打赢网络安全人才争夺战的四个关键策略
网络安全人才短缺问题已经困扰企业多年。人才荒,依然是制约网络安全发展的最大瓶颈之一。在全球远程办公常态化、网络犯罪和数据泄露事件频发、地缘冲突加剧、高级持续威胁活动猖獗、政府企业数字化转型安全需求不断增长的今天,企业对网络安全人才的争夺愈发激烈。根据CompTIA最新发布的科技趋势报告,网络安全在2022年十大高薪紧缺技能中高居榜首,超过了云计算、人工智能和虚拟现实等热门IT技能。
网络安全人才和技能紧缺的同时,网络安全人才需求正在不断增长。网络安全主管们表示,由于内部攻击面不断增加,以及攻击频次和复杂程度不断提高,他们不仅需要填补现有职位,还需要增加网络安全员工的岗位数量。
专业治理协会ISACA最新发布的《2022年网络安全状况:劳动力努力、资源和网络运营的全球现状》报告调查了2000多名网络安全专业人员,发现63%的网络安全职位空缺(比2021年增加了8个百分点),而62%的网络安全团队人手不足。与此同时,20%的受访者表示需要长达6个多月的时间才能招募到合格的网络安全人才来填补空缺职位,60%的受访者表示在留住合格的网络安全专业人员方面面临挑战(比2021年增加了7个百分点)。
全球范围内,网络安全人才市场“僧多粥少”,供不应求的现状短期内依然没有缓解的趋势,但是手握预算的企业信息安全主管们不能坐以待毙。金融企业Zions Bancorporation的首席信息安全官戴夫·斯特林(Dave Stirling)指出,企业不能指望网络安全人才市场的供需平衡出现重大改善,企业需要主动出击,尝试不同的方法来缓解人才荒,例如改变自身的人员配置策略。
斯特林从银行内部的IT和运营人员中招募候选人,与当地大学合作,在网络安全培训方面投入更多资金,并重新思考他如何优化和发布招聘信息。他承认,上述措施并不能确保企业获得和留住所需的网络安全人才,企业需要不断提高招募和留住网络安全人才的能力。
安全软件制造商Netskope的首席信息安全官Lamont Orange则表示:“企业必须在寻找资源和积累安全人力资本的方式上变得更加主动,进行策略上的调整。”
以下,我们整理了安全专家们推荐的企业招募并挽留网络安全人才的四个关键策略:
一、优化安全职位描述
科技公司Consilio首席信息安全官乔纳森·福勒(Jonathan Fowler)的建议是优化职位描述。富勒发现大多数公司的安全人才招聘职位描述都过于理想化,通常是一个冗长且往往不切实际的“劝退清单”。因此,他和他的团队改写了描述,将空洞的技能要求替换为“对优秀员工每天真正做的事情的具体描述”。
“职位描述应该告诉应聘者我需要什么?我需要完成的基本任务是什么?然后从那里开始,”福勒说:“新的职位描述吸引了很多曾被职位描述吓跑的应聘者。”
斯特林指出,职位描述通常只是描述了最近担任该职位的个人的资历和能力。这意味着(特别是对于那些工作内容已经发生变化的岗位)职位描述设置了很多超出了实际完成工作所需的技能门槛,这阻碍了吸引更多多元化人才的努力。
二、拓宽安全人才库
一些首席信息安全官走得更远,他们正在重新定义网络安全人才与技能,大刀阔斧地修改甚至剔除网络安全招聘中的一些常见技能要求。
惠普的首席信息安全官乔安娜·伯基(Joanna Burkey)就是其中之一。她在LinkedIn的帖子中公开了她的举措,宣称“我放弃了学位要求”。她写道:“我了解到,在招聘网络人才方面,我们需要更加灵活。我们需要各种经验水平和更多样化的人才库,其中包括从其他行业转行过来的人、岗位经验年限不足的人、没有传统学历文凭的人以及有志于投身网络安全行业的具备技能切换能力的人。”
Burkey的大胆举措不仅仅是放弃学位要求,她还对“完全没有网络安全从业经验和技能的人”持开放、接受甚至鼓励的态度。她说,这些举措帮助她扩大了候选人范围,吸引了具有不同学历但没有学位的人、退伍军人甚至工作经验丰富的工人。
