过完年,企业应该怎么吸引安全人才?
伦敦Pinsent Masons律师事务所的首席信息官克里斯蒂安·图恩(ChristianToon)表示,网络安全与“技能短缺”的持续斗争,已使该行业在人才招聘和挽留劳动力方面迷失了方向。在这个渴望多元化和创新的行业里,图恩作为“UK CSO 30 2022 Awards & Conference”的头号得主,他表示自己从漫威的漫画里汲取了灵感,认为可以用打破传统人力资源招聘的方法,来更有效地选择并留住安全人才。
图恩在“UK CSO 30 2022 Awards & Conference”的颁奖典礼上开口道:“有些人说这将是一场人才战争,因为他们觉得自己是在与‘当前最大的市场缺口’和‘可能因此形成的利益风暴’而战。然而,我认为无论是从未来员工的角度,还是从雇主的角度,我们都有点迷失了方向。现实是,应聘者并不少,就在那里,但企业必须改变传统的招聘方式,如果企业在这些手段上一直重复着过去的行为,那结果也只会是一成不变的。”
图恩强调,不要雇佣和组建一支看起来和听起来都特“想当然”的团队。“十年IT领域的打磨?二十年的运营经营?这些组合并没有为我们带来最好的解决方案。而我更喜欢漫威里复仇者联盟,它由不同的超级英雄所组成,正因为他们每个人都不同,所以才能应付各种各样的邪恶,安全团队也是如此,我们也需要多元化,需要各种技能。”
所谓“三分技术,七分管理”,对企业的安全部门来说,非技术性技能,比如灵活性、软能力之类的技能往往更为重要,因为安全部门不仅仅关乎于网络,局限于某个领域之内,它更多地贯穿于整个企业,所以对安全部门综合上的要求更多。
但这些灵活性的技能很难被衡量,因此在招聘时也就更难抉择,网络安全公司LIFARS的首席执行官兼创始人Ondrej Krehel解释道:“有些必要的技能并不需要相关的技术工具,而是需要部署工具或解释工具、数据、逻辑的综合能力。”
Krehel和图恩的观点差不多,他表示,安全行业还没有完全接受非线性、非传统的招聘切入点,可以说该行业对招聘的定义落后于其他轨道,比如市面上缺乏有效的安全资源或相关的安全技术、安全技能。但方向一定是没错的,就是不能只在某一领域、某一轨道上招聘,因为对安全部门的要求不能单一化,需要像复仇者联盟那样集齐各种能力,这样才能将企业的安全防护落实到位。
图恩说:“惊奇队长不会坐在LinkedIn上等着被你找到,你若是成熟的企业,就得对此有所认知。很显然,媒体对网络安全人才短缺的炒作,使得招聘企业激增,也就形成了恶性循环。这意味着,当今市场上,那些招聘经理的信任往往会被错置,而企业在找寻安全人才时,也越来越焦虑。”
因此,图恩补充道:“企业需要审查、调整招聘活动的目标和方式。与值得信赖、有远见的合作伙伴达成共识是第一步,但第二步,很多人会疏忽,那就是去许多看似无关的行业、领域、社区团体里找到合适的人选,许多招聘团队没有意识到那里有数百人。结合网络安全之外的问题,我们需要考虑部门所需要的这些能力,往往是在哪些行业和领域里被培养出来的。”
比如,如果企业正在寻找一位在技术方面具有良好沟通能力的人,那么多数情况下,不一定能在技术环境中找到一个好的候选人,因为像这样的人才标准是非常抢手的,许多企业会在第一时间就去找寻,因此机会渺茫。而图恩认为,企业可能会在其他行业找到这些人才,比如酒店业或零售业。
