网络威胁的增长速度超过了招聘的速度,人才输送渠道已经中断,而你的风险状况正在上升。
图源:Dmitriy Shironosov via Alamy Stock
最近的一项CIO(首席信息官)调查显示,近90%的公司在过去一年中遭遇了数据泄露,而几乎所有的CIO(96%)都表示安全防护还不够强大。CIO们面临着不断加强企业安全的压力,但缺乏足够的经验丰富的专业人员。
因此,工作职位列表往往只针对最资深的网络安全专家,而忽略了入门级人才。这增加了企业的风险,推高了成本,并且导致关键职位空缺。
一、网络安全人才短缺已成为企业风险
全球网络安全专业人才缺口超过400万,其中67%的组织报告称在网络安全领域存在中度至严重的技术缺口,该领域的职位空缺率高达28%。
入门级人才短缺问题尤为突出:近三分之一的网络安全团队中没有早期职业阶段的专业人员,62%的空缺职位是为中高级职位预留的。
每一个空缺的职位都意味着潜在的漏洞,依赖挖角或咨询公司是短视行为,建立早期职业人才储备对于长期的韧性至关重要。
没有吸引初级人才的有意战略,CIO们将继续在无效的网络安全项目中挣扎。
二、打破入门级人才的偏见
许多CIO对招聘入门级员工持回避态度,不愿在高风险环境中投资培训或指导。然而,忽视早期职业人才会导致更高的成本、员工流失以及团队脆弱性增加。
建立人才输送渠道可以确保未来职位有人填补,降低长期薪酬成本,并为团队带来新的思维方式和视角——这些对于领先于攻击者至关重要。
在CIO们面临保护组织安全的压力下,以下是仅招聘最资深网络安全人才行不通的原因:
1.根本就不存在足够的网络安全人才,无论是在哪个层级。即使公司决定只专注于招聘中级及以上人员,他们仍然无法满足需求。
2.入门级专业人士可以承担较为初级的任务,从而让高级员工能够专注于复杂任务。
3.可持续的人才输送渠道可以确保未来需求得到满足,因为高级人才可能会离职或退休。随着高级人才被持续挖角,公司需要一个入门级人才策略来保留其机构知识。
4.这是成本效益高的选择。招聘早期职业人才可以节省薪酬成本,而投资他们的培训能够带来更高的留存率,高昂的咨询费用填补缺口已经超支了预算。
5.新鲜的人才带来新的视角,能够打造一个思想多元化的团队。他们独特的背景以及愿意承担新任务的态度带来了重要的价值。
三、CIO确保入门级网络安全人才成功入职的3种方法
1.重新定义入门级职位。入门级网络安全人才面临的挑战根源在于行业对入门级职位的定义和期望存在错位。许多职位招聘广告要求初级岗位的候选人具备学位和三年工作经验,这将大多数有能力的候选人拒之门外。
相反,应该明确成功所需的基准技术技能和软技能,并与人力资源部门合作,优先考虑这些技能而非学历。例如,SOC(安全运营中心)分析师需要具备扎实的网络概念理解以及执行日志分析技术的能力,这些技能可以通过传统四年制大学或企业之外的培训获得。你还需要他们具备软技能:他们应该能够证明自己善于接受指导、学习能力强,并且能够在需要时灵活调整。
当入门级职位的定义基于能力而非出身时,更多职位能够更快被填补,关键风险缺口也能更快弥合。
2.构建职业发展路径。大多数组织缺乏清晰的网络安全人才发展路线图。随着威胁环境的变化、角色的演变以及新技能需求的出现,CIO应为每个层级明确晋升标准——无论是技术技能还是软技能,并尽可能从内部晋升。
支持早期职业计划可以增强员工忠诚度,也是一种留存策略。看到成长机会的员工会更愿意长期留任,从而减少外部招聘的成本和干扰。
拥有清晰职业发展路径的公司更具韧性,更不容易因竞争对手的诱惑而失去顶尖人才。
3.积极采用学徒制和其他培训方式。传统培训项目往往滞后于现实需求,员工完成培训时,新的威胁可能已经出现,由CIO参与设计的注册学徒制项目可以直接填补这一空白。
CIO应在培训内容的设计中发挥主导作用,无论是内部管理还是外包。他们还可以为所有培训合作伙伴设定明确的KPI(关键绩效指标),并要求提供实践经验:动手实验室、夺旗挑战赛、导师指导以及可衡量的结果。最后,他们应对合作伙伴履行职责,以确保新员工能够为捍卫公司业务做好准备。
没有任何一位领导者能够单独弥合入门级网络安全人才缺口,但重新定义入门级角色、构建清晰职业发展路径并要求培训成果的CIO,将能够培养出更强大、更具未来准备性的团队。不作为才是最大的风险。
作者:Katie Breault(凯蒂·布罗)
译者:木青
睿观:
面对全球超400万的网络安全人才缺口,许多CIO(首席信息官)仅专注于招聘资深专家的策略已难以为继,这不仅导致成本高昂、职位空缺,更将企业置于巨大的风险之中。成功的CIO应打破对入门级人才的偏见,并采取三大主动策略来构建可持续的人才输送渠道:1)与HR合作,重新定义入门级职位,优先考察实际能力而非学历背景;2)为员工构建清晰的职业发展路径,并尽可能从内部晋升;3)主导设计并积极采用学徒制等注重实践的培训模式,确保培训能产出成果。通过这种从“挖人”到“育人”的战略转变,CIO不仅能以更低的成本、更可持续的方式填补关键安全岗位,更能为团队注入新的活力与视角,从而打造一个更强大、更具未来韧性的网络安全组织。
在网络安全的战场上,最坚固的防线,不是由几个高价聘请的“将军”构成,而是由一条源源不断、自己培养的“士兵”组成的完整梯队。