Burkey强调,她的人员配备并没有降低标准。事实上,这种人员配置表现更加优秀,他们正在帮助她降低组织风险,这些拥有丰富的经验和思想的合格人确实能够提高企业的安全韧性。例如,了解业务战略、财务和运营的员工,接受必要的安全培训后能够识别需要关注的薄弱环节,并更好地将安全战略与职能目标保持一致。“他们带来了我们需要保护的领域的知识。”她补充道。
三、疏通安全人才管道
美国Big Brothers Big Sisters的首席技术官兼首席安全官Travis Gibson采取了类似的方法。他重新考虑了每个网络安全职位需要多少从业经验,以及是否所有职位都需要大学学位。Gibson指出:“一个入门级职位要求一到两年工作经验是毫无道理的。”
这种立场转变使Gibson可以将其公司的所有IT员工都可以放入网络安全人才管道中。“他们的大部分职业生涯都与安全相关,”Gibson说:“许多IT员工都对进入安全领域感兴趣。”
Gibson承认,IT人才也不容易找到。但他表示,统计数据显示招聘IT员工并不像招聘安全专家那么难。他还指出,对于像他这样的安全主管而言,与IT领导者建立良好的关系并采取协调一致的方法至关重要,这样从IT部门招聘人才不会被视为挖角。
在过去的几年里,Gibson用这种策略填补了他安全团队中大约20%的职位。与去市场招聘相比,该策略还让他能够更快地填补职位空缺。“另外,你还能在团队中获得多学科技能。”他补充道。
其他安全领导者也在寻找方法来疏通和增强安全人才管道。例如,德勤公司正在与Flatiron School合作培养新的网络安全专业人员。德勤美国网络和战略风险负责人Deborah Golden说:“我们正在考虑打造一个小的安全人才供应链。”
应聘者可以申请加入德勤网络安全职业加速器,后者承担了为期9到12周的网络安全培训计划的费用。到目前为止,德勤已经有三批学员接受了培训。Golden表示,该计划向公司输送了“很大比例”的安全人才,成功入职率高达99%。
Netskope的首席信息安全官Orange也致力于通过在职培训和与地区高校合作的举措来增加安全人才的储备。例如,他和他的团队与教授合作,确定学生参加为期一学期的学分课程,并接受体验式网络安全培训,然后在Netskope实习。
Orange提倡增加大学生的网络安全技能学习机会。他为大学带来了真实案例研究型安全课程,以确保更多毕业生在毕业后准备好从事网络安全工作。
四、改善工作环境
引进网络安全人才只是成功的一半,留住人才同样具有挑战性。根据Info-Tech Research Group的调查,30%的IT领导者将获取和留住网络安全人才列为2022年安全的首要优先事项。此外约31%的受访者将人员配置限制列为最大障碍。
Info-Tech安全和隐私实践的首席研究主管Isabelle Hertanto表示,CISO应尽早并经常与业务同事接触,以便他们能够了解哪些安全工作需要招聘,哪些可以外包。例如,MSP(安全外包服务提供商)可以帮助内部团队处理简单而繁杂的事务,让安全人才有更多时间来完成更高价值的任务,并有更多时间学习新的、更高级的安全技能。
多位安全领导者赞同这一观点。他们指出,企业应该提供这样一个工作环境,让安全团队保持适当的挑战性工作水平,但又不会经常不知所措,这对于留住员工至关重要。CyberSN的创始人兼首席执行官Deidre Diamond说:“人们之所以离开工作,是因为他们在公司中没有合适的发挥空间,或者因为他们没有得到关注。”
为了解决这个问题,Diamond建议首席信息安全官应该梳理团队管理结构,给管理者留出足够的时间和资源来实际管理他们的团队,管理者应该有更多时间为团队成员提供反馈、建议和培训。Diamond还建议首席信息安全官为每个职位制定切实可行的工作量。“一个人不能干两份工作,虽然这就是很多企业的现状。”Diamond说道。她承认这是一项艰巨的任务,但对于防止人才流失至关重要。