网络安全劳动力短缺、相关技能缺口的问题没有得到解决甚至改善。而且这种风险将在2021年继续增长,因此组织采取行动壮大其网络安全员工队伍变得越来越重要。以下5种吸引人才的方法可以帮助组织有效缩小技能差距。在过去十年中,对网络安全专业人员的需求呈爆炸式增长:事实上,到2020年初,该行业的劳动力缺口已扩大到仅在美国就有50万,而全球则为400万。在此背景下,我们再次受到COVID-19大流行的打击,网络安全世界再次“失控”,仿佛一夜之间,工作模式发生了翻天覆地的变化,成千上万的员工被迫离开办公室漫长的远程工作开始了。一些公司几乎在一夜之间实现了巨大的飞跃,许多网络安全专业人员正在竭尽全力保护基于云的远程工作环境,即使面对新出现的威胁也是如此。然而,一年过去了,网络安全劳动力短缺和相关技能差距的现实并没有改善:根据(ISC)2发布的《2020年网络安全劳动力研究报告》,尽管全球网络安全劳动力需求在过去一年中有所减少——从400万减少到3.1万——但美国仍有近40万个网络安全职位空缺。为了“有效保护组织的关键资产”,全球网络安全劳动力需要增长89%。此外,虽然实际网络安全事件仍处于基线水平,劳动力差距也略有缩小,但超过一半(56%)的受访者表示,网络安全人员短缺正使他们的组织面临风险。BoozAllen网络组织人才战略师ErinWeissKaya表示:“尽管经过多年发展,网络安全仍然是一个新兴行业,威胁几乎每天都在变化,包括新的威胁参与者、新技术和5G的影响。进化等等。但是我们面临的人才现状是供不应求。0%的失业率,这在其他行业应该是不可能的。”网络安全公司LIFARS的首席执行官兼创始人、数字取证和道德黑客专家OndrejKrehel认为,网络安全行业的差距和风险将在2021年继续扩大,因此必须开始实施有效的人才吸引战略以缩小网络安全技能差距.“黑客只会变得更聪明、更快,这意味着防御团队也需要如此,以建立强大的网络安全团队,并确保公司不会遭受人才短缺的困扰,”他说。拥有合适技能的人才很难找到但是,找到并成功吸引具有合适网络安全技能的人才并非易事。即使在今天的入门级网络安全工作中,所需的技术技能清单也很长。Krehel指出,网络安全领域的“入门级”职位描述通常看起来像是其他行业的中高级职位,因为它通常需要如此多的安全或供应商认证,从而为求职者设置了“高级”门槛。threshold”。此外,非技术类角色(如敏捷性和灵活性等领域)更难衡量和招聘,但也是急需的。这些角色的必备技能不包括相关技术和工具,而是部署工具和实际解释数据的能力。前CIA高管、现任Darktrace战略威胁主管MarcusFowler补充说,组织需要弄清楚如何从现有安全团队中获得更多收益。仅通过雇佣并不能完全解决职位-员工不平等的情况,甚至只能得到杯水车薪。更聪明的做法是将现有员工与自主人工智能工具配对,让网络安全专业人员能够更快、更高效地开展工作。人工智能/机器的能力Fowler说,学会最初对所有安全事件进行分类将是安全团队重新控制其工作的关键。具有自主调查能力的AI工具能力可以进行早期分类并处理一些繁重的工作,从而腾出人类安全专家的时间和精力来主动和战略性地控制事件调查过程。话虽如此,通过更具吸引力的招聘策略来发展网络安全劳动力仍然是必须的。“我觉得网络安全行业还没有完全接受非线性、非传统的入口点,”Kaya说。该行业一直局限于相对传统的招聘定义,即寻找经过验证的资源和技术技能。我们需要弄清楚:我们如何看待想要进入这个领域的人?然后,我们如何重新培训他们,使他们达到安全专家的水平?”据专家介绍,组织可以通过以下5种重要方式采取行动,以在2021年及以后发展网络安全劳动力:增加网络安全劳动力的5种方法1.