无论是新的远程工作方式的激增还是网络攻击的激增,过去两年都是整个IT行业具有里程碑意义的变革时期。COVID-19大流行对企业运营方式的影响暴露了许多企业领导者正在努力解决的网络安全问题。这也导致了网络安全专业人员的严重短缺。最近的数据显示,除亚太地区外,世界上每个地区的人员短缺都在增加。这种严重缺乏专业知识意味着企业正在努力留住人才并寻找有经验的人来解决当今的网络安全问题。评估我们为何面临这些挑战很重要。根据ThreatConnect最近的《网络安全压力下的2022》(Cyber??securityUnderStress2022)研究报告,英国41%的IT安全经理正在积极考虑是否在未来六个月内离职,而不到四分之一的人可能会推荐网络安全工作。由于攻击的频率和复杂性增加,安全团队承受的压力越来越大,压力和疲劳当然是一个挑战。尽管如此,大部分问题还是源于行业内一些基本的、自我强加的文化问题,这些问题很容易改变。虽然已经2022年了,但我们仍然可以看到很多公司还在发布80年代的招聘广告,用的是同样的措辞,而且这些人似乎对这份工作没有概念,也不知道这个行业的求职者到底想要什么。无意识的偏见、糟糕的工作描述以及对所需技能的先入为主的观念都导致了技能短缺。这些因素也导致人才缺乏多样性。技术供应商在招聘标准方面遇到了困难,他们在职位描述中使用“尖端”、“摇滚明星”和“独角兽”等词来营造一种封闭的、高层次的氛围。网络安全俱乐部的印象,而实际上我们迫切需要新鲜、多样化的人才。这一点尤其重要,因为我们看到我们行业中新工具和流行语的激增,这也导致网络安全人员培训因缺乏有效性而出现巨大问题。如果技术供应商可以继续增加对用户体验和采用路径的关注,最终用户组织可以通过雇用人员而不仅仅是认证来摆脱“技能危机”。虽然解决招聘不足问题很重要,但企业更重要的是要考虑如何留住员工并投资于安全运营,以确保问题不会恶化。通常,答案并不像雇用更多人那么简单。雇用合适的人对企业有好处,但在我们面临前所未有的人才短缺的时候,企业花在新员工身上的时间和金钱可以更有效地用于加强他们的安全基础设施。归根结底,最好是拥有一个由训练有素的IT专业人员组成的小团队,他们对您的业务了如指掌,而不是一大群不具备适当技能的新员工(或承包商)。关于人才危机的头条新闻和讨论似乎令人担忧,而且可以理解的是,许多商界领袖对未来感到担忧。新员工的急剧减少和行业参与者的不满是不可持续的,但有解决办法。找到这种人才的关键是IT和人力资源领导者共同努力,以吸引合适的团队成员并维持和提高现有员工技能的方式推销他们的公司。企业需要确保他们的员工接受培训并为未来几个月和几年的工作做好准备。也许最重要的是,他们必须做好准备,避免员工过度劳累,避免“老板对员工”的感觉。信息安全的24/7全天候性质不能由少数全天候工作的人来维护。员工可以在GlassDoor、LinkedIn和Reddit等网站上分享他们的经验,并且可以通过快速搜索立即找到过载和疏忽等损害声誉的记录。如果企业发现自己没有预算,甚至没有招聘的意愿,它可以通过用合适的安全合作伙伴提供的技术和专业知识补充现有员工来达到平衡。这种倍增的协同作用可以对企业的整体安全态势产生积极影响,使现有人员能够有效地处理战略计划和关键优先事项。参考链接:https://www.infosecurity-magazine.com/opinions/why-diversity-crucial-cybersecurity/
