网络安全劳动力的短缺以及相关技能的缺口始终没有得到解决甚至改善。而这种风险在2021年还会持续增长,因此企业组织采取行动来壮大其网络安全劳动力显得日趋重要。下述5种吸引才人的方法可以帮助企业组织有效地缩小技能缺口。
过去十年间,市场对于网络安全专业人员的需求不断激增:实际上,到2020年初,仅就美国而言,该行业的劳动力缺口已经扩大到50万人,而在全球更是存在400万缺口。
在这种情况下,我们又遭遇了COVID-19大流行的侵袭,网络安全世界再次“失控”,仿佛一夜之间,工作模式发生了翻天覆地的变化,成千上万的工作人员被迫离开办公室开始了漫长的远程工作。一些公司几乎一夜时间就实现了质的飞跃,即便面对不断涌现的新威胁,许多网络安全专业人员也能竭尽全力地确保基于云的远程办公环境的安全。
然而,一年过去了,网络安全劳动力短缺以及相关技能缺口的现实仍未得到改善:根据 (ISC)²发布的《2020年网络安全劳动力研究报告》指出,尽管全球网络安全劳动力的需求在过去一年中有所减少——从400万减少到310万——但美国仍然有近40万个网络安全职位缺口。为了“有效地保护组织的重要资产”,全球网络安全劳动力需要增长89%。此外,尽管实际的网络安全事件一直保持在基线水平,并且劳动力缺口也略有缩小,但仍有超过一半(56%)的受访者表示,网络安全人员短缺正在使他们的组织面临风险。
Booz Allen网络组织人才战略专家Erin Weiss Kaya表示:
“虽然经过了很多年的发展,但网络安全仍然是一个新兴行业,其威胁几乎每天都在变化,包括新的威胁参与者、新技术以及5G的演进等。但是我们面临的人才现状仍然是需求远超目前的供应量。0%的失业率,这应该也是其他行业不可能存在的情况。” |
网络安全公司LIFARS的CEO兼创始人,数字取证和道德黑客专家Ondrej Krehel认为,网络安全行业缺口和风险也会在2021年继续扩大,因此当务之急是开始实施有效的人才吸引战略,以缩小网络安全技能缺口。他表示:
“黑客只会变得越来越聪明,动作越来越敏捷,这也就意味着防御团队也需要如此,以建立强大的网络安全团队并确保公司不会遭遇人才短缺的困扰。” |
具备合适技能的人才异常难寻
然而,想要找到并成功吸引具备合适网络安全技能的人才绝非易事。即便在当今的入门级网络安全职位上,所需的技术技能清单也很长。Krehel指出,网络安全领域的“入门级”职位描述通常看起来像其他行业中的中高级职位,因为它往往需要非常多的安全性或供应商认证,这也等于为求职者设立了一个“高门槛”。
另外,非技术性岗位(例如敏捷性和灵活性等领域)更难以衡量和招募,但他们同样是迫切需要的。这些岗位的必要技能不包括相关技术和工具,而是具备部署工具和实际解释数据的能力。
CIA前高管,同时也是Darktrace公司现任战略威胁主管Marcus Fowler补充道,企业需要弄清楚如何从现有的安全团队中获取更大收益。只是通过雇佣的方式并不能彻底解决职位-员工之间的不对等状况,甚至只能收获杯水车薪的效果。更明智的方法应该是将现有员工与具备自主能力的AI工具配对,以便网络安全专业人员可以更快速、更高效地投入工作。
Fowler表示,人工智能/机器学习对所有安全事件进行初步分类的能力,将是安全团队重新获得工作支配权的关键所在。具备自主调查功能的AI工具可以进行早期分类工作,并处理一部分繁重琐碎的任务,为人类安全专家腾出时间和精力来主动地、战略性地控制事件调查流程。
话虽如此,但是通过更具吸引力的招聘策略来壮大网络安全劳动力仍然是必须的。Kaya表示,“我感觉网络安全行业尚未完全接受非线性、非传统的切入点。该行业始终限制在相对传统的招聘定义中,即寻找已经得到证明的资源和技术技能。我们需要弄清楚:我们如何看待想要进入该领域的人才?然后,如何对其技能进行重新培养使其达到安全专家水平?”
