研究警告新科技為資訊保安人員帶來沉重壓力
香港2011年2月18日電 /美通社亞洲/ — 一項以全球超過10,000名資訊安全專業人員為對象的調查發現,現今商業社會廣泛採用越來越多的科技,對資訊保安全管理人員及其僱員造成重大挑戰,未來數年更有可能危及全球政府機構、企業及消費者的安全。
由Frost & Sullivan進行的2011年(ISC)2®(讀作「ISC-squared」,中譯名為「國際信息系統安全核準聯盟」)全球資訊安全人力研究(GISWS)顯示,流動裝置、雲端、社會網絡及不安全的應用程式帶來新威脅,加上解決顧客的安全疑慮等責任增加,導致「資訊保安專業人員捉襟見肘,猶如水壩出現一連串裂縫,現時操勞過度的人力可能出現受壓跡象」。
這項代表(ISC)2進行的研究亦顯示業內的技術需求出現嚴重差距。(ISC)2是為資訊安全專業人員提供教育和認證的全球領先非牟利組織。資訊安全專業人員承認他們需要接受更佳的培訓,但很多受訪者指出大部分科技已經廣泛使用,而使用者並無考慮到安全問題。
「在現今的組織裡,最終使用者將科技帶進企業。資訊科技的先後次序由最終使用者而非企業支配。」Frost & Sullivan環球程式網絡安全總監Robert Ayoub說。「提高安全造成壓力,因此產生出來的技術差距為全球組織帶來風險。
「不過,如果我們現在投資於吸納優才加入這行業,並同時投資於新興技術的專業發展,我們能夠將風險減低。正如研究發現,這些解決方案正在進行中,但問題仍是到底不久將來能否吸納足夠的新專業人員,進行足夠的培訓,令私營和公營部門的全球關鍵基礎建設皆受到保護。」
「此項研究所帶來的好消息是資訊安全專業人員最終得到管理支援,並因為組織內部的最關鍵任務數據和系統安全而得到倚重和補償。」Ayoub補充說。「壞消息是他們被要求的工作太多,導致提升技術以應付最新的安全威脅及商業需求的時間變相減少了。」
這項研究的其他重要發現還包括:
- Frost & Sullivan預計2010年全球共有228萬名資訊安全專業人員,其中亞太區約佔750,000名。預期2015年之前,亞太區的專業人員需求將突破130萬人,相當於複合年增長率11.9%,為具備適當技術的人士創造就業機會。
- 安全軟件開發是全球資訊安全專業人員專注的重要新範疇。72%的受訪者表示應用程式漏洞高居第一項威脅,而20%受訪者表示他們從事安全軟件開發工作。
- 近70%受訪者表示他們設有政策及科技以應付流動裝置的安全挑戰,但流動裝置仍然排在受訪者的第二最關注問題。研究的結論是流動安全可能在可見將來對機構造成單一最危險威脅。
- 雲端計算說明科技實施與提供安全所需的技術之間出現嚴重差距。超過50%受訪者表示設有私有雲端,而超過70%受訪者表示有需要學習新技術以為雲端基礎科技作妥善保安。
- 專業人員並未準備好應付社交媒體威脅。受訪者表示對於最終使用者造訪社交媒體網站採取的政策及保護並不貫徹,略低於30%受訪者並無任何社交媒體安全政策。
- 自2008年進行最近期的調查以來,病毒和蠕蟲、黑客及內部職員均為最大威脅。
- 專業人員持續增長的主要動力包括監管規定要求、透過流動裝置及流動人力遺失數據的機會提高,以及因機構將數據轉向雲端基礎服務而可能失控。
- 近三分之二受訪者預期資訊安全人員及培訓的2011年預算不會增加。
- 薪金反映雖然全球經濟衰退,但仍然有健康增長,五分之三的受訪者在2010年獲得加薪。整體來說,資訊安全專業人員的薪金有所增加,而自2007年的研究以來,亞太區的增幅一直最高,達18%。
「隨著安全威脅導致資訊安全專業人員的需求不斷增加,我們需要改變全球網絡安全策略,以應付今次研究所揭示的技術差距問題。」(ISC)2亞洲顧問委員會聯席主席兼資深會員Lee Jae-woo博士表示。「特別是亞洲區,就業機會正在增加。為了填補專業需求的差距,我們促請業界、政府、學術界以及專業人員通力合作,吸納新一代的高資歷資訊科技專才,同時支持現有的專業人員,協助他們解決當前的威脅。
這項研究可能是有史以來最大型的資訊安全專業人員研究,研究於2010年秋季進行,訪問對象包括全球企業及公營機構的10,413名資訊安全專業人員,其中61%位於美洲,22.5%位於歐洲、中東及非洲,16.5%位於亞太區。45%來自員工超過10,000人的大機構。
全球受訪者的平均年資超過九年,而5%受訪者擁有行政人員職級,例如資訊安全總監。此外,Frost & Sullivan使用其他第一手數據來源及方法來補充分析。
GISWS是(ISC)2自2004年以來贊助的第五項研究,研究目標是向業界權益關係者,包括專業人員、企業、政府機構、學術界及負責招聘的經理,提供有意義的資訊安全專業人員研究。
研究全文可在以下連結閱覽:https://www.isc2.org/workforcestudy/Default.aspx。
有關(ISC)2®
(ISC)2是由全球獲認可資訊安全專業人員組成的最大非牟利成員組織,在超過135個國家有近75,000名成員。(ISC)2所發出的認證在全球業內獲得最高評價,包括向合資格人員發出Certified Information Systems Security Professional(信息系統安全認證專家)(CISSP®)及相關專業認證,以及Certified Secure Software Lifecycle Professional(安全軟件生命週期認證專家)(CSSLP®)、Certified Authorization Professional(認證授權專家)(CAP®)及Systems Security Certified Practitioner(系統安全認證從業人員)(SSCP®)各項認證。(ISC)2的認證是第一個達到ANSI/ISO/IEC Standard 17024(評審和核證有關人員的全球標準)嚴格要求的技術認證。(ISC)2亦根據其CBK®(一套有關資訊安全議題的概論)提供教育課程及服務。更多有關資料可在http://www.isc2.org 閱覽。