根据助理教授PamRowland的说法,改进招聘内容以吸引多元化的候选人作为达科他州立大学的网络安全专家和CybHER的联合创始人,许多企业组织需要修改他们的招聘广告以吸引各种各样的候选人。她说,招聘团队需要认真思考并重新设计他们的工作内容,而不是继续沿用过去十年的相同策略。首先,公司应该放弃高男性化匹配方案,并重新考虑“世界上没有人能满足”的冗长技能需求清单。研究表明,男性即使只满足清单中的25%也会求职,但相反,大多数女性都会望而却步。因此,建议招聘公司可以列出最重要的优先事项,但应聘者必须保持终身学习的态度,最好具有批判精神。2.吸引有安全意识的软件工程师找工作扩大可用人才库的一个好方法是吸引有安全意识的软件工程师,他们已经拥有许多合适的技能,但正在通过设计小型专用工具寻找机会,Kolide的首席执行官兼创始人JasonMeller说。这些工具(包括漏洞扫描器、渗透测试实用程序和端点数据收集器)通常过于小众,无法从安全供应商处购买,但这些工具为新手安全从业者提供了提高其能力、速度和准确性的机会。然而,令人惊讶的现实是,许多流行的开源安全工具的开发人员往往被当前的雇主所忽视。如果你能接触到这样的人,请给他们机会继续你的热情,看看这些工具在现实世界中的表现,相信我,这是双赢的:你将拥有一个充满激情的技能设定者,他将还为您的团队提供安全保障3.通过提供与安全团队合作的激励机制来寻找人才梅勒说,在组织内识别最佳候选人的另一种好方法是为员工创造激励机制,让他们在有空时工作。直接与安全团队就有意义的优先事项进行协调。例如,您的公司可能已经投资了一个外部漏洞赏金计划,供道德黑客报告系统安全问题,但是否有适当的机制和激励措施来鼓励有安全意识的员工在内部安全地报告问题?一旦建立起来,利用这些内部沟通渠道,你可能会在初级职位的人中找到“潜力股”,这些人未来完全有可能晋升到更高的职位。4.投资员工认证计划Krehel表示,网络安全行业需要致力于培训初级员工,并为他们提供从一开始就取得成功所需的资源。他说,公司应该制定计划,帮助应届毕业生获得证书和实习机会。虽然证书不能弥补多年的工作经验,但它可以帮助初级和中级员工在网络安全的各个方面获得良好的实践基础,包括运营、取证和政策。它还通过展示每个员工的职业前景来帮助提高员工保留率。5.通过提早激发女孩的兴趣来刺激性别多样性到了高中,让女孩进入网络安全世界可能为时已晚。罗兰认为,中学是他们真正开始决定计算机科学是否适合他们的最佳时机。如果你能让女孩在中学时对网络安全感兴趣,那么在高中时她们就可以准备好参加相关课程并保持足够的参与度,这样她们就不会觉得“网络安全”是一个威胁生命的问题了。恐惧领域。一旦他们了解什么是网络安全,他们就更有可能深入挖掘。后疫情时代网络安全专业人士展望到2020年,网络安全行业的市场规模将达到1671亿美元,预计2020年至2027年的复合年增长率将达到10%。显然,在这种增长水平上,构建在经历了一年的动荡之后,在后新冠时代加强合格和多元化的劳动力将更具挑战性。根据(ISC)2发布的《2020年网络安全劳动力研究报告》,49%的受访者希望他们的组织在明年内雇用更多的网络安全专业人员。虽然没有迹象表明明年网络安全技能差距会显着缩小,但BoozAllen的Kaya对长期前景持乐观态度。她指出,过去一年来前所未有的变化和新出现的威胁实际上已经引起了人们对不断发展的网络安全领域的更多关注和兴趣。“我认为这个领域有很多兴趣,我们需要开始寻找非传统的切入点来扩大候选人库,并建立非常有效的机制来重新培训有基础成为专家的内部人员,”她说。对于网络安全世界来说,这是激动人心的时刻:您正面临着最迷人的挑战,接受它们,您的明天将丰富多彩。“
