导语:马上又到了“金三银四”的招聘高峰了,近日国外安全机构 INFOSEC 发布了他们每年一度的《IT和安全人才招聘研究报告》,报告里面通过调查提供了详实的数据,整篇报告的内容值得一读。
马上又到了“金三银四”的招聘高峰了,近日国外安全机构 INFOSEC 发布了他们每年一度的《IT和安全人才招聘研究报告》,报告里面通过调查提供了详实的数据,整篇报告的内容值得一读。
尽管这是一份针对国外安全用工市场的研究报告,但其结论对国内安全行业的从业人员在应聘工作、职业规划以及安全主管在招聘、选用、挽留安全人才方面仍然有所帮助。针对国内安全用工市场的分析可以参见文本末尾附录部分——BOSS 直聘 2021 年 5 月发布的《2021网络安全人才趋势报告》。
疫情的出现加速了各行各业的组织业务数字化转型,在这种大趋势下,网络安全已经成为数字化转型必需的保障能力。而这种趋势也迫使各个组织对其经营环境和保护他们的网络安全工具以及策略进行彻底的变革,以便适应新的业务需求。在所有这些变化中,有一个主题始终不变:网络安全技能不足和人才短缺继续成为招聘经理填补安全职位空缺的挑战。
INFOSEC 发布的这个报告可以让你更好地理解为什么安全人才的招聘能够持续成为一种挑战,以及网络人才招聘、挽留和挽留策略在过去一年中的变化。与去年发布的IT和安全人才招聘研究报告一样,今年的报告依旧分析了雇主对候选人技能、经验、学位和证书的重视程度,并将招聘主管的回答与他们如何评估自己填补安全岗位空缺的能力进行了比较。今年的报告进一步探讨了安全人才多样性、招聘岗位角色的清晰性和职业发展路径如何才能推动招聘成功。尽管几乎所有调查受访者(92%)都表示招聘网络安全人才确实面临着巨大挑战,但是成功填补安全岗位空缺的组织的招聘经理则认为:
与招聘安全人才方面不太成功的同行相比,46% 的组织将具有市场竞争力的员工薪酬列为招聘挑战的可能性较低
有 44% 的招聘经理会考虑没有工作经验的候选人
有 37% 的招聘经理更有可能积极招聘多样化的候选人
有 67% 的招聘经理认为组织招聘的岗位角色要明确定义
INFOSEC 采用的调查方法
INFOSEC 调查了来自美国和加拿大的 1500 多位 IT 和安全招聘经理,调查的内容是关于他们的网络安全人才招聘和挽留策略,以及对 2020 年研究中提出过的问题的回答,以便分析比较年度趋势。为了确保数据集具有代表性,INFOSEC 选择的调查对象来自不同的行业和不同规模的组织。
网络安全技能短缺现象普遍
2021年的劳动力市场竞争极其激烈,网络安全行业也不例外。在 INFOSEC 调查的 1500 名招聘经理当中,有 92% 的调查对象表示,他们经常面临为安全职位寻找合格候选人的挑战,这比 2020 年有大幅增加(如图1所示)。
另外,INFOSEC 通过调查发现一个有趣的现象,与招聘安全人才方面不太成功的组织相比,对招聘工作感到满意的组织更有可能承认网络人才短缺是导致招聘难的主要因素。此外,在评估那些难以填补安全空缺职位的招聘经理的反馈时,可以发现一个让人惊讶的趋势:
2020年,这一群体中只有 7% 的组织对网络安全人才短缺的有效性提出过质疑。
2021年,质疑网络安全人才短缺的有效性的组织增加到 46%,同比增加了 147%。
与组织面临的许多业务挑战一样,要确定有效的解决方案可以从理解市场驱动因素的因果关系开始。通过上面的分析可以看出,能够认识到网络安全人才短缺对劳动力市场的影响的招聘经理,更有可能成功地克服相关挑战,比如不具备竞争优势的薪酬和限制工作地点的要求。INFOSEC 通过一系列分析后,为安全岗位的招聘经理提供了 5 条可以采纳的建议。
图1:每个人都面临招聘挑战——有 92%的调查参与者表示,他们经常面临寻找安全岗位合格候选人的挑战,这一比例高于 2020 年的 73%
1.通过具有市场竞争力的薪酬提升招聘成功率
