,良好的分析能力能讓我們避免「見樹不見林」,從而作出正確的決定。在應對網絡安全事故時,也要像查案般在複雜的環境中抽絲剝繭,找出原因和對策,需要大膽假設,小心求證,過程中亦有很大的滿足感。
網絡安全非常複雜,對技術的要求也很高,對作業系統、網絡,甚至應用系統的開發也要有一定知識,所以從業員亦要有良好溝通能力,能將複雜深奧的問題,解釋得簡單易明,向老闆申請網絡安全預算時,更要深入淺出地說明。因此,網絡安全從業員可說是要「出得廳堂」懂得應付管理層,又要「入得廚房」解決錯綜複雜的技術問題,殊不簡單,但換來的,是光明的前景和工作上的滿足感。
葉曼春
香港電腦學會網絡安全專家小組執行委員會成員
Click here to read the full article on Recruit (Chinese only).