“非太过专业性的内容,甚至包括许多专业性的内容,它在传达方面更注重沟通效率,而不是自身对它的理解,因此许多非技术领域里的人才相反更能胜任这些位置,这是关于招聘渠道的一些见解。最近,我们发现员工宣传是向前迈出的一大步,我认为团队成员的外联活动确实对我们团队的下一代有着很大的帮助。”
图恩说,企业要考虑清楚自己的企业文化,以及要知道自身能为安全人才提供什么,这说的不仅是待遇,还有其他各方面的因素,比如环境、氛围、机遇、社交,等等。“从某些角度来说,雇主一直提供的可能都不是安全人员想要的。”
可以看到,安全从业者和其他岗位人员一样,也会从薪资匹配、个人提升、团队氛围、部门地位等多个方面来进行权衡,首先要为安全人才匹配具有竞争力的薪资。对于安全从业经验丰富的安全人才来说更加看重发展,更大的平台和发展空间是相对重要的因素,企业能够为安全人才提供更多能力施展的机会,让安全人才体现自己的价值。
国内知名安全专家对此表示,可以先对安全部门岗位做出明确的定义。安全岗位可以细分为很多领域,每个岗位需要掌握的技能也有差异,只有明确的岗位定义才能吸引到合适的人才,大而全的岗位描述往往无法吸引专业人才;其次,要提供有挑战性的工作内容。安全态势不断变化、安全技术也持续更新,应该结合内外部态势,不断引入新思路和新技术,重复的内容往往让人对工作失去兴趣;最后,能提供资源进行能力培养,安全涉及的知识领域比较广泛,入门门槛相对较高,要提供有效的培训或认证课程,帮助安全人员能力不断提升。
另一方面,安全部门在企业的地位也很重要,地位的高低决定了安全团队的价值以及安全资源投入的倾向性,安全部门的地位从另一个角度也体现出安全团队的整体能力,整体能力高的团队通常具备较高的工作效率和较强的自我驱动力,在这样的团队中更加有利于激发个人能力的提升。所以,企业有必要在招聘的初期,将安全部门在企业内部的地位展现给各位应聘者们。
有时,将安全“游戏化”也无妨。国外安全专家就曾建议在企业内部引入相关的游戏规则,并附带奖品,如T恤、奖牌,甚至钱财。比如只要报告了最多的网络钓鱼尝试,都将获得奖品,类似于这样的竞赛,每个月都可举行,然后每个月都可颁发一个奖项。这样的游戏效应会让安全从业人员不再枯燥,并将工作当成娱乐中的一部分。
传统“政策唯一”的时代早已过去,就像当国外企业要求安全人员不得不穿西装时,他们会觉得很尴尬,仿佛人们若去法院工作只是为了整天坐在笔记本电脑前一般。我们国内在传统企业里所规定各类要求也可以适当变化,比如打卡时间、工作时间、着装要求、称呼要求,等等。
办公过程中,人们希望在哪里、何时以及如何工作是一个大问题。当前在很多行业中,几乎已经没有朝九晚五的硬性规定了,数据和网络漏洞可以跨越国界和时区,因此员工需要跟着业务的变化而做出相应的调整。
工作时间、弹性工作时间、生活折扣、健康和医疗保健都是经营者需要考虑的决定性因素。图恩说:“我们还提供了‘远程/混合’服务,因为有些员工希望自己能够完全远程办公,而有些经营者则希望员工能够完全去公司办公。企业需要明确的是‘平衡点’三字,这也是我们推出混合服务的初衷所在。企业需要认识到,世界已经改变了,每周五天在公司里做些在家就能做的工作,那去公司的意义何在?企业需要自我反省‘为什么’:员工为什么非得走进办公室?”