除了网络安全人才短缺这一招聘挑战之外,难以填补空缺职位的组织更有可能表示候选人对高薪酬要求和非竞争性福利等问题也让招聘难度加大。表达这种观点的人也不太可能认为候选人在符合技能水平、教育水平或证书要求这些方面存在招聘挑战(见图2)。由此可以推测出,那些努力填补职位空缺的招聘经理在寻找合格候选人方面面临的挑战较少,但在满足薪酬预期方面面临的挑战更多。因为 INFOSEC 通过这项研究发现,员工人数少于 500 人的组织总体上不太可能面临招聘安全人才的挑战,数据表明,难以填补岗位空缺的大型组织应该考虑更好地将薪酬方案与市场需求相结合,这样才能有助于招聘经理招到合格的安全人才。
图2:对雇主组织进行 SWOT 分析——评估雇主的优势、劣势、机会和威胁可以更好地给你的组织定位以便吸引和留住安全人才
2.去除不必要的经验要求
近十年来,网络安全人才短缺引发了无数关于招聘经理应该如何有效填补岗位空缺的研究和讨论。去除或减少对候选人工作经验的要求是扩大网络安全人才库的一个解决方案,但这么做并非没有风险。缺乏经验的求职者需要在职指导和培训,以避免出现影响重大、代价高昂的错误。然而,安全岗位空缺让企业很容易受到网络攻击,这促使许多招聘经理放宽了对工作经验的要求,并寻求通过技能培训或技能提升项目弥补不足。
INFOSEC 的研究报告证实了这一趋势,报告显示,成功填补岗位空缺的组织在招聘中考虑没有经验的候选人的情况增加了44%(如图3)。与未能成功填补安全岗位空缺的同行相比,他们也更频繁的雇佣没有经验的候选人。在过去的12个月里,成功填补岗位空缺的组织中有 54% 的招聘经理聘用了四分之一以上的经验不足的应聘者,而未能成功填补岗位空缺的组织中,这一比例仅为 37%(如图4)。
图3:重新思考经验要求——招聘成功的组织有 44% 的可能性会考虑没有经验的候选人
图4:让没有经验的候选人担任安全职位的招聘经理占比(过去12个月)
3.缩小与不同候选人之间的差距
多项研究详细阐述了多元化劳动力的商业好处。其中包括提高员工敬业度、促进创新以及将团队绩效提高50%。在一个面临关键业务人员短缺的领域,如此巨大的好处不容忽视。特别是在网络安全领域,大部分工作都集中在预测、打击和制胜对手上,多样化的人才也能更好地应对类似的多样化威胁。
网络安全领导者兼作家 Jane Frankland 总结了这一优势:“攻击者是多种多样的。他们并不都有相同的特征。他们来自世界各地的许多背景不同,有着不同的经历和观点的人。为了保护组织的网络安全,我们需要模仿他们。我们需要我们的人看起来就像攻击我们的人那样。这样我们就不会措手不及。这样我们就有机会能够发现威胁,同时能更迅速、更充分地提出解决方案。”
为了评估这一重要领域的进展,在这份研究报告中,INFOSEC 将雇主在招聘过程中关注的多样性与他们填补网络安全岗位的能力进行了比较。招聘成功的组织中有 80% 的受访者同意他们的组织采取积极措施招聘多样化的候选人,相比之下,招聘不太成功的组织中这一数据只有 55%。不出所料,这 55% 的招聘经理将不同的候选人安排到安全岗位中的比例更高(图5)。
该研究报告还分析了过去12个月内女性、BIPOC(黑人、土著和有色人种)、神经疾病患者(如:多动症、阅读障碍等)和LGBTQ+(同性恋、双性恋等)候选人担任网络安全职位的比例。调查结果表明,成功填补职位空缺的招聘经理更有可能在上述所有4个群体中聘用多元化的候选人,这再次强化了实现网络人才库多元化、以缩小技能差距的好处。
图5:让你的网络人才渠道多样化——成功填补岗位空缺的组织中有 80% 的招聘经理都同意他们的组织积极地招聘多样化的候选人。他们还以更高的比例让多样化的候选人担任网络安全职位。
4.超越传统招聘的人才要求
网络安全角色和职业道路与传统相比已相去甚远。然而,许多招聘经理仍然依靠传统的工作要求招聘安全人才,比如通过四年制学位和之前的经验来筛选空缺职位的候选人。虽然大学学位和类似职位的成熟经验对招聘经理来说是有用的指标,但这些招聘要求进一步缩小了本就有限的网络人才招聘渠道。为了识别潜在的替代属性,本报告建议招聘经理对候选人的各种属性的重要性进行评估,包括:
大学学位
IT/安全认证
类似IT/安全职位的成功经验
满足或超越角色要求的技术技能
沟通能力
领导能力
适应能力和学习意愿
逻辑推理和问题解决能力
