近期一项调查研究发现,很多企业面临的网络安全专业人员招聘难题,除了是安全人才总体供不应求的状况所造成的,企业管理不善或许也贡献了差不多的难度。
美国信息系统安全协会(ISSA)和分析公司企业战略集团(ESG)对美国及其他地区的489名IT和安全专业人员就与其工作相关的一系列问题进行了问卷调查。这是两家机构多年来执行的第五次调查。
今年,57%的受访者报告称,其公司一直受到人才短缺危机的影响,这一比例在去年是70%,2019年则是73%。尽管看起来情况有所改善,95%的受访者认为人才短缺及其相关影响在过去几年里有所改善,但44%的受访者感觉情况只会变得更糟。
调查显示,超过四分之三(76%)的企业发现特别(或某种程度上)难以找到并聘用网络安全专业人员。网络安全人才供应与需求之间越来越大的差距是导致该问题的原因之一。另一个原因是企业在填补可用网络安全职位方面犯了些基本的错误。
例如,38%的受访者认为其公司没有为潜在的网络安全员工提供有竞争力的薪酬。29%的受访者对其人力资源部门的评价是毫不了解网络安全技术,25%觉得不切实际的岗位要求和技术要求很是劝退潜在的优秀求职者。约60%的受访者认为自家企业可以采取更多行动来缓解这种情况。
ISSA International总裁兼首席信息安全官Candy Alexander称:“这份调查报告的主要结论就是,情况没有任何改变。”调查结果显示,企业并没有增加薪酬投入,也没有为现有员工提供培训机会。
薪酬可被视为一种投资,用于招聘成熟网络安全专业人员,但很多企业都没这么做。个中原因可能是这些企业并不了解网络安全岗位的职能,或者没有充分看出网络岗位对公司盈利的作用。
Swimlane安全研究工程师Nick Tausek表示,处在初级分析师职位,或者从事基础设施及软件支持工作的网络安全专业人员,很可能无法获得公平合理的薪酬。其他可能导致摩擦的薪酬相关因素包括资深员工和新员工之间的巨大薪金差距,以及同一职位不透明且差异很大的薪资表,基本无法了解谁做了什么而拿到薪金。
Tausek称:“我工作过的地方曾出现过毫无经验的新人分析师比这个岗位上供职四年的老手多拿1.5万美元的情况,仅仅是因为谈判技巧。还有些公司给附属办事处分析师的薪资只有总公司同一岗位人员的三分之一。这类不公平超级打击士气。”
自动化问题
人力资源部门对网络安全技能理解不足,发布的招聘启事列满不切实际的要求(比如要求具备该岗位并不需要,或者与薪资不相匹配的技能),是让企业难以聘任到员工的其他两个因素。
Alexander表示,人力资源部门的不断自动化也造成了很多优秀人才的简历被埋没的情况,而原因仅仅是他们的简历中没有包含特定关键词供系统捕获。
此外,具有严格招聘惯例的企业通常可以根据某种类型的分层分类法来调整职位和工资。
ESG分析师Oltsik称:“这种分类很僵化,可能跟不上网络安全这种热门工作领域的变化。”不过,网络安全主管在这方面也有责任,因为他们太过关注网络安全职能的技术层面,而没有跟人力资源部门或招聘负责人沟通好需求。
缺乏清晰的职业晋升路径也是个问题。不是每家公司都设有渗透测试或高级安全分析这样的职能,也就意味着员工停滞在同一位置的时间可能比预想的要长。而对现有团队进行交叉培训,让分析师了解SIEM管理或网络,则可以为那些想要扩展技能的人提供出路。
ISSA/ESG的调查研究显示,99%的受访者认为,培训是紧跟对抗网络对手所需技术的关键。然而,试图跟上网络安全技能发展步伐的人中,有82%发现岗位要求阻碍了他们的发展。39%的受访者称,公司增加网络安全培训投资有助于解决人才短缺问题。
企业需要为培训开支留出预算,合理安排安全员工接受培训的时间。
“严格遵从培训计划安排,不要随意改动。如果没法按计划培训,那就让高级员工对初级员工做在职培训。我们已经太过复杂化这一问题及其解决方案了。”
不断加剧的人才短缺状况已经让很多企业的现有网络安全团队不堪重负了。62%的受访者认为人才短缺正在加重网络安全团队现有成员的工作量,38%的受访者觉得人才短缺推高了员工的职业倦怠率。95%的受访者认为人才危机过去几年来毫无改善,而44%的受访者觉得人才短缺情况越来越恶化。
重视吸引和保留人才的安全主管和人力资源部门,需要认识到分析师和其他网络安全专业人士所带来的巨大专业知识深度,并适当补偿他们。
缩小单个职位的薪金差距和工资级别,透明化福利和薪酬。让员工感受到重视。网络安全专业人员的工作很辛苦,通过发现安全事件并防止更严重的事件出现,他们为公司做出了巨大的贡献。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
