当问到现有资源能否满足企业安全需求时,绝大多数CISO都会say no!,资源的缺乏主要集中在人才和预算。然而,日益增加的网络安全劳动缺口和企业的需求并不匹配。打开BOSS直聘搜索网络安全岗位,你会发现在上海的大部分企业招聘中,只有极少一部分企业要求无经验或经验不限。另外,大部分企业招聘要求本科及以上,招聘专科的岗位,其月薪仅在5-7k左右。
目前,全球网络安全劳动缺口达340万人,而企业招聘岗位的要求却只高不下,企业应该如何招揽网络安全人才?当下环境又发生了哪些变化呢?
在安在统计的2022年年度热词盘点中,出现了“裁员”这一字眼。在过去的几个月内,科技行业出现了大规模裁员,猎头公司Careerflow创始人古普塔(Nikita Gupta)表示,一名软件开发人员在6个月之前可以向公司漫天要价,当时用人企业正在竭尽所能的吸纳人才,甚至几乎到了盲目的地步,而现在,形势已经大不如前。
当前的国际形势愈发复杂,反映到科技行业就是企业收窄、薪酬下滑、人才凋零。据统计,世界上几家最大的科技公司已经裁员超过15万人,而这却为安全行业带来了机会。
当下,合格的求职者比以往任何时候都要丰富,其中大部分人都是安全相关岗位的合适人选。虽然大部分应聘者都没有网络安全相关学位或工作经验,但是,有很多种途径可以帮助其提升或是选拔具有其他特质的应聘者,使其能够担任安全职位。
过去,各组织一直专注于招聘“传统”候选人或具有四年网络安全学位和以往相关工作经验的候选人,以填补空缺职位,这在上文的BOSS直聘中得以显现。一家组织要想步入网络安全带来的趋势,就应该修改招聘原则,更何况是在安全缺乏人才,而开发、测试等岗位大幅度裁员的当下。
组织有必要转变招聘思路,考虑扩大人才库,以填补企业安全岗位的缺失。组织在招聘网络安全人才时,可以适当下降网络安全经验的权重,转为以下四个关键因素。
当一家组织不得不考虑外部候选人来担任某一特定职位时,请先从组织内部考察。过往离职员工或亟需晋升的员工都可以纳入考察范围,这不仅是培养网络安全人才的好办法,还可以支撑组织整体人才水平。
一项研究表明,随着时间的推移,员工留在当前公司的可能性会降低,但横向调动的员工,留在当前公司的可能性会增加62%。实际上,通过人性的角度也可以认可这一研究,任何一个员工都会在公司投资或培养的时候,更加倾向于留在公司。
当然,这种内部调岗的机制适合相对规模较大、组织架构较为完整的、所谓的中大型企业。小公司的岗位职责并不明确,因此不在此次讨论范畴中。虽然内部调岗看似好处很多,但是对于员工来讲,内部调岗同样也会带来困扰。
当站在不同角度的时候,发现的问题也不同。对于企业高层而言,内部调岗相较于外部招聘,一定是利大于弊的, 但当该流程需要底层管理者、HR和员工时,就会考虑到该决策的风险程度。例如如果调岗某位员工,那么其之前负责的工作是否有人能够交接;当顺利调岗后,其他员工是否提出类似要求;员工进入新岗位后是否能够完成工作?这些问题最终都会归咎于底层管理者的过失,费力不讨好。
因此,对于企业高管来讲,如果将内部调岗工作顺利进行下去是一个非常关键的问题,不能只是上层张张嘴,底层跑断腿,要更加合理的预估调岗所带来的风险,而不是单纯只看到内部调岗带来的积极作用。
除此之外,在招聘人才的过程中,也可以将女性、退伍军人纳入考察范畴。女性群体可以为组织安全建设带来新的思路,而退伍军人所具备的责任感、纪律性以及攻坚能力能够帮助企业进一步提高整体安全基线,突破固有安全桎梏。
实际上,当前企业在招聘网络安全人才时,最容易犯的错误就是过度看重四年制学位。诚然,四年制学位是很多行业及岗位的最基础要求,也是对个人能力验证的最便捷途径。一方面,企业招聘本科以上学历的员工可以确保其综合能力和工作效率,同时还有较强的学习能力,以便于快速掌握工作。
但对于网络安全岗位来讲,经验要比学历更加重要。目前,任何个人都可以通过多种途径来获得网络安全工作所需的技术和知识,例如在职培训或自学课程,单以学历来考量是无法准确评估求职者的综合能力。
真正能够考验求职者能力的是行业认证,根据Fortinet 2022年网络安全技能差距全球研究报告,81%的受访组织寻找具有证书和网络安全培训的候选人。95%的决策者表示,持有技术认证的员工会对公司有积极影响。这些第三方认证为组织和HR提供了外部验证的途径,以证明应聘者具备组织所需的或是关键的网络安全意识和知识。
