网络安全行业正面临着合格人才的短缺,以满足日益增长的职位需求, 正如许多报道告诉我们的那样. 关于我们的“人才困境”,我发现自我实现的是公认的技术变革的快速速度, 然而,对具体技术经验和专门知识的持续追求. 我们寻找即插即用的人来匹配技术组件, 而不是那些拥有基本技能、天赋和渴望学习不断变化的技术的人.
随着组织内部和外部的流程和人员不断适应正在进行的技术变化, 我们的职业需要具备系统思维技能的个人, 解决问题, 创新, 和协作. 网络安全专业人员也需要很强的业务能力, 包括沟通技巧和管理风险的能力,以支持期望的业务成果和我们组织的风险承受水平. 我们需要一支能够反映我们所服务客户多样性的员工队伍, 超越性别和种族的外在特征, 丰富多样的经验和思维方式.
然而,, 当我们看到信息安全职位的招聘启事时, 我们看到了传统的男性主导语言, 一长串具体的技术基础设施和编码经验, 优先考虑技术或信息科学学位, 特别是计算机科学. 这些因素是否能让申请人具备我们所需要的广泛技能和视野, 或者这是我们目前同质化的信息安全工作人员的简历习惯?
网络安全行业最普遍的特点是缺乏通往网络安全职业的共同道路. 根据 2017年全球信息安全劳动力研究 调查了19个,全球有5000名网络安全专业人员, 87%的人开始从事网络安全以外的职业道路. 这些, 30%来自非it行业, 非工程背景, 包括业务, 市场营销, 金融, 会计, 军事和国防.
我研究了哈佛大学过去和现在的信息安全团队中表现出色的人所接受的“非传统”教育, 我找到了以下学位:德语, 英语, 哲学, 美术, 比较文学, 及国际关系, 等. 我还发现有些人根本没有大学学位. 除了对持续学习的渴望, 我们都有很强的沟通能力, 分析和风险管理技能. 这是招聘经理在信息安全领域最看重的三项技能, 根据2017年劳动力研究. 另一份报告, ISACA/RSA会议对2015年网络安全状况的调查, 确定网络安全专业人员最常见的缺陷是理解业务的能力, 与72年.33%的受访者提到了这一差距. “足够的技术技能”排在第二位,排在46位.32%,其次是沟通技巧(42%).16%.
我们如何改进我们的招聘和保留实践,以吸引和培养成功的网络安全专业人员所需的持久技能组合? 从以下五个步骤开始:
- 优先列出一个职位最重要的10项技能——技术和文化技能,并将职位描述限制在这些技能上;
- 使用免费或商业工具,检查并纠正招聘广告措辞中的性别偏见;
- 对所有申请人使用统一的面试问题和技能评估流程;
- 提供持续的技术和商业领导技能培训;
- 重视员工的不同背景和观点.
编者按: Silk将在会议上介绍这个话题, “IT招聘和保留的新准则” 2019北美CACS会议,将于5月13日至15日在美国加利福尼亚州阿纳海姆举行.
