行業(yè)動態(tài)

調(diào)查:企業(yè)管理不善加劇網(wǎng)絡安全招聘困難

來源:聚銘網(wǎng)絡    發(fā)布時間:2021-09-08    瀏覽次數(shù):
 

信息來源:安全內(nèi)參


很多企業(yè)面臨的網(wǎng)絡安全專業(yè)人員招聘難題,除了是安全人才總體供不應求的狀況所造成的,企業(yè)管理不善或許也貢獻了差不多的難度。

近期一項調(diào)查研究發(fā)現(xiàn),很多企業(yè)面臨的網(wǎng)絡安全專業(yè)人員招聘難題,除了是安全人才總體供不應求的狀況所造成的,企業(yè)管理不善或許也貢獻了差不多的難度。

美國信息系統(tǒng)安全協(xié)會(ISSA)和分析公司企業(yè)戰(zhàn)略集團(ESG)對美國及其他地區(qū)的489名IT和安全專業(yè)人員就與其工作相關的一系列問題進行了問卷調(diào)查。這是兩家機構多年來執(zhí)行的第五次調(diào)查。

今年,57%的受訪者報告稱,其公司一直受到人才短缺危機的影響,這一比例在去年是70%,2019年則是73%。盡管看起來情況有所改善,95%的受訪者認為人才短缺及其相關影響在過去幾年里有所改善,但44%的受訪者感覺情況只會變得更糟。

調(diào)查顯示,超過四分之三(76%)的企業(yè)發(fā)現(xiàn)特別(或某種程度上)難以找到并聘用網(wǎng)絡安全專業(yè)人員。網(wǎng)絡安全人才供應與需求之間越來越大的差距是導致該問題的原因之一。另一個原因是企業(yè)在填補可用網(wǎng)絡安全職位方面犯了些基本的錯誤。

例如,38%的受訪者認為其公司沒有為潛在的網(wǎng)絡安全員工提供有競爭力的薪酬。29%的受訪者對其人力資源部門的評價是毫不了解網(wǎng)絡安全技術,25%覺得不切實際的崗位要求和技術要求很是勸退潛在的優(yōu)秀求職者。約60%的受訪者認為自家企業(yè)可以采取更多行動來緩解這種情況。

ISSA International總裁兼首席信息安全官Candy Alexander稱:“這份調(diào)查報告的主要結(jié)論就是,情況沒有任何改變。”調(diào)查結(jié)果顯示,企業(yè)并沒有增加薪酬投入,也沒有為現(xiàn)有員工提供培訓機會。

薪酬可被視為一種投資,用于招聘成熟網(wǎng)絡安全專業(yè)人員,但很多企業(yè)都沒這么做。個中原因可能是這些企業(yè)并不了解網(wǎng)絡安全崗位的職能,或者沒有充分看出網(wǎng)絡崗位對公司盈利的作用。

Swimlane安全研究工程師Nick Tausek表示,處在初級分析師職位,或者從事基礎設施及軟件支持工作的網(wǎng)絡安全專業(yè)人員,很可能無法獲得公平合理的薪酬。其他可能導致摩擦的薪酬相關因素包括資深員工和新員工之間的巨大薪金差距,以及同一職位不透明且差異很大的薪資表,基本無法了解誰做了什么而拿到薪金。

Tausek稱:“我工作過的地方曾出現(xiàn)過毫無經(jīng)驗的新人分析師比這個崗位上供職四年的老手多拿1.5萬美元的情況,僅僅是因為談判技巧。還有些公司給附屬辦事處分析師的薪資只有總公司同一崗位人員的三分之一。這類不公平超級打擊士氣?!?

自動化問題

人力資源部門對網(wǎng)絡安全技能理解不足,發(fā)布的招聘啟事列滿不切實際的要求(比如要求具備該崗位并不需要,或者與薪資不相匹配的技能),是讓企業(yè)難以聘任到員工的其他兩個因素。

Alexander表示,人力資源部門的不斷自動化也造成了很多優(yōu)秀人才的簡歷被埋沒的情況,而原因僅僅是他們的簡歷中沒有包含特定關鍵詞供系統(tǒng)捕獲。

此外,具有嚴格招聘慣例的企業(yè)通??梢愿鶕?jù)某種類型的分層分類法來調(diào)整職位和工資。

ESG分析師Oltsik稱:“這種分類很僵化,可能跟不上網(wǎng)絡安全這種熱門工作領域的變化?!辈贿^,網(wǎng)絡安全主管在這方面也有責任,因為他們太過關注網(wǎng)絡安全職能的技術層面,而沒有跟人力資源部門或招聘負責人溝通好需求。

缺乏清晰的職業(yè)晉升路徑也是個問題。不是每家公司都設有滲透測試或高級安全分析這樣的職能,也就意味著員工停滯在同一位置的時間可能比預想的要長。而對現(xiàn)有團隊進行交叉培訓,讓分析師了解SIEM管理或網(wǎng)絡,則可以為那些想要擴展技能的人提供出路。

ISSA/ESG的調(diào)查研究顯示,99%的受訪者認為,培訓是緊跟對抗網(wǎng)絡對手所需技術的關鍵。然而,試圖跟上網(wǎng)絡安全技能發(fā)展步伐的人中,有82%發(fā)現(xiàn)崗位要求阻礙了他們的發(fā)展。39%的受訪者稱,公司增加網(wǎng)絡安全培訓投資有助于解決人才短缺問題。

企業(yè)需要為培訓開支留出預算,合理安排安全員工接受培訓的時間。

“嚴格遵從培訓計劃安排,不要隨意改動。如果沒法按計劃培訓,那就讓高級員工對初級員工做在職培訓。我們已經(jīng)太過復雜化這一問題及其解決方案了?!?

不斷加劇的人才短缺狀況已經(jīng)讓很多企業(yè)的現(xiàn)有網(wǎng)絡安全團隊不堪重負了。62%的受訪者認為人才短缺正在加重網(wǎng)絡安全團隊現(xiàn)有成員的工作量,38%的受訪者覺得人才短缺推高了員工的職業(yè)倦怠率。95%的受訪者認為人才危機過去幾年來毫無改善,而44%的受訪者覺得人才短缺情況越來越惡化。

重視吸引和保留人才的安全主管和人力資源部門,需要認識到分析師和其他網(wǎng)絡安全專業(yè)人士所帶來的巨大專業(yè)知識深度,并適當補償他們。

縮小單個職位的薪金差距和工資級別,透明化福利和薪酬。讓員工感受到重視。網(wǎng)絡安全專業(yè)人員的工作很辛苦,通過發(fā)現(xiàn)安全事件并防止更嚴重的事件出現(xiàn),他們?yōu)楣咀龀隽司薮蟮呢暙I。


 
 

上一篇:2021年9月7日聚銘安全速遞

下一篇:在遭遇勒索軟件攻擊后,霍華德大學取消了所有本周二的課程