数码港、消委会等机构早前相继遭黑客攻击，香港的网络安全水平备受关注。但信息安全专业认证机构ISC2的调查却发现，多达53%香港网络安全专家认为，其公司拥有足够的技术和人员，应付未来2至3年的网络攻击。

   香港作为国际金融中心，无疑是网络攻击的热门目标。ISC2《2023网络安全劳动力研究》指出，与全球情况一样，本港的网安人员近年持续应付一系列网安挑战，包括员工和技能短缺、新兴技术危机（如AI人工智能、区块链）、不断变化的监管要求，以及内部威胁和遥距工作带来的风险。

应对网安挑战 须更具创造性

   该报告显示，53%本港网络安全专家认为，他们的公司拥有足够的技术和人员来确保在未来2至3年内做好应对网络攻击的准备，这与全球情况（52%）相当。

   然而，尽管经济前景仍然不明朗，但只有26%港企表示会对网安团队进行削减措施，包括降低预算、裁员、暂停招聘和晋升，优于全球平均水平（47%），反映普遍香港雇主仍优先重视网络安全团队。

   ISC2行政总裁Clar Rosso称，技能缺口是影响企业网络安全能力的关键因素之一，而香港受访者反映3大技能缺口，分别是：1.零信任架构的实施（43%）、2.云端运算安全（42%）以及3.应用程序安全（42%）。

ISC2行政总裁Clar Rosso认为投身网安职业的人，需具有致力于保护公众的热诚、强大的解难和分析思考能力，以及充满好奇心和求知欲。（受访者提供图片）

   另一方面，中小企亦是全球经济的命脉，惟他们却面临极大的网络威胁风险。ISC2的研究提到，在员工规模少于100人的全球企业中，多达95%是没有聘用信息及系统安全（Information and Systems Security）专业人员。

   相比之下，大型企业则拥有更多的预算、时间和资源，以部署更先进的网络战略，而中小企业可能仍要依赖其IT部门，来承担网络安全的职责。

   Clar Rosso表示，中小企业在加强网安能力方面必须更具创造性，除扩大网络安全团队外，提高员工技能也是非常重要，尤其在经济不稳定时期，许多企业都停止招聘人员，而培训现有员工是最直接的方法。培训计划可通过分配技能，来防止出现明显的技能差距，来缓解人才短缺问题。

亚太网安劳动力缺口 达260万人

   她又指出，现时亚太区的网络安全劳动力缺口已按年增长23.4%，达到260万人，约占全球劳动力缺口的65%。这一缺口表明，在整个亚太地区，企业已准备好对网络安全团队进行投资，无论是在新人才，还是现有员工方面，都要让他们掌握必要的技能，以应对不断变化的威胁环境。

   她又引述《亚太区网络安全招聘主管研究报告》，指出多达55%香港招聘主管在寻找网安人才时，仍依赖以传统标准来请人，例如求职者必须具备网络安全或IT背景。

   但在人才难求的背景下，Clar建议企业应扩大招聘范围，要根据具体的所需技能，而不是以过去所担任的职务来评估人才，例如考虑从现有的非IT部员工中，吸纳适合的网安人才。

   事实上，有港企已安排非IT部门的现有员工，如客户服务部（54%）、人力资源部（49%）和传讯部（49%），担任初级的网络安全职位。

港企投资多元共融计划 逊星日

   要建立成功的网安团队，Clar Rosso认为加入多元共融（DEI）元素是不可或缺，因为这有利培养更具实力和更快乐的员工，助企业保持较高的生产率和较低的流失率。然而，女性的网安专业人员仍属少数，例如在30岁以下的员工中，女性仅占26%，而在更高年龄段的员工中，女性比例则更低。

   再者，在培训、薪酬平等和无偏见晋升等方面，采用DEI措施的公司比例仍然较低。在香港，只有56%受访者表示公司正在投资于相关的DEI计划，低于美国（81%）、英国（69%）、新加坡（65%）、日本（58%）等其他地方，反映本港企业在这方面仍然需要作出更多努力。

网安人才软技能 首要解决问题能力

   对于网络安全人才的要求，除各种硬性技能和专业知识外，软技能也是不容忽视。

   ISC2《2023网络安全劳动力研究》显示，全球雇主愈来愈重视基础软技能，包括解决问题的能力（45%）、对学习新事物的好奇心和渴求（39%），以及沟通技巧（38%）。

   ISC2行政总裁Clar Rosso认为，没有传统网安背景的新人，可为该行业带来崭新思维方式和方法，加上他们往往具有很强的上进心，并投入于自己的角色和任务，努力承担更多责任，亦更有动力持续进步、提升个人技能。

   此外，网络安全也是一项团队运动，所需的人才不但要具备单独工作的能力，也需懂得如何在团队中有效地工作，还要有强大的书面和口头表达能力。

基本网安培训 扩至其他部门

   另一方面，企业亦应提供内部培训等职业发展机会，来培训自家的网安人才。该研究指出，相比起具有传统教育的学历背景，多达70%公司倾向让具有在职网安经验人士，担任相关工作。

   但同时，有33%受访者表示由于未有足够的资源，将非IT人员培训成网安人员，因此导致企业出现一个或多个技能缺口。

   Clar Rosso建议，企业应将基本的网络安全培训扩大至初级人员，甚至是企业内的其他部门，以培养出更全面、更有知识的网络安全员工。

   摘录自香港经济日报。