很多企業(yè)面臨的網(wǎng)絡(luò)安全專業(yè)人員招聘難題,除了是安全人才總體供不應(yīng)求的狀況所造成的,企業(yè)管理不善或許也貢獻了差不多的難度。
近期一項調(diào)查研究發(fā)現(xiàn),很多企業(yè)面臨的網(wǎng)絡(luò)安全專業(yè)人員招聘難題,除了是安全人才總體供不應(yīng)求的狀況所造成的,企業(yè)管理不善或許也貢獻了差不多的難度。
美國信息系統(tǒng)安全協(xié)會(ISSA)和分析公司企業(yè)戰(zhàn)略集團(ESG)對美國及其他地區(qū)的489名IT和安全專業(yè)人員就與其工作相關(guān)的一系列問題進行了問卷調(diào)查。這是兩家機構(gòu)多年來執(zhí)行的第五次調(diào)查。
今年,57%的受訪者報告稱,其公司一直受到人才短缺危機的影響,這一比例在去年是70%,2019年則是73%。盡管看起來情況有所改善,95%的受訪者認為人才短缺及其相關(guān)影響在過去幾年里有所改善,但44%的受訪者感覺情況只會變得更糟。
調(diào)查顯示,超過四分之三(76%)的企業(yè)發(fā)現(xiàn)特別(或某種程度上)難以找到并聘用網(wǎng)絡(luò)安全專業(yè)人員。網(wǎng)絡(luò)安全人才供應(yīng)與需求之間越來越大的差距是導(dǎo)致該問題的原因之一。另一個原因是企業(yè)在填補可用網(wǎng)絡(luò)安全職位方面犯了些基本的錯誤。
例如,38%的受訪者認為其公司沒有為潛在的網(wǎng)絡(luò)安全員工提供有競爭力的薪酬。29%的受訪者對其人力資源部門的評價是毫不了解網(wǎng)絡(luò)安全技術(shù),25%覺得不切實際的崗位要求和技術(shù)要求很是勸退潛在的優(yōu)秀求職者。約60%的受訪者認為自家企業(yè)可以采取更多行動來緩解這種情況。
ISSA International總裁兼首席信息安全官Candy Alexander稱:“這份調(diào)查報告的主要結(jié)論就是,情況沒有任何改變?!闭{(diào)查結(jié)果顯示,企業(yè)并沒有增加薪酬投入,也沒有為現(xiàn)有員工提供培訓(xùn)機會。
薪酬可被視為一種投資,用于招聘成熟網(wǎng)絡(luò)安全專業(yè)人員,但很多企業(yè)都沒這么做。個中原因可能是這些企業(yè)并不了解網(wǎng)絡(luò)安全崗位的職能,或者沒有充分看出網(wǎng)絡(luò)崗位對公司盈利的作用。
Swimlane安全研究工程師Nick Tausek表示,處在初級分析師職位,或者從事基礎(chǔ)設(shè)施及軟件支持工作的網(wǎng)絡(luò)安全專業(yè)人員,很可能無法獲得公平合理的薪酬。其他可能導(dǎo)致摩擦的薪酬相關(guān)因素包括資深員工和新員工之間的巨大薪金差距,以及同一職位不透明且差異很大的薪資表,基本無法了解誰做了什么而拿到薪金。
Tausek稱:“我工作過的地方曾出現(xiàn)過毫無經(jīng)驗的新人分析師比這個崗位上供職四年的老手多拿1.5萬美元的情況,僅僅是因為談判技巧。還有些公司給附屬辦事處分析師的薪資只有總公司同一崗位人員的三分之一。這類不公平超級打擊士氣?!?
自動化問題
人力資源部門對網(wǎng)絡(luò)安全技能理解不足,發(fā)布的招聘啟事列滿不切實際的要求(比如要求具備該崗位并不需要,或者與薪資不相匹配的技能),是讓企業(yè)難以聘任到員工的其他兩個因素。
Alexander表示,人力資源部門的不斷自動化也造成了很多優(yōu)秀人才的簡歷被埋沒的情況,而原因僅僅是他們的簡歷中沒有包含特定關(guān)鍵詞供系統(tǒng)捕獲。
此外,具有嚴格招聘慣例的企業(yè)通??梢愿鶕?jù)某種類型的分層分類法來調(diào)整職位和工資。
ESG分析師Oltsik稱:“這種分類很僵化,可能跟不上網(wǎng)絡(luò)安全這種熱門工作領(lǐng)域的變化?!辈贿^,網(wǎng)絡(luò)安全主管在這方面也有責(zé)任,因為他們太過關(guān)注網(wǎng)絡(luò)安全職能的技術(shù)層面,而沒有跟人力資源部門或招聘負責(zé)人溝通好需求。
缺乏清晰的職業(yè)晉升路徑也是個問題。不是每家公司都設(shè)有滲透測試或高級安全分析這樣的職能,也就意味著員工停滯在同一位置的時間可能比預(yù)想的要長。而對現(xiàn)有團隊進行交叉培訓(xùn),讓分析師了解SIEM管理或網(wǎng)絡(luò),則可以為那些想要擴展技能的人提供出路。
ISSA/ESG的調(diào)查研究顯示,99%的受訪者認為,培訓(xùn)是緊跟對抗網(wǎng)絡(luò)對手所需技術(shù)的關(guān)鍵。然而,試圖跟上網(wǎng)絡(luò)安全技能發(fā)展步伐的人中,有82%發(fā)現(xiàn)崗位要求阻礙了他們的發(fā)展。39%的受訪者稱,公司增加網(wǎng)絡(luò)安全培訓(xùn)投資有助于解決人才短缺問題。
企業(yè)需要為培訓(xùn)開支留出預(yù)算,合理安排安全員工接受培訓(xùn)的時間。
“嚴格遵從培訓(xùn)計劃安排,不要隨意改動。如果沒法按計劃培訓(xùn),那就讓高級員工對初級員工做在職培訓(xùn)。我們已經(jīng)太過復(fù)雜化這一問題及其解決方案了?!?
不斷加劇的人才短缺狀況已經(jīng)讓很多企業(yè)的現(xiàn)有網(wǎng)絡(luò)安全團隊不堪重負了。62%的受訪者認為人才短缺正在加重網(wǎng)絡(luò)安全團隊現(xiàn)有成員的工作量,38%的受訪者覺得人才短缺推高了員工的職業(yè)倦怠率。95%的受訪者認為人才危機過去幾年來毫無改善,而44%的受訪者覺得人才短缺情況越來越惡化。
重視吸引和保留人才的安全主管和人力資源部門,需要認識到分析師和其他網(wǎng)絡(luò)安全專業(yè)人士所帶來的巨大專業(yè)知識深度,并適當補償他們。
縮小單個職位的薪金差距和工資級別,透明化福利和薪酬。讓員工感受到重視。網(wǎng)絡(luò)安全專業(yè)人員的工作很辛苦,通過發(fā)現(xiàn)安全事件并防止更嚴重的事件出現(xiàn),他們?yōu)楣咀龀隽司薮蟮呢暙I。