从更好的新技术将消除威胁并提供组织所需的所有保护的角度来看待网络安全是很诱人的。虽然正确的工具、应用程序和系统是必不可少的,但大多数组织的问题是管理安全框架。
目前,美国仍有近 600,000 个网络安全职位空缺,换句话说,约占所有网络职位的 46%。在全球范围内,短缺量约为270万。更重要的是,问题正在加速。
这种人才短缺对现实世界产生了影响。它使有效使用工具和技术变得更加困难,但它也使现有员工负担过重,并导致保护缺口增加风险。然而,吸引网络安全人才是一项越来越艰巨的任务。似乎通常不存在具有正确背景和资格的人。
结果呢?安全领导者必须以更广泛和更深入的方式处理人员配备。如今,仅仅依靠那些拥有学位、证书和经验的人是不够的。通过将劳动力扩大到那些自学成才或具有网络安全诀窍的人——并培训他们担任特定角色——候选人的范围呈指数级增长。
占据一席之地
依靠所有常见的嫌疑人来吸引人才是很诱人的。这可能涉及在 LinkedIn 和传统的工作板上发布工作列表。或者在公司的网站上发布职位招聘信息,或者使用计算机程序扫描简历并通过搜索关键字来寻找人才。
发现网络安全人才的起点是更广泛地思考。例如,大学招聘会、大赛、黑客马拉松和其他各种活动都可以作为宝贵的资源。一个展位甚至是行业活动的非正式出席都可以带来巨大的收益。也有可能赞助项目或参与大学和技术机构的学习伙伴关系,从而与教授和学生建立联系。
然而,重新思考组织招聘的基本方式也很重要。不幸的是,许多公司与市场完全不同步。例如,在 LinkedIn 上看到需要多项认证和多年经验的“入门级”职位发布并不少见。入门级职位需要这种背景的想法是不切实际的,而且会适得其反。
事实上,Gartner 和其他咨询公司指出,安全领导者和人力资源部门习惯性地通过撰写包含过于狭窄或过于模糊的资格的招聘信息来破坏招聘工作。毫不奇怪,繁重或不明确的要求会恐吓和吓跑合格的候选人。流行语只会使事情复杂化——尤其是在算法进行大部分初始筛选时。
相反,最好专注于拓宽网络……和需求。例如,目前只有约 25%的网络安全职位由女性担任。但这也意味着要超越计算机科学专业来填补网络安全职位。该领域的许多工作不需要正式的计算机科学教育和技术认证。通常,只需很少的培训,就可以让一个聪明而有动力的人快速上手。
换句话说,重要的是潜在的态度和品质。解决难题的能力和愿望是优秀网络安全专家的基石。与他人合作也是如此。通过正确的培训、认证和指导计划,实践经验最少但有学习动力的候选人最终会表现良好。
底线?与其强迫应聘者遵守公司不切实际的期望,不如稍微妥协以适应应聘者。最后,每个人都赢了。
风险与回报
当然,吸引人才只是其中的一部分。还需要保留专业知识,并避免其他公司挖走员工。虽然薪水是所有工作的起点,但重要的是要超越平时认为金钱是赢得人才大战的主要因素的想法。
实际上,成功的组织都在努力营造一种敬业的文化,并努力建立一个人们完全相互信任的框架。这意味着创造有意义的工作并提供在组织和领域内取得进步的机会。毫不奇怪,许多年轻员工,尤其是千禧一代,在他们有机会不断学习、进步和享受乐趣的环境中茁壮成长。
而且,网络安全可以非常有趣和引人入胜,同时网络安全也是严肃的,有时令人沮丧的工作。在加强保护的同时,让工作变得有趣的一些方法是通过红蓝团队活动、内部黑客马拉松和各种竞赛——其中可能包括适度的奖品和奖励。还可以利用模拟现实世界事件的网络技能建设和开发工具,并允许员工在现实场景中测试和发展他们的技能。
当组织采用更广泛但更集中的网络安全人员配置框架时,他们突然处于在劳动力市场获得明显竞争优势的位置。他们可以有机地吸引新的候选人,而不是不断地争夺人才。