图恩承认,如果组织沉浸在历史中,或者总是以某种方式处世,那么要做出改变是相当困难的,因为一旦开始为一个人和为某一件事做出改变,就同时要准备好为其他人做出改变。“因此,需要考虑清楚连锁反应。”
接下去,安全行业重要性仍然会不断增加,这点毋庸置疑,但是真正落地到大部分企业还是一个较长期的过程。当前安全行业两级分化还是比较严重的,头部企业具备较多的安全资源,可以配备专业化的团队;但是一般的企业很难申请到足够的资源,以后可能更多的是内部配备安全规划类岗位,借助外部专业安全服务进行策略落地。不同岗位对安全从业者能力也有不同的要求,安全规划类岗位需要更全面的安全知识域,也要具备一定的管理技能;而专业技术岗位则更加细化,需要从业者能在特定领域里具备较高的水平和实操能力。
对企业来说,安全人才更加趋向于架构型和专家型两个方向,架构思维驱使安全工作体系化推进,专家可以解决无法自动化实现的难点工作。数字经济的发展将使得数据安全更加重要,数据流动和共享将成为常态,数据价值将是企业追求的重要目标。所以,接下去企业对人才的招聘选择里,关于数据、隐私、架构等领域的涉及必不可少,这些领域里将会聚集更多的专员。
对于该如何招聘到安全人才,国内安全专家如此建议。
某支付企业安全经理沈勇表示,明年很多安全团队可能都没有预算来招人,但他相信还会有一些好的行业和公司能继续扩张。他建议,企业如果明年招人,基础性的可以直接校招,高级人才则需要寻求猎头、行业组织(比如诸子云)和部门负责人的私人网络来进行。
另外,沈勇认为还有一点值得我们关注,就是维护好现有的安全团队,特别是核心骨干,这对于保留团队战斗力和未来扩张可能性等非常重要。公司可以综合运用职位,荣誉,弹性办公,薪水,股票,期权,分红权,项目奖金,轮岗机会,培训机会,等等,在这诸多的手段中寻求符合员工个性化需求和企业实际状况的方案来执行,以达到最优整体效果。
而烽台科技(工控数字化安全能力提供者)副总裁吴海民认为,企业该如何招聘到优秀的安全人员?其实就是筑巢引凤!
吴海民说,愿意选择安全作为职业的,本质上都是有追求的人!因为以安全为职业的人并不会一夜暴富,但加班确是常态,在重保期间或新业务上线时都是24小时待命。即要承担内外部的责任压力,又得面对推行安全制度时,业务部门同事的不理解、不配合。所以支撑他们在这个职业上坚持一定是能从精神层面得到收获:如满足新技术的好奇、喜欢新场景挑战、攻防能力提升和自我修炼成长以及培养利他的服务心态等等。
在数字化转型的大背景下,安全工作也会更加彰显意义和重要性!
所以,要想更好的招聘到安全人员,一方面是薪资待遇和实际工作付出能相匹配,更重要的一方面是在工作中要给予安全人员尊重感和价值感。安全部门的负责人就是这个团队的灵魂,因此他需要带头营造一个好的工作氛围、业务生态环境以及持续成长的驱动力。
吴海民表示,安全的核心竞争力是信赖,能做到这一层,赴汤蹈火也会有人在所不惜,CISO就不愁招不到高价值的安全人才!“总结一句话,就是让安全人员觉得:在忙碌中有成就感,能化纷繁复杂为简单!”
除此之外,吴海民还有具体建议,希望诸多同僚们能够借鉴。他指出,首先,安全部门负责人不要只会低头苦干,要能够抬头看天。要和领导有充分的沟通,理解领导的总体要求,并将其转化为安全工作愿景、计划和人员分工,这样就能获得重视和支持,可为团队争取一个更好的内部发展空间。、
其次,要懂得和业务部门交朋友,让他们也理解安全工作带来的压力和增加的流程,争取配合。可以在内部通过建设数字化仿真环境,呈现出安全问题,让不了解安全的同事们看到安全事件发生时也会对实际业务带来影响和危害。当然这个环境也能让安全人员进行日常学习研究和日常实战演练。
最后,吴海民表示,安全团队负责人要有当“偶像网红”的愿望和行动,比如参加安在“优秀CISO评选活动”。安全团队负责人要学会苦中作乐的表达,经常和同行和安全社群互动交流,多对外输出思考和成果。安全人员天然是愿意和有本事、乐于分享、传道解惑的人亲近的,希望一起并肩作战、挑战困难。并且会主动学习,愿意承担更大的职责!
