每年,ISACA和其他机构都会报告网络安全领域数十万个空缺职位. 不同的指标, 填补一个职位需要多长时间, 员工的流动率, 被引用和, 根据我的经验, 人们常常带走错误的信息.
我们听到的, 当人们转发和分享这些数据时, 是否存在网络安全人才短缺. 我们需要更多的大学课程, 高中课程,甚至小学和学前课程,在年轻的时候就吸引人才,让他们对网络安全着迷. 如果我们要有足够的专业人员来填补这个队伍, 我们需要从小培养大批青年.
作为一个在这个领域工作了20多年的人, 我看到许多误解导致了这种假设. 这些都是:
你需要一大堆证书, 文凭, 学位和课程,成为一名称职的网络安全专业人员
这显然是错误的. 这并不是说由ISACA和其他机构组织的优秀认证项目没有价值, 继续在教育上投资是没有价值的. 但是我们大多数在这个领域工作过的人都知道, 该领域的绝大多数“老前辈”都是从邻近的领域(例如IT,计算机编程,犯罪学,武装部队等.),甚至是完全不相关的学习和工作领域. 这些不同的背景为团队带来了有价值的视角.
Fewer companies are requiring degrees of any kind for cybersecurity roles; often, 实践培训或证书也同样重要. 但是你不需要所有的证书——从一个与你的职业需求和目标相匹配的受人尊敬的组织开始.
你需要十年或更长的工作经验
这不仅是不真实的,而且是一个危险的假设. 云服务的现代IT堆栈, IaaS平台, SaaS应用程序和远程工作人员作为主流模式的历史最多也只有几年. 几十年前我学电气工程的时候, 我听说我们的教育半衰期是六年. 快进到今天, 我们看到,我们需要不断更新和完善我们对网络安全的理解, 快速适应新的最佳实践,并最终形成强大的变革管理文化,从而取得成功. 任何停滞不前或依赖多年的知识的组织都会很快被威胁行为者绕过.
安全是一个头衔
小心那些招聘启事,那些公司期望拥有20年工作经验的独角兽, 既懂古代技术又懂现代技术, 从SOC管理到合规再到appsec,经验丰富. 问题不仅在于招聘团队在实际技能和成本方面与现实脱节, 但他们也相信,如果他们能雇佣独角兽, 他们所有的安全问题都将得到解决. 现实情况是,组织范围内的安全文化和利用具有不同经验的不同团队的技能集对于解决现代组织中的安全问题至关重要. 任何将其隔离在it部门的企图, 遵从性或组织的某个小角落注定要失败, 而被超级技术安全救世主拯救的愿望也同样注定要失败.
因此,除了遵循这些安全反模式之外,我还推荐哪些成功的方法?
认识到每个人都能有所贡献
您的“用户”不仅是您保护组织的最佳资产, 对安全和人才的兴趣将隐藏在显而易见的地方. 也许你的行政助理对社会工程很感兴趣, 您的开发人员可以将appsec作为其系统开发生命周期(SDLC)的一部分,而不是将其作为外部团队带来的事后想法, 你的财务部门是保护你的组织免受欺诈的第一线. 正如我之前提到的, 我们大多数老前辈都是通过非安全领域进入的, 天赋和兴趣随处可见.
年轻和多样性是有价值的
安全心态与“这就是我们在这里的运作方式”相反.“拥有不同生活经历和年轻人才的人通常会以完全无法预料的方式处理问题,可以极大地补充安全组织. 没有人对3年前的编程语言有几十年的经验, 两年的云技术或12个月的SaaS平台, 因此,您的年轻员工通常会迅速使用这些技术,并为安全对话带来价值. 我可能不愿意在繁忙的日程中自学机器学习, 但一个年轻的毕业生会沉浸在其中,并知道如何以富有成效的方式应用它. 这也同样适用于老员工和职业转换者, 谁有不同的背景和观点,但对安全是新的.
指导和指导是关键
当然, 如果你要雇佣经验不足的员工, 你需要把他们的热情和技术能力与组织知识和商业战略结合起来. 如果你把招聘与指导和指导结合起来, 你可以极大地提高员工的影响力,并为你的领导团队带来急需的新知识. 指导 做得正确 提供双向价值.
以这种方式面试和培养人才不同于简单地堆积技术挑战和认证门槛,需要不同的组织优势. 人才并不像人们常说的那样短缺. 在某种程度上,它确实存在, 它存在于管理者和领导者身上,他们很难看到市场上已经存在的人力资本.
编者按: 从ISACA获取更多网络安全月资源 在这里.
作者简介: 迈克尔Argast是一位经验丰富的网络安全专家,拥有超过20年的行业经验. 他是联合创始人兼首席执行官 Kobalt安全公司.该公司是一家快速增长的云安全服务提供商. Kobalt与100多家以云为重点的技术公司合作,帮助确保其组织和云基础设施的安全性. Kobalt在AWS上的经验, Azure, GCP和广泛的SaaS服务在安全服务行业中独树一帜.
