财富100强企业在网络安全招聘上踩了哪些坑？

在网络安全行业，“人才短缺”一直被视作头号难题。但最新发布的《2025企业网络安全人才指数》（Enterprise Cybersecurity Talent Index）指出，真正的问题并不是缺人，而是这些工作岗位的职位描述本身就“劝退”了不少优秀安全人才。

这份由网络安全公司Expel发布的报告，分析了财富100强企业超过5000个与网络安全相关的招聘信息。研究发现，大公司在网络安全相关岗位设计、薪酬福利、工作模式乃至招聘语言上存在系统性失误，导致本该加入安全行业的高质量人才流向了其他岗位。

“远程岗位”受追捧，却稀缺

报告指出，在网络安全领域，远程工作的需求极高，但供给极少。只有8%的职位允许远程办公，而这些岗位获得了远超其他职位的关注——其中43%的远程职位收到了100份以上的简历；相比之下，仅11%的纯线下岗位达到了这个热度。

更重要的是，远程和混合办公的岗位通常能更快完成招聘流程，而线下办公的岗位平均招聘周期几乎是它们的三倍。企业若仍执着于“回办公室”，可能会无形中错失一大批顶尖候选人。

“高压”工作，却很少提心理健康

在网络安全行业，疲劳和心理压力是常态——许多分析师每天要处理上千个安全告警。但让人意外的是，仅有10%的招聘信息提及心理健康或员工关怀。

Expel建议雇主在职位描述中使用“cyber strain（网络过劳）”这样的术语，让岗位信息更贴近现实，并增加对心理健康支持的具体承诺，比如压力管理工具、心理咨询资源、弹性休假等。

薪酬不低，但“相对不香”

该报告统计的网络安全岗位平均年薪为15.27万美元，听起来不错，但依然低于“同行”：IT安全岗位均薪为16.08万美元，DevSecOps为16.54万美元；“可观测性（Observability）”岗位更高，往往伴随股票期权和灵活工作制度。（编者：可观察性是一个新兴的技术领域和职能方向，主要关注的是对复杂系统进行可视化、监测、诊断和性能分析。它涉及日志、指标、追踪的整合，常见于云原生架构、微服务、大型分布式系统的运维、安全和性能管理。）

不仅如此，只有4%的网络安全岗位提及股权激励，而IT安全为10%、Observability更是达到15%。这意味着在岗位职责相近的情况下，候选人可能会更青睐那些待遇更优的“旁支”岗位。

学历门槛正在放宽，但“语言陷阱”仍在

好消息是，只有23%的网络安全岗位强制要求四年制大学学历。这表明企业正在转向以技能为导向的招聘，更加欢迎非传统背景的求职者。

但报告提醒，哪怕只是“优先考虑本科学历”这样的表述，也可能劝退那些拥有丰富实战经验但缺乏文凭的候选人。

人工智能关键词频现，却没进“决策层”

将近一半的网络安全职位描述提到了AI、自动化或机器学习等关键词，显示出行业对新技术的拥抱趋势。但在总监及以上级别的岗位中，几乎没有要求AI相关经验。

这表明，企业高层对AI在安全战略中的角色尚未形成共识。Expel认为，未来的网络安全领导者，应当具备引领AI工具使用的战略眼光。

人才正在流向“可观测性”岗位

最后，一个值得警惕的趋势是：原本投身网络安全的技术人才，越来越多地被“可观测性”这样的新兴运维岗位吸引，后者既具挑战性，又有更好的报酬和灵活度。虽然Expel并未称这是“挖人”，但数据显示，这确实是安全招聘越来越难的因素之一。

结语：

“不是没有人才，而是你没把岗位设计好。”Expel顾问CISO Jason Rebholz如是说。企业与其抱怨缺人，不如先审视自己的招聘方式是否过时。谁能更好地匹配人才期待，谁就能在未来的网络安全竞赛中脱颖而出。

报告链接：

https://expel.com/wp-content/uploads/2025/07/Expel-Report-Enterprise-Cybersecurity-Talent-Index-2025-071425.pdf

声明：本文来自GoUpSec，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。