返回
展会资讯
SANS 《2026年网络安全劳动力研究报告:AI、合规与人才争夺战》——解读(第二部分)
2026-04-05 01:28
SANS 《2026年网络安全劳动力研究报告:AI、合规与人才争夺战》——解读(第二部分)

三、组织的应对:自上而下的“人才挤压”

       面对AI带来的技能重塑和合规催生的专业需求,组织做出了一个看似“合理”的选择:优先招聘高级人才。然而,这种策略正在引发一系列连锁反应,形成“自上而下的重建”。

1. 招聘决策权集中化

       网络安全团队的最终招聘决策权正显著地向高层集中。目前,高级管理层和CISO共同掌控着53%的招聘决定权,远高于HR部门(14%)或协作团队(10%)。这反映出,在合规和战略转型压力下,人才招聘已不再是HR或技术经理的日常事务,而成为一项关乎组织战略的高层决策。

2. 高级人才的“挤出效应”

       招聘的重点转向了高级人才,但市场供应却严重不足。27%的组织认为招聘专家级(15年以上经验)人才最困难,22%认为招聘高级(10-15年经验)人才最困难。与此形成鲜明对比的是,仅4%的组织认为入门级岗位招聘困难。同时,招聘一个高级岗位的平均周期显著更长,55%的组织需要花费6个月甚至更长时间才能填补一个高级职位。

       这种对高级人才的争夺,带来了两个后果。一方面,它制造了初级和中级人才发展的天花板。仅有24%的组织为员工提供了清晰、明确的职业发展路径,这让许多有潜力的中坚力量看不到希望,要么选择离开,要么难以提升。另一方面,当组织花费巨大精力“挖”来高级人才后,他们又面临着如何留任和发挥其价值的挑战。

四、技能缺口:一个自我强化的“完美风暴”

       以上种种因素最终汇聚成一个核心问题:技能缺口。2025年,行业首次将“缺乏合适技能”视为比“人手不足”更大的挑战。到了2026年,这一趋势进一步加剧。当被问及哪个是更大挑战时,60%的组织选择了“技能缺口”,只有40%选择了“人手短缺”。这意味着,我们面临的核心问题不再是“找不到足够的人”,而是“找不到有正确技能的人”。

1. 缺口有多大?

       调查显示,仅有19%的组织认为自己的团队技能是“完全胜任”的。35%的组织面临中等程度的技能缺口,即10-29%的所需技能无法满足;另有13%的组织面临严重的技能缺口,超过30%的所需技能存在空缺。这意味着,近一半的网络安全团队都在“带病作业”。

2. 为何难以填补?

       一个非常矛盾的现象是,尽管技能缺口巨大,但阻碍组织填补缺口的首要因素并非“招不到人”,而是预算限制(36%)和团队缺乏时间(21%)。这揭示了行业的困境:现有的团队正忙于应对日常安全运营(“救火”),根本抽不出时间进行技能提升;同时,预算压力又迫使组织优先满足眼下的安全需求,而非长远的人才培养投资。

       这种困境直接反映在培训障碍上:60%的组织将“缺乏时间(因工作负荷过重)”列为首要障碍,54%的组织认为“预算限制”是主要问题。我们陷入了一个“因为没时间培训,所以技能不足;因为技能不足,所以工作更忙,更没时间培训”的恶性循环。

3. 技能缺口的代价

       技能缺口的代价是沉重且可量化的。57%的组织报告说,这导致了项目延期;47%的组织表示,这加剧了团队成员的职业倦怠;同样有47%的组织发现,这拖慢了事件响应速度。更有27%的组织坦言,技能缺口已经直接导致了安全事件的发生。这些数字清晰地表明,技能缺口已不再是一个抽象的人力资源问题,而是直接影响组织安全态势的“致命短板”。

4. 解决方案:认证成为关键

       在时间和预算双重受限的情况下,组织如何验证和确保员工的技能?认证成为了最受青睐的工具。64%的组织将网络安全认证作为最常用的技能验证方法,远超招聘中的技能测试(49%)和内部能力评估(48%)。认证之所以重要,不仅因为它为员工提供了标准化的知识证明,更因为它为组织提供了一种高效、可衡量的技能培养和验证机制。58%的组织认为认证在招聘中“非常重要”或“极其重要”,同时,认证考试费用报销也成为组织最普遍的投资方式(51%)。

结束语与建议

       《2026年网络安全劳动力研究报告》描绘了一幅充满挑战但又蕴含机遇的图景。我们正经历一个由AI和合规共同驱动的行业转型期,传统的职业路径正在被重塑,技能缺口成为最紧迫的挑战。

基于以上分析,我们向行业提出以下建议:

1. 拥抱AI,而非回避

  • 建立AI治理框架:立即着手制定组织的AI安全和治理政策,并优先为安全团队提供AI相关培训。

  • 重塑入门级培训:将AI作为加速器,而非替代者。重新设计入门级岗位的职责,让新员工从AI工具的“使用者”和“监督者”角色开始,学习更高阶的技能。

2. 拥抱框架,而非依赖经验

  • 利用现有框架:积极采用NIST CSF、MITRE ATT&CK等最佳实践框架,以及NICE、ECSF等劳动力框架,为岗位职责、技能要求和职业发展提供清晰的结构化指引。

  • 将合规融入设计:将合规要求内嵌到平台设计和流程中,使其成为日常工作的一部分,而非额外的负担。

3. 重建人才管道,而非只求“挖人”

  • 平衡招聘策略:在关注高级人才的同时,必须重视内部人才培养。重新建立系统性的实习、轮岗、导师制项目,为有潜力的初级和中级人才提供明确的成长路径。

  • 投资技能,而非头衔:借鉴如拜耳等公司的经验,建立以技能为基础的职业发展体系,让技术人员不必转向管理岗位也能获得成长和认可。

4. 打破技能缺口循环

  • 为培训投资时间和金钱:认识到培训不是可选项,而是维持业务连续性的必需品。管理层需要主动为员工“挤出”培训时间,并配置足够的培训预算。

  • 将认证作为战略工具:利用认证来系统化地培养和验证团队技能,将其与晋升、绩效评估挂钩,确保投资回报。

       网络安全行业的人才困境,本质上是转型期的阵痛。AI在改变我们工作的方式,合规在定义我们工作的标准。只有那些能够主动适应变革,将挑战转化为机遇的组织,才能在未来的竞争中赢得这场人才之战,建立起真正强大且可持续的网络安全队伍。

打赏
发表评论
0评