专家认为,企业组织可以通过下述5中重要方式来采取行动,以在2021年及以后发展网络安全人才队伍:
5招增加网络安全劳动力
1. 改革招聘内容以吸引各种候选人
根据达科他州立大学网络安全助理教授兼CybHER公司联合创始人Pam Rowland的说法,许多企业组织都需要改革其招聘广告,以吸引各种各样的候选人。她说,招聘团队需要认真思考并重新设计招聘内容,而不是继续沿用与过去10年相同的策略。首先,公司应该摒弃高度男性化的配比方案,并重新考虑‘这个世界上没有人可以满足’的冗长的技能需求清单。研究表明,即便是只符合清单中25%的条件,男人们也会提出工作申请,但是相反,女人们大多会望而却步。所以,建议招聘企业可以列出最重要的优先事项,但是应聘者必须保持终身学习的态度,最好还要具备批判精神。
2. 吸引有安全意识的软件工程师寻找工作机会
Kolide公司CEO兼创始人Jason Meller表示,扩大可用人才库的一种好方法是吸引具有安全意识的软件工程师,这类人已经具备许多正确的技能,但是他们正在寻找机会通过设计专用的小型工具来扩大其影响力。这些工具(包括漏洞扫描程序、渗透测试实用程序以及终端数据收集器等)通常太过小众,无法从安全供应商处购买,但是,这些工具使新手安全从业人员有机会提高他们的能力、速度和准确性。
然而,令人惊讶的现实是,许多流行的开源代码安全工具开发者经常会被当前的雇主所忽略。如果你有机会接触到这类人,请给他们机会继续从事自己的激情创作,并且观察这些工具在现实世界中的表现,相信我,这一定是件双赢的事情:您将拥有一位激情洋溢的技能专家,同时,他也会为您安全团队的未来及其同事的成功贡献巨大的精力。
3. 通过提供激励措施与安全团队合作来寻找人才
Meller表示,在组织内确定最佳人选的另一种好方法是建立激励机制,让员工在有意义的优先事项上直接与安全团队进行协调。例如,您的公司可能已经投资了一项外部漏洞赏金计划,供道德黑客报告系统安全问题,但是,是否存在什么机制和激励措施鼓励有安全意识的员工在内部安全地报告问题呢?一旦建立起这些内部沟通渠道,你就可能会在担任初级职务的人员中发现“潜力股”,他们日后完全有可能迅速晋升为更高级的职位。
4. 投资员工考证计划
Krehel表示,网络安全行业需要致力于培训初级员工,并从一开始就为其提供所需的资源助力其获得成功。他说,公司应该创建相关程序,帮助应届毕业生在工作中获得证书和实习机会。虽然证书不能弥补多年的工作经验,但是它可以帮助初级和中级员工在网络安全的各个方面(包括运营、取证和政策)获得良好的实践基础。通过向每个员工展示职业发展前景,也有助于增加员工的保留率。
5. 通过尽早引发女生兴趣来激发性别多样化
到了高中才让女孩走进网络安全世界的话,可能为时已晚。Rowland认为,中学才是她们真正开始决定计算机科学是否适合她们的最佳时间段。如果中学时就能让女孩对网络安全感兴趣,那么高中时她们就可以准备投入相关的课程学习,以保持足够的参与度,如此一来,她们就不会再觉得“网络安全”是个令人生畏的领域了。而一旦她们能够了解什么是网络安全,她们就更有可能继续深入探索。
后疫情时代网络安全人员的前景
截至2020年,网络安全行业的市场规模为1671亿美元,而且预计从2020年到2027年将以10%的复合年增长率增长。很明显,以这种增长水平,在经过一年的动荡之后,想要在后疫情时代建立和强化一支合格且多样化的劳动力队伍将更具挑战性。根据(ISC)²发布的《2020年网络安全劳动力研究报告》指出,49%的受访者期待其组织在明年内雇佣更多的网络安全专业人员。
虽然目前并没有迹象表明,明年的网络安全技能缺口将大幅缩小,但Booz Allen公司的Kaya却对长远的发展抱有乐观的态度。她指出,过去一年的空前变化和新出现的威胁实际上使网络安全这个不断发展的领域,吸引了越来越多人的注意和兴趣。
她说:
“我认为人们对该领域的兴趣日益浓厚,我们需要开始寻找非传统的切入点来扩展候选人才库,并且制定非常有效的机制来重新培养具备成为专家基础的内部人员的相关技能。对于网络安全领域而言,这正是一个激动人心的时刻:您正面临着最令人着迷的挑战,接受它,你的明天将变得丰富绚烂。” |