近期调查发现,许多企业面临的网络安全人才招聘困难,不仅是安全人才整体短缺造成的,更重要的是企业管理不善。难度差不多。信息系统安全协会(ISSA)和分析公司EnterpriseStrategyGroup(ESG)对美国和其他地区的489名IT和安全专业人士进行了调查,了解与他们工作相关的一系列问题。这是这两家机构多年来进行的第五次调查。今年,57%的受访者表示他们的公司受到了人才短缺危机的影响,高于去年的70%和2019年的73%。虽然情况似乎正在好转,但95%的受访者认为人才短缺及其影响尽管相关影响在过去几年有所改善,但44%的人认为只会变得更糟。根据调查,超过四分之三(76%)的企业发现特别(或有些)难以找到和雇用网络安全专业人员。网络安全人才供需之间日益扩大的差距加剧了这一问题。另一个原因是公司在填补可用的网络安全职位时犯了根本性错误。例如,38%的受访者认为他们的公司没有为潜在的网络安全员工提供有竞争力的薪酬。29%的受访者表示其人力资源部门对网络安全技术不了解,25%的受访者认为不切实际的工作要求和技术要求让潜在的优秀求职者望而却步。大约60%的受访者认为他们的企业可以采取更多措施来缓解这种情况。ISSAInternational总裁兼首席信息安全官CandyAlexander表示:“这份调查报告的主要结论是,情况没有改变。”调查结果显示,企业并没有加大薪酬投入,也没有为现有员工提供培训机会。薪酬可以看作是对招聘成熟的网络安全专业人士的投资,但许多公司并没有这样做。究其原因,可能是这些企业不了解网络安全岗位的作用,或者没有充分了解网络岗位在企业盈利中的作用。Swimlane的安全研究工程师NickTausek表示,担任初级分析师角色的网络安全专业人员,或从事基础设施和软件支持工作的人员,可能无法获得合理的报酬。其他可能导致摩擦的薪酬相关因素包括高级员工和新员工之间的巨大薪酬差距,以及同一职位的薪酬等级不透明且差异很大,几乎看不到谁获得什么报酬。“在我工作过的地方,我遇到过经验不足的分析师比担任该职位四年的老手多出15,000美元的案例,这仅仅是因为他们的谈判技巧,”Tausek说。“还有一些公司向附属办公室提供分析师。教师的工资只有总行同岗位人员的三分之一。这种不公平是对士气的巨大打击。”自动化问题人力资源部门对网络安全技能的了解不足,发布的招聘广告充满不切实际的要求(例如要求职位不需要的技能,或者与薪水不匹配)是另外两个导致困难的因素为公司雇用员工。Alexander说,人力资源部门的不断自动化也造成了很多优秀人才的简历被埋没的情况,仅仅是因为他们的简历没有包含系统可以捕获的特定关键字。此外,具有严格招聘实践的企业通常可以根据某种类型的等级分类来调整职位和薪水。ESG分析师Oltsik表示:“分类是严格的,可能跟不上网络安全等热门工作领域的变化。”然而,网络安全主管也难辞其咎,因为他们过于关注网络安全职能的技术方面,而没有与人力资源部门或招聘负责人沟通需求。缺乏明确的职业道路也是一个问题。并非每家公司都具备渗透测试或高级安全分析等功能,这意味着员工在同一职位上停留的时间可能比预期的要长。对现有团队进行交叉培训,让分析师接触SIEM管理或网络,可以为那些希望扩展技能的人提供一个出路。根据ISSA/ESG调查研究,99%的受访者认为培训是跟上对抗网络对手所需技术的关键。然而,82%试图跟上网络安全技能发展的人发现工作要求阻碍了他们。39%的受访者表示,他们的公司增加对网络安全培训的投资将有助于解决人才短缺问题。企业需要预留培训费用预算,合理安排安保人员接受培训的时间。“坚持培训计划,不要改变它。如果你不能按计划培训,让高级员工在职培训初级员工。我们把问题及其解决方案复杂化了。”人才崛起人才短缺使许多企业现有的网络安全团队不堪重负。62%的受访者认为人才短缺正在增加网络安全团队现有成员的工作量,38%的受访者认为人才短缺正在推高员工倦怠率。95%的受访者认为人才危机在过去几年没有改善,而44%的受访者认为人才短缺愈演愈烈。重视吸引和留住人才的安全主管和人力资源部门需要认识到分析师和其他网络安全专业人员带来的巨大专业知识,并对他们给予适当的补偿。缩小个别岗位薪酬差距和薪酬水平,实现福利和薪酬透明化。让员工感到被重视。网络安全专业人员努力工作,通过发现安全事件和预防更严重的事件,他们为公司做出了巨大贡献。