文化契合度
把成功的招聘经理和那些表现不理想的招聘经理的评级作比较时,数据显示(如图6),成功的招聘经理更强调领导能力、证书和沟通能力等特质。这一点很重要,因为随着技术和组织需求的变化,网络安全角色也在变化,对沟通和领导能力等技能的需求增加了。随着团队努力将网络威胁与商业风险联系起来,并将网络安全提升为一项战略性商业投资,这一点尤其正确。虽然这些都不能直接替代已证实的过往经验,但数据表明,在评估候选人能力时,这些经验不可忽视。
图 6:不应忽视非技术技能——成功的招聘经理更看重求职者的沟通能力和领导能力。
5.明确网络安全角色要求和职业道路
毫不奇怪,本研究报告发现,具有明确定义的网络安全角色和明确的职业道路的组织可以提高招聘成功率。成功的招聘经理中有 67% 的人能够明确网络安全角色(如图7),有 15% 的人能够明确职业道路(图8)。这一事实支持了国家网络安全教育倡议(NICE)等组织的建议,该倡议提供了网络安全劳动力框架(NICE 框架)等资源,以明确和规范政府、行业和学术界描述网络安全工作的方式。将职位描述与行业标准保持一致,消除了在网络安全职位招聘所需条件的模糊性,并有助于降低新的安全人才的进入门槛。与此同时,它使网络专业人士更容易理解如何进入网络安全领域,并在其职业生涯中不断成长。
这一数据验证了《2021年网络安全角色与职业道路清晰性研究报告》的结果,该研究报告显示,采用NICE框架后,网络安全招聘满意度提高了57%。当被问及招聘经理使用什么样的资源来创建网络安全职位描述时,NICE 框架是成功的招聘经理的首选。当与此过程中使用的其他资源一起分析时,这一点尤其有趣。虽然成功的招聘经理在引用现有的职位描述来构建新的职位描述时做得很好,但不成功的招聘经理却做得并不好。在缺乏职位清晰性的情况下——很可能是缺乏采用良好的框架——当网络安全职位一开始就缺乏清晰性时,模糊性就会加剧。
研究报告结论
INFOSEC 发布的IT和安全人才招聘研究报告连续两年证实了网络技能的不足和人才短缺是普遍和广泛的现象。尽管几乎所有组织都在努力招募网络安全人才,但该研究报告揭示了招聘经理现在可以探索的实用策略,以拓宽他们的人才渠道,填补空缺职位:
评估你所在组织的市场竞争力,以确保薪酬符合需求
通过重新培训、提升技能和指导计划雇佣和支持没有经验的候选人
实施招聘和雇佣计划,使人才库多样化,提高团队绩效
在面试过程中包括非技术性技能,如沟通和领导能力
通过使用 NICE 框架等工具,明确网络职位的要求和职业道路,消除描述歧义
专注于这些拓宽和多样化网络人才渠道的战略,可以让招聘经理采取全方位的方法来优化他们的招聘策略。这包括在人才管理生命周期的各个阶段推动更好的结果,以吸引更多的网络人才,在员工的整个职业生涯中支持和发展员工,并推动团队参与度和绩效的提高。
附录
INFOSEC 发布的《2020年IT和安全人才招聘研究报告》原文, Megan Sawle, 2020年6月:https://www.infosecinstitute.com/wp-content/uploads/2021/03/Skills-Case-Study-2020-IT-and-Security-Hiring-Study.pdf
BOSS 直聘发布的《2021 网络安全人才趋势报告》:https://www.zhipin.com/article/821.html?ka=article-type-title-detail1
普渡大学发布的《职场多样性真的会影响企业吗?》,普渡大学全球,2020年4月
CompTIA,“高科技产业的多样性”,CompTIA, 2018年4月
LinkedIn,“2021年女性在网络安全领域的未来是什么?”,简·弗兰克兰,2021年9月
INFOSEC 发布的《2021年网络安全角色与职业道路清晰性研究》,Megan Sawle, 2021年3月:https://www.infosecinstitute.com/form/2021-role-clarity-study/
本文由作者“丝绸之路”整理发布,如若转载,请注明原文地址