近年IT行業好景,人手需求在「疫」市中仍增長迅速,薪酬亦持續攀升,而在行內芸芸專才中,網絡安全人員堪稱「稀有群組」,約只佔整體從業員1.2%,人手供不應求,年輕人入行和轉工均「叫價」更高。到底如何躋身IT界的「百分一」專才行列?Recruit集合企業管理人與學者意見,以「5問5答」形式,為你講解入行門路。
1.網絡安全人才有多缺?
在IT行業,專門從事網絡安全的人員為數甚少。立法會去年初公布人力研究,指出在2018年,本港資訊科技從業員達95,780人,當中僅1.2%從事網絡安全工作,即只有約1,100人。Palo Alto Networks大中華區總裁陳文俊指出,從上述比例可見網絡安全人手極不足,而近年企業推行數碼化,對網絡安全服務需求驟增,令人力供求差距進一步擴大。他強調,隨著網絡威脅日增,人手緊絀問題更為迫切。據香港電腦保安事故協調中心資料顯示,該中心去年處理7,725宗本地保安事故,較前年增7%,並連續4年創新高。
陳文俊說,本港需加強培訓網絡安全人才,以應龐大人手需求。
陳文俊稱,網絡安全人手短缺,不獨是香港的問題,環球多國皆面對人才荒。據國際信息系統安全認證聯盟(ISC)2的人力報告顯示,去年全球資訊保安業人力缺口達270萬人,當中亞太區有142萬個空缺無人填補,而日本、南韓、新加坡的短缺分別達4萬、3.5萬及1.6萬人。雖然報告沒提及香港情況,但業界估計本港缺人數以萬計。 陳文俊認為,本港僅1千多名網絡安全人才,遠不足以應付市場需要,目前行內人才爭奪激烈,無論畢業生或富經驗者,皆為企業爭聘對象。
2.發展事業有何方向?晉升階梯如何?
網絡安全漸成IT界專門的就業範疇,自有一道事業階梯。陳文俊指出,近5年來,各行業加快數碼化,應用雲端、各類流動裝置、5G網絡等,令網絡「防守邊界」更廣,網絡安全工作亦隨之「進化」,衍生更多專門範疇,如雲端、網絡、物聯網安全等,各需不同專才。
Palo Alto Networks Systems Engineer Specialist張啟祥表示,網絡安全是新興就業範疇,近10年發展甚快,並漸漸建立較清晰的事業階梯,目前行內就業主要有三方向。首先,可投身網絡安全服務供應商,它們會聘用系統工程、營銷、客戶服務人手,為企業提供情報、技術、應對安全事故等服務;其次,一些大企業的IT部門設有網絡安全職位,專責相關事宜;而大型會計師樓亦設有網絡安全部門,為企業提供諮詢和安全審計服務。
張啟祥稱,網絡安全行業發展甚快,亦為現職IT人,提供事業轉型機會。
一般而言,入行可由工程師或分析師做起,從事基本職務,累積經驗後,工作可更為專精,負責特定範疇,如網絡攻擊分析、系統工程、數碼法理鑑證等;之後可晉升經理級人員,負責帶領團隊;或走專家路線,進一步深化技術。
3.薪酬水平如何?畢業生起薪有幾多?
近年疫情肆虐經濟不景,唯IT行情一枝獨秀,從業員普遍逆市加薪,網絡安全人才叫價更高。陳文俊說,據他觀察所得,網絡安全人員薪酬水平一般較傳統IT工種高一至兩成。張啟祥則稱,由於人手供應有限,但需求持續增加,以致薪酬趨升,以修讀網絡安全學科大專畢業生為例,入職起薪點約港幣1.8萬至2萬元。「另一趨勢是晉升機會增加,畢業生入行累積3至5年實戰經驗,有機會晉升至經理職級,相較從前需要8至10年為短。」
黃慧萍表示,IVE設有網絡安全中心,提供實戰訓練。
4.入行要具備哪些專業技能或資格?
