评估我们为什么会面临这些挑战非常重要。据ThreatConnect最近发布的《网络安全压力下的2022》(Cybersecurity Under Stress 2022)研究报告显示,41%的英国IT安全经理正在积极考虑是否在未来六个月离职,而只有不到四分之一的人可能会推荐从事网络安全工作。由于攻击频率和复杂性的增加,安全团队面临着更大的压力,压力和疲劳无疑是一个挑战。尽管如此,这个问题在很大程度上还是源于行业内部一些基本的自我强加的文化问题,而这些问题很容易改变。
尽管现在已经是 2022 年,但我们仍然可以看到很多企业还在发布属于上世纪80年代的招聘广告,使用的都是千篇一律的措辞,而且这些人似乎对这份工作根本没什么概念,也不知道这个行业的求职者想要什么。无意识的偏见、差劲的工作描述以及对所需技能的先入为主的观念,都是导致技能短缺的原因。这些因素也造成了人才多样性的缺乏。
在招聘标准方面,技术供应商的日子并不好过,他们在职位描述中使用诸如“尖端”、“摇滚明星”和“独角兽”之类的字眼,只会给人一种封闭的、高级的网络安全俱乐部的印象,而实际上我们迫切需要的是新鲜、多样化的人才。
当我们看到我们行业中新工具和流行语的激增时,这一点尤其重要,由于它们缺乏有效性,这也导致了网络安全人员培训的巨大问题。如果技术供应商可以继续提高对用户体验和采用路径的关注,最终用户组织可以通过雇用人员而不仅仅是认证来摆脱“技能危机”。
虽然解决招聘不足问题很重要,但对于企业来说,更重要的是考虑如何留住员工,并加强安全运营的投入,以确保问题不会恶化。通常答案并不像雇用更多的人那么简单。如果雇用了对的人,可能会对企业有益,但在我们面临前所未有的人才短缺的时候,企业花在招聘新员工上的时间和金钱可以更有效地用于加强他们的安全基础设施。归根结底,最好是有一个对您的业务了如指掌的训练有素的 IT 专业小团队,而不是一大群不具备适当技能的新员工(或承包商)。
关于人才危机的头条新闻和讨论似乎令人担忧,并且可以理解,这让许多企业领导担心未来。新入职人数的大幅下降以及业内人士的不满的情况是不能持续下去的,但是有解决的办法。找到这些人才的关键在于IT部门和人力资源部门的领导们共同努力,以吸引合适的团队成员并维持和提高现有员工技能的方式去宣传他们的公司。企业需要确保他们的员工能够接受培训,为未来几个月甚至几年的工作做好准备。
或许最重要的是,他们必须做好准备避免让员工劳累过度,避免出现“老板vs员工”的感觉。信息安全的24/7 特性不能由夜以继日工作的少数人维持。员工可以在 GlassDoor、LinkedIn 和 Reddit 等网站上分享他们的经验,超负荷工作和缺乏关怀等影响企业声誉的危险记录可以通过快速搜索立即找到。
如果企业发现自己没有预算,甚至不想雇人,可以用合适的安全合作伙伴提供的技术和专业知识来补充现有的员工,以实现平衡。这种倍增协同作用可以积极地影响企业的整体安全态势,使现有人员能够有效地处理战略计划和关键优先事项。
参考链接:https://www.infosecurity-magazine.com/opinions/why-diversity-crucial-cybersecurity/