对于求职者和雇主而言,IT安全就业市场是IT行业最棘手的就业市场之一。
据2012年IT薪酬调查发现,很多IT安全专业人士在2012年得到了加薪和奖金,他们对2013年充满期待。但是求职者不切实际的期望、IT安全就业市场的技能差距以及缺乏熟练的安全专家等问题,给首席信息安全官带来招聘挑战。其结果是,这个市场经常苦恼于如何找到和聘请所需的人才,而另一方面,IT安全求职者不清楚他们需要学习怎样的技能以在IT安全领域取得成功。
对于这些问题,我们询问了L. J. Kushner and Associates的创始人兼首席执行官Lee J. Kushner。Kushner的公司专注于信息安全人才的招聘工作。自1996年以来,Kushner一直从事信息安全专业人士招聘工作,也见证了这些年的巨大变化。
就目前来看,你认为这个市场对哪些IT安全技能需求较多?
Lee Kushner:很多技能比其他技能需求多,它们也是过去两三年中需求的最前沿。我们看到技能需求越来越多地集中在应用安全、事件响应、威胁和漏洞管理领域,然后是结合了一些风险因素和技术因素的整体混合安全架构领域。这些都是现在很多企业有很大需求的IT安全技能。
此外,企业寻求什么样的技能,很多时候取决于该企业是否正在响应政府监管,或者他们是否想要真正实现高水平的安全性。那些试图根据合规性或外部审计员的调查结果来建立安全计划的企业,可能并不专注于找到最优秀的人才和技术。他们可能更关心的是找到一个解决方案来满足合规要求,而不是保护其企业抵御安全威胁。如果他们想要的是安全性,而不是合规性,他们可能会更倾向于更高水平的做法,他们会开始寻找这样的人才:有更高技术水平、对外部威胁有更深入的了解,用更多预防和积极的措施来确保不会发生数据泄露事故。
回首过去的十年到十五年,你会如何描述当前IT安全市场的需求?
Kushner:对于这个市场,我唯一可以作比较的是2000年的就业市场。2000年和现在的区别是,当时如果你能拼出安全两个字,就会雇用你。当时,安全市场都是千篇一律的需求,并且有着广泛的需求。从市场来看,渗透测试人员、防火墙人员或者网络IDS人员之间,并没有太大区别。换句话说,他们都是安全人员,如果你会做其中一件事,你就能胜任所有这些职位。
企业是否难以描述和找到他们所需要的技能?
Kushner:我们曾帮纽约市的一家国际银行搜寻人才。在我们介入之前,他们已经公开招聘达6个月,他们试图寻找负责美洲地区的信息安全官。他们遇到的问题是,每个候选人都非常熟悉政策,而没有任何技术技能。他们需要的是能够满足其技术要求以及领导要求的人才,来帮助他们制定计划。而这是他们遇到的真正难题,你无法在互联网上使用通用关键字来找到这种人才,并且,很多人可能看起来符合要求,但当你深入到客户试图寻找的人才的具体要求,你会发现这比他们预期的更具挑战性。
此外,对于试图招募IT安全人才的企业而言,一个更大的问题是,很多企业不了解将一名安全专业人士从他满意的职位和公司挖走是多么的困难。他们会说,“我们已经与这些公司讨论过,他们告诉我们,这个职位的薪水是X。”在企业内部,X可能是入门工资水平,但你要考虑到,你面对满员等因素的市场,你就得面对厌恶风险的安全人员,经济环境让人们在自己的职业生涯决策中考虑风险溢价因素,综合起来,这种平均报价并不会很吸引人。
是否有很多专业人士让自己变得太专业化?
Kushner:毫无疑问,有一些人呆在固定的位置,这限制了他们。现在,在很多情况下,安全的某些方面被视为其他领域的一部分。例如,为了成为一名良好的网络架构师,你必须对安全有一定的了解。而在过去你不需要这样。现在,安全已经成为网络技术技能的一个子集。如果你不具备安全知识,我不认为你能成为一个全面的网络工程师或架构师。但如果你将自己定位为安全人员,而你只知道PCI DSS合规,或者网络安全,或者IDS,你可能需要扩大自己的技能,以不断发展取得成功。
对于想从相对较低水平的安全操作职位转到安全管理或领导职位的人,你有什么建议?
Kushner:我认为他们应该做的是,必须找到可以发挥其专业知识作用的内部项目。在那里,他们可以开始在内部发挥一定的领导作用。试图转变你的职位的最佳方法是在内部承担某些职务,而不是到外部去寻找。猎头说这样的话很蠢,但确实应该这样。当你在内部建立了自己的声誉,你就有了最好的内部储备。
如果你被认为是一名优秀的网络安全工程师或网络工程师,现在有一个项目可以由你来领导,你应该排除万难,抓住这个机会,开始发展一些你的企业所认为的管理层特质。接着,在你不知情的情况下,他们将会给你另一个项目来领导,而后再给你另一个项目,然后,他们会说,‘哇,这个家伙在过去18个月中一直在从事管理人员的工作,我们现在正好需要招聘一名安全管理人员或者网络安全管理人员,不用去外面找了,让我们把这个机会给他吧,他将会非常胜任。’
从经验中获取技能是非常重要的。你可以在内部找机会尝试这样做。固步自封的人就像是只会一招的小马,他们面临的问题是,很难将这一招应用到不同的环境中。