吴海民说:“能做到以上三条,当需要新鲜血液加盟团队时发出召集令,自然有人会毛遂自荐或极力推荐,这样招来的安全人员也更容易融入团队,发挥作用。”
而某中心培训与人员认证部副主任尤其表示,在招聘过程中,如果能提供有吸引力的薪资待遇和有竞争力的职业发展空间,肯定是更容易招聘到满意的人才。对于大型或者知名企业来说,由于企业本身就能提供这些资源,所以就比较容易招聘到满意的安全人才。
但是,对很多中小企业或是初创类企业来说,可能无法提供像大型企业那样有吸引力的薪资待遇,所以可能在招聘过程中会存在一些困难,但也并不是不能招聘到优秀的人才。对于中小企业来说,特别是在招聘网安类人才时,一定不要只关注学历,他的以往工作经历,参与过哪些项目也是我们需要关注的重点。
据尤其发现,网安类人才中有很多人,他的学历可能不是很高,但是他们却有着很强的实战操作能力,网络安全岗位是一个实战性要求很高的岗位,如果只有理论知识,没有实操能力,是不能完美胜任岗位能力的。当然,在公司整体战略发展上,对网络数据安全技术与合规建设的重视程度,以及给予该岗位的自主发挥空间,也直接影响着应聘者是否愿意参与到公司的发展建设中来。
三一集团信息安全负责人孟翔巍从两个方面阐述了自己的观点。首先,从企业整体都在做数字化转型的方向来看,安全也在匹配数字化转型相关的战略,因此对于安全人员的招聘而言,一定和企业的安全成熟度有所关联,如果企业的安全成熟度比较低,在招聘时可能更多会选择能提供解决方案的人才,如果企业的安全成熟度具备比较高的水平,那在人员选择上可能会衍生出几个方向,比如安全运营方面的人才,再比如蓝队方面的人才,还有安全架构方面的人才也是很重要的。
孟翔巍指出,企业若想更好的招聘,首先还是要做到领域匹配,即看企业是对安全运营的需求多一点,还是在资源方面需要安全产品经理,还是在中台方面需要数据模型的专家,当然,也可以是从大厂里引入一些相对成熟、经验丰富的安全人员。总而言之,这些肯定和企业文化、人员匹配度,以及安全人员的技能、企业安全成熟度发展的匹配模式是强相关的。
基于以上两点,孟翔巍认为,“如何更好的招聘”,其重点在于怎样让安全人员的技能能力,让安全人员的职业规划发展去和企业整体的安全战略相匹配,这样才能招到更为适合的安全人员。
《How Marvel’s Avengers inspire Pinsent Masons CISO to adapt cybersecurity hiring》
齐心抗疫 与你同在
[广告]赞助链接:
关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
随时掌握互联网精彩
- TinyVue:华为开源 轻量级 Vue 组件库
- 123云盘如何创建付费分享?
- 北京程序员年收入中位数超 60 万元;OpenAI 拟下周推出 GPT 商店;钉钉个人版全量上线|极客头条
- 周星驰 Web3 团队将上线独立 App;Gemini 刚发就惹质疑:效果视频疑似剪辑;Meta 推独立AI图像生成器|极客头条
- 钓鱼中招了就一定是员工的错吗?这公平吗?
- Node 之父斥责 Oracle:你们也不用,那请交出 JavaScript 商标!
- 如何利用高级查杀技术,通杀恶意程序?
- 我,运营,年底冲业绩!
- 百家智库 | 诸子云 · 分享汇:线上直播(第2季)预告
- CSO说安全 | 郑太海:中小型金融机构 CSO 修炼指南
- Python 新人笑、C# 旧人哭,你立的技术 Flag 2020 实现了吗?
- 1 元秒杀 1000+ 册爆款电子书,错过再等一年!