除了了解网络安全控制和事件响应框架外,网络安全专业人员还应具备许多与技术技能同等重要甚至更重要的软技能。根据LinkedIn和Reale上发布的网络安全分析师职位列表的审查,列出了包括沟通、协作、风险管理、适应性和批判性思维等顶级软技能。
实际上,软技能是与工作方式相关的一种非技术性技能,它不受行业限制,会一直跟随着求职者,像时间管理能力、倾听能力、协调能力都属于职场“软技能”。
与沟通相关的软技能一般有:倾听;谈判;语言交流;说服力;公开演讲;提供建议;文字撰写。
与批判性思维相关的软技能一般有:逻辑思维;观察力;创造力;解决问题;变通性;适应能力。
与领导力相关的软技能一般有:监督能力;责任感;冲突管理;远程管理;会议管理;团队管理。
与工作态度有关的软技能一般有:礼貌;热情;尊重;诚信;合作。
与团队协作有关的软技能一般有:分工合作;提出意见;接纳意见;人际关系处理;跨部门沟通。
与职业道德有关的软技能一般有:有计划;守时;专注;遵守deadline;结果导向;抗压能力;自我监督等。
《2022年中国职场人群发展建议白皮书》中就指出,在数字经济下,相较于计算能力、读写能力等认知技能为代表的“硬技能”外,更偏重非认知能力,像学习和解决问题能力、管理能力和社交能力等职场“软技能”已经成为劳动者和用人单位的迫切需求。
在市场需求端,近几年企业对劳动者的软技能也愈加看重。据BOSS直聘《2021企业人才需求趋势调查》显示,雇主最看中的三项软技能为演绎推理能力、问题敏感度与归纳推理能力。在信息和数据爆炸的时代,能够及时发现业务问题,并用清晰的逻辑思维对问题进行深入洞察分析的人才将会为企业创造更多核心价值。
皮尤研究中心(Pew Research Center)的一项研究发现,在2021辞职的成年人中,53%的人改变了各自的工作领域。寻求转行的专业人员比例如此之高,对安全负责人来说是一个巨大的机会。
这些对职业转变感兴趣的人,可以通过现有的网络安全再培训项目从中吸引并招募人才。例如,通过Fortinet培训学院,Fortinet与女性网络安全(WiCyS)和其他组织合作,通过提供培训和指导计划,让更多来自代表性不足群体的个人接触网络安全,致力于实现行业多元化。此外,Fortinet与IBM SkillsBuild合作,为个人提供免费学习机会,以培养技能、再培训或提升技能,从而在网络安全领域发挥作用,然后将学习者与不同的雇主联系起来,开始他们的职业生涯。
网络安全行业资深猎头Nancy表示,由于行业和行业之间的跨度问题,每家公司对安全的要求和员工所需的技能并不一致。比如传统安全更重视基础安全、终端安全、防泄密,而互联网企业更重视攻防、内容、对抗、数据安全等。同时,因为网络安全圈子较小,更容易闭环,所以对于组织来说,招到合适的安全人才并不容易。
某人力资源负责人表示,招聘网络安全岗位应该先观察其所在企业的招聘渠道,一般会有以下几个方向:
一、网络渠道。某勾、某聘等口碑较好的网站都可以。
二、内部推荐。组织要招聘网络安全岗位,说明组织内部有相关的IT从业人员,可以发动人员进行内部推荐,他们本身就有相关的关系网络,是一个隐藏的宝藏,当然建议还是给予员工一定的经济奖励的,更好的推动他们的积极性。
三、中介渠道。如果需要的岗位层级比较高的话,那就是猎头渠道了,当然前提是一定明确你的岗位需求。
四、广告媒体。互联网公司一般都有自己的APP以及官网,那么可以在这些APP上投放广告。现在伴随着抖音、头条等媒体平台的崛起,适当向这些平台投放广告也是有用的。
五、校企合作。这个渠道更倾向于前端的人才培养以及后端整个人才供应链的供给,可以理解为找到某高校,签订合作,学生毕业后即可进入企业工作等相关培养方案。
由于人才短缺和许多职位空缺,即使在经济放缓的情况下,网络安全行业仍继续为求职者提供许多令人心动的岗位和机会。随着越来越多的专业人士在求职,企业应该抓住实际,扩大招聘工作,并从扩大的人才库(科技公司裁员)中寻找新的候选人,并考虑来自“非传统”背景的专业人士。通过采用新的招聘理念和策略,企业领导者可以填补空缺,使团队多样化,并加强组织的安全态势。
Embrace This Opportunity to Attract New Cybersecurity Talent