人们很容易从更好的新技术将消除威胁并提供组织所需的所有保护的角度来看待网络安全。虽然正确的工具、应用程序和系统是必不可少的,但大多数组织的问题是管理安全框架。目前,美国仍有近60万个网络安全职位空缺,换句话说,约占所有网络职位的46%。在全球范围内,缺口约为270万。更重要的是,问题正在加速。这种人才短缺对现实世界产生了影响。它使有效使用工具和技术变得更加困难,但它也使现有员工负担过重,并造成增加风险的保护缺口。然而,吸引网络安全人才是一项越来越困难的任务。具有合适背景和资格的人通常似乎并不存在。结果?安全领导者必须以更广泛和更深入的方式处理人员配置问题。如今,仅仅依靠那些有学位、证书和经验的人是不够的。通过将劳动力扩大到那些自学成才或具有网络安全诀窍的人——并对他们进行特定角色的培训——候选人的数量呈指数级增长。坐下来依靠所有常见的人才嫌疑人是很诱人的。这可能涉及在LinkedIn以及传统的工作委员会上发布职位列表。要么在公司网站上发布职位空缺,要么使用计算机程序扫描简历并搜索关键字来寻找人才。发现网络安全人才的出发点是更广泛的思考。例如,大学招聘会、竞赛、编程马拉松和其他各种活动都可以成为宝贵的资源。一个展位甚至非正式出席行业活动都可以带来丰厚的回报。还有可能赞助项目或参与与大学和技术机构的学习伙伴关系,从而与教授和学生建立联系。然而,重新思考组织招聘的基本方式也很重要。不幸的是,许多公司与市场完全不同步。例如,在LinkedIn上看到需要多项认证和多年经验的“入门级”职位发布并不少见。入门级职位需要这种背景的想法是不现实的,而且适得其反。事实上,Gartner和其他咨询公司指出,安全负责人和人力资源部门通常会通过撰写包含过于狭窄或过于模糊的资格的招聘启事来破坏招聘工作。毫不奇怪,繁琐或不明确的要求会吓跑合格的候选人。流行语只会使事情复杂化——尤其是当算法完成大部分初始筛选时。相反,最好专注于扩大您的网络……以及您的需求。例如,目前只有约25%的网络安全职位由女性担任。但这也意味着要超越计算机科学专业来填补网络安全职位。该领域的许多工作不需要正规的计算机科学教育和技术认证。通常,一个聪明且积极进取的人只需很少的培训就可以快速上手。换句话说,重要的是潜在的态度和品质。解决难题的能力和愿望是优秀网络安全专业人员的基石。与他人合作也是如此。通过正确的培训、认证和指导计划,实践经验最少但有学习动力的求职者最终也能取得好成绩。底线?与其强迫应聘者遵守不切实际的公司期望,不如稍微妥协以适应应聘者。最后,每个人都赢了。风险与回报当然,吸引人才只是其中的一部分。还需要保留专业知识并避免被其他公司挖角。虽然薪水是所有工作的起点,但重要的是要打破通常认为金钱是赢得人才战争的主要因素的观念。事实上,成功的组织努力创造一种参与文化,并努力创造一个人们完全相互信任的框架。这意味着创造有意义的工作并提供在组织和领域内进步的机会。毫不奇怪,许多年轻员工,尤其是千禧一代,在他们有机会不断学习、进步和享受乐趣的环境中茁壮成长。而且,虽然网络安全可以非常有趣和迷人,但网络安全是一项严肃的、有时令人沮丧的工作。通过红蓝团队活动、内部编程马拉松和各种竞赛——其中可能包括适度的奖品和激励措施,可以在增强保护的同时让工作变得有趣。还可以利用模拟真实事件的在线技能培养和开发工具,让员工在真实场景中测试和发展他们的技能。当组织采用更广泛但更专注的网络安全人员配置框架时,他们突然能够在劳动力市场上获得明显的竞争优势。他们可以有机地吸引新的候选人,而不是持续不断的人才争夺战。
