网络安全人才困境纯属虚构：重新思考招聘的5种方法

威胁形势比以往任何时候都更具挑战性，网络安全人员饱受劳累和倦怠之苦。难怪网络安全人才短缺。或者真的存在吗？

(ISC)2 去年的最新数据显示，全球网络安全从业人员已达550万。这比前一年增长了9%。与此同时，(ISC)2发现，填补空缺职位所需的网络安全从业人员数量和积压的工作需求以更快的速度增长（13%），并达到了全球所需网络安全专业人员数量400万的高位。

传统观点认为，市场上根本没有足够的合格候选人来满足网络安全对高效技术人员的需求。但在过去几年中，这个问题的时代精神已经开始转变。许多安全和招聘老手开始相信，就业市场上有很多优秀的候选人渴望填补这些职位。

人力资源专家表示，安全界的招聘工作实在是太糟糕了，理想的候选人应该不那么死板。Indeed的基础设施安全工程师兼Cyberacademy专业发展社区经理格兰特·柯林斯(Grant Collins)表示，虽然很多人都在谈论网络安全技能短缺，但事实却大相径庭。

网络安全分析师经常被要求对攻击行为和事件进行根本原因分析。因此，为了让这个问题更容易理解，借鉴这一思路，我们开始从根本原因的角度来思考招聘缺口。以下是公司无法或不愿填补其安全职位的主要原因，即使有人才在找工作。

1. 粗糙的招聘广告:安全职位描述和招聘启事让人反感

阻碍公司招募和广泛寻找优秀求职者的最大问题之一是职位描述和职位发布不够具体。

“我们的职位描述毫无意义，让人很反感，而且确实传达出这样一种信息：这不是一个工作的地方。所以，即使我在找工作，我也不会去那里申请，因为职位描述是三项工作，”招聘公司CyberSN.com的创始人兼首席执行官Deidre Diamond说道。

戴蒙德说，其中一个大问题是，许多描述和发布只是通过剪切粘贴来描述角色、职责和工作要求，而没有经过深思熟虑。

“我们必须掌控这些事情，而我们在招聘过程中有很多事情做错了。定义角色和职责是我们最失败的事情之一。职位描述应该是一份可衡量的协议，说明某人正在做什么。”

——黛德丽·戴蒙德

2. 资质证书论:招聘经理和内部招聘人员过于看重资质证书

如果职位描述和招聘启事构思不周，公司最终会列出长长的职位要求清单，而这些要求会立即排除大量可能不符合所有条件的优秀候选人。柯林斯说，在很多情况下，公司招聘人员所说的职位要求和安全团队实际想要的之间存在差异。例如，许多公司都过于看重认证或特定技术的多年经验。

在最近一段有关工人短缺神话的视频中，柯林斯表示，公司通常只列出他们在网上找到的一组技术技能或证书。然后，他说，他们可以说，“如果你没有证书或经验，那么你就会被排除在外。”

他说，这不仅会调整求职平台算法，自动淘汰许多合适的候选人，还会阻止求职者提出申请。

“你可能渴望学习、适应并成长为一个角色。……最终，所有这些都归结为招聘人员和求职者之间的期望差距。”

——格兰特·柯林斯

3. 唯学历论:许多职位并不需要学位

在学位方面，也存在类似的期望差距。根据TrendMicro的《2024年全球网络安全技能差距报告》，目前约有71%的公司要求安全职位的应聘者拥有四年制本科学历。但事实是，安全行业中的许多优秀人才都没有学历，也不需要四年制本科学历就能在安全分析师、程序员等职位上取得优异成绩。

Fortinet培训机构的技术培训师Mike Paez表示，这忽视了来自训练营和自学等非传统背景的潜在人才。

“调整这些要求并将其纳入学徒制或培训就业等现有计划，可以大大扩大他们的人才库。”

—— Mike Paez

放宽要求的组织可以开始吸引更多来自代表性不足的群体的候选人，例如妇女、少数民族和退伍军人。

这不仅会使人才库更加丰富，还会为解决安全问题带来更全面的观点和方法。TrendMicro的调查显示，近年来，来自代表性不足群体的人才招聘有所下降。

“[扩大招聘范围] 是一个巨大的错失良机，组织应该考虑如何解决这一问题。”

—Mike Paez

幸运的是，这方面出现了一些积极进展。联邦政府最近推出了一项计划，放宽对某些类型的网络员工的学历要求。

白宫网络工作理事会助理国家网络主管Seeyew Mo表示，现在联邦政府可以根据员工的技能雇佣各类员工，无论他们如何获得这些技能。

“我们想要向社区学院、大学和私人雇主发出一个信号，告诉他们如果我们能做到，你们也能做到。”

—— Seeyew Mo

4. 都想聘用有经验的:没人愿意雇佣入门级网络工作者

归根结底，组织必须更好地建立人才渠道。许多组织面临的真正短缺是寻找网络安全独角兽——拥有学位、所有认证和多年经验的人。这些人供不应求——而且永远如此。

网络安全培训公司ACI Learning的职业培训副总裁詹妮弗·马西斯(Jennifer Mathis)表示，问题在于，即使某人同时拥有学位和证书，许多公司仍不愿意在没有工作几年的情况下雇用他们。她说，她的公司一直在寻找方法帮助学生克服第一份工作的障碍。

“我们每天都在想办法满足这个要求。”

—— Jennifer Mathis

她解释说，招聘经理需要在组织内倡导重新考虑新员工的入职要求——或许可以通过推广“技能提升”的培训和学徒途径，确保初学者能够快速成长为合适的员工。

5. 不靠谱的招聘者:招聘经理和招聘人员不重视职业转型者的经验

CompTIA网络开发项目副总裁Ron Culler表示，组织还可以通过将多年的业务经验作为评估过程的一部分来扩大候选人范围，从而将潜在的职业转型人才纳入搜索范围。他说，如果这些人才是从网络安全部门以外的内部员工中招募的，那么这可能会更有成效。

“聘请服务台或网络管理员比寻找网络职位的人更容易。新计划和新员工对公司来说听起来有点可怕，但如果我们与现有员工讨论技能提升学徒计划，风险就会降低一点。”

— Ron Culler

这对于IT部门其他与网络相关的员工尤其有用，他们可能拥有相关的技术技能，但只需要一点额外的培训就能掌握网络安全特定技能。最大的优势是他们拥有宝贵的机构知识，而这些知识可能需要多年才能获得。“如果你的组织中有某个人，在服务台、网络管理员或系统管理员岗位上，拥有这些机构知识，你可以激励他们从事这一职业，那么就让他们填补这些职位，”Culler说。

答案：导师制、学徒制、培训——以及更高的薪水

归根结底，无论你将其归咎于技能差距、人才差距还是人员短缺，许多组织的安全团队确实捉襟见肘。从雇主的角度来看，这个问题根本没有捷径可走。归根结底，更多的组织需要投资于强有力的指导、学徒和培训相结合的体系，以长期加强其网络安全劳动力队伍。

专家表示，有一点是明确的：组织将需要向员工支付更多工资。2024年SANS GIA 网络劳动力研究报告称，最大的招聘挑战仍然是薪资竞争力。报告表明，不一定是工人短缺，而是愿意以微薄的薪水工作的人短缺。

原文链接

https://www.reversinglabs.com/blog/cybersecuritys-workforce-talent-gap-woes-myth-or-reality