由於網絡安全技術專門,入行門檻不低,就算IT人想涉足此領域,轉型也非輕而易舉。張啟祥指出,入行須有IT底子之餘,亦要建立網絡安全的獨特技能。他舉例說:「網絡安全工作要攻防兼備,既掌握黑客手法,亦懂得防守。近年常見攻擊方法有DDoS和網絡釣魚等,早前便有企業受網絡釣魚侵襲,因員工不慎開啟黑客電郵附件,令裝置受惡意軟件『感染』,讓黑客可滲透公司內部系統。這些都不是新的手法,我們會進行模擬攻擊與防衞測試,設法找出系統漏洞加以堵塞,日常亦要持續監測,萬一發現系統有異動或被入侵,便要馬上堵截,減少損失。」
他續說,IT從業員大多會考取業內專門資格,如CISSP、CISA、CISM等,近年也有一些新興認證,如專門用於攻擊的OSCP(Offensive Security Certified Professional)及較重於防守的SANS,這些認證資格皆設有一系列課程。「考認證要努力溫習,只要有恆心、肯付出就不難。」
IVE(柴灣)網絡安全中心。
5.想入行,進修有何門路?
至於院校訓練方面,近年有網絡安全「專科化」趨勢。除了電腦科學學科,本地大專院校相繼開辦網絡安全學士或高級文憑課程。以香港專業教育學院(IVE)為例,便辦有「網絡安全高級文憑」和「人工智能及智能科技高級文憑」兩項課程,均與網絡安全專業知識相關。IVE(柴灣)資訊科技系系主任黃慧萍表示:「近年學院優化網絡安全教學設施和培訓,如網絡攻防靶場(cyber range)、滲透測試實驗室和惡意程式實驗室等。另亦提供多樣化訓練,包括『紫隊訓練系統』、『安全資訊與事件管理系統』和『流量產生器』。」IVE資訊科技學科學術總監許仁強博士指出,DSE畢業生亦可參加職學計劃(Earn & Learn)投身網絡安全行業,一面接受在職培訓,一面修讀高級文憑課程,獲取收入及學歷。
陳文俊表示,為培育更多人才,Palo Alto Networks將與IVE合作,於IVE網絡安全中心舉辦推廣活動,包括認證培訓、職業講座和比賽,提升年輕人的專業技能。
許仁強博士說,DSE畢業生可參加職學計劃,一面接受在職培訓,一面修讀高級文憑課程。
IT人轉型 由系統支援到網絡安全
現職IT人如想事業轉型,加入網絡安全行列,進修是不二之法。張啟祥說,他2005年於IVE資訊科技學科畢業後從事IT系統支援工作,及後藉進修而入行。「起初對網絡安全無甚認識,但做IT支援工作時接觸過防火牆系統,其後公餘修讀課程,學會網絡攻防知識技巧,覺得挺『有型』,於是繼續進修並考取國際認證,順利入行。」他認為,近年坊間多了一些晚間兼讀制課程,可為從業員提供增值轉型機會。
各國爭人才 英國最積極
環球各地缺乏網絡安全人手,多國皆加強培訓人才,以英國尤其進取。據香港立法會《培育網絡保安人才》研究顯示,在2019年,英國網絡安全從業員約有4.3萬人,而2020年該國持有認可資訊系統保安專業人員資格(CISSP)者達7,590人,人數僅次於美國。英國數位文化傳媒和體育部、國家網絡安全中心更聯合推行「CyberFirst」全國計劃,協助培育網絡安全人才。CyberFirst設有學士課程助學金計劃和學位學徒訓練計劃,由國家網絡安全中心推行,支援修讀學士課程的學生,為他們投身行業提供機會。此外,英國國家網絡安全中心認證多個學位課程,迄今已認證由23所大學開辦的24項網絡安全碩士學位課程、3項網絡安全綜合碩士學位課程及5項網絡安全學士學位課程。
文:甄榮康