经过七年的酝酿,美国国土安全部拟于11月15日开始对网络人员招聘方式进行大规模改革。据估计,仅在美国就有近90万网络安全人才的缺口。如果改革顺利不出意外,国土安全部的网络安全专家就能和美国副总统挣一样多的钱,25.58万美元,或者更多。如果他们所在的城市或地区市场的薪水使他们的工作更有竞争力的话,最高可达33.21万美元。新举措不仅仅是薪酬水平与私营行业的拉平,还有加快招聘的流程,缩短网络安全人才进入联邦机构的周期,建立供需数据库,加速适配政府机构的网络安全人才"旋转"等等。
据Cyberscoop报道,美国DHS将大规模改革网络人才招聘体系。
网络人才管理系统(Cyber Talent Management System)摒弃了自1949年以来一直沿用的传统联邦职位分类,改变了申请人证明自己的方式,将加薪与服务年限以外的其他因素联系在一起。在私营部门组织和政府机构难以招募和留住网络人才的时候,国土安全部官员和外部观察员都希望改革后这个系统能产生实际的效果。
这不仅是国土安全部部长亚历杭德罗·马约卡斯的工作重点,也是自7月以来美国网络安全和基础设施局局长珍·伊斯特利的工作重点。
国家网络总监伊斯特利在本月举行的比灵顿网络安全峰会上表示:“我想我会在人力资源上花大量时间。”“因为在一天结束的时候,你可以拥有很棒的技术,你可以拥有非常好的流程,但如果你没有优秀的人才,你就会失败……在那里很难找到人才,因为我们都在竞争。”
人事制度能否成功还远未确定,专家表示,它在实施过程中可能会像其它大多数政府计划一样遇到障碍。它也无法解决当今网络安全领域最棘手的问题之一:网络安全职位空缺与合格候选人之间的差距,据估计,仅在美国就有近90万。
不过,如果国土安全部的计划成功,它可能会成为联邦政府的一个榜样,给其他希望将网络专业人士引入政府的机构以示范。这其中有很多因素:SolarWinds供应链攻击为俄罗斯间谍提供了进入9个联邦机构的据点,这表明政府是多么脆弱,联邦政府不得不对勒索软件攻击的频率和越来越大的破坏性做出回应。
改革计划的作用
在这个系统下,那些在新标签的网络安全服务中被雇佣的所谓“合格职位”的人,他们的薪水将与市场上其他人对比挂钩,而不是经验。
IT安全专业人员成员组织(ISC)2告诉CyberScoop,尽管2020年和2021年联邦民事机构网络员工的平均工资高于私营部门的平均工资——125,225美元,而私营部门为121,161美元,但一些行业的工资远远超过了联邦机构。例如,私营咨询行业的平均工资为147,817美元,一些IT服务公司的平均工资为145,544美元。
公共服务合作组织(Partnership for Public Service)负责联邦劳动力项目的副总裁米歇尔·阿曼特(Michelle Amante)说:“这可能真的会改变游戏规则。”“显然,联邦政府正在输掉人才争夺战。”
国土安全部将使用模拟等工具评估候选人的资格,或者考虑通过网络安全竞赛的奖励等方式来展示他们的技能。国土安全部可以让某人获得持续或可上升的任命,这应该会让人们更容易在工作之间转换。加薪与服务年限无关,而是与“任务影响”有关。
国土安全部未来可以放弃通常要求的招聘程序,而是按照它认为合适的方式招聘,这意味着招聘会加速,允许该部门有选择地瞄准人才,并强调与专业组织和大学合作,以提高多样性。
国会在2014年通过了一项法案,授权国土安全部创建网络人才管理系统。它的创建经历了三届总统任期。民主党参议员汤姆·卡珀(Tom Carper)。他说,看到这项立法最终取得成果,他感到“自豪”。
今年5月,时任美国CISA代理局长、现任执行局长的布兰登·威尔士(Brandon Wales)在参议院听证会上解释了这一推迟。他说:“我们必须推出一个相当重要的新人力资本体系,完全废除现有的总体时间表。”他指的是传统的联邦职位分类和薪酬体系。“这需要一场大规模的规则制定工作,现在已经结束。花费的时间比任何人想要的都要长,但看起来我们马上就要落实了。”
美国国防部也有一个类似的“网络例外服务”,曾用于雇佣数千名员工。
各方面对新计划的反应
尽管与五角大楼的系统有相似之处,但国土安全部的系统在某些方面有所不同。
Amante说:“这里最大的区别在于,使用这种非常灵活和动态的评估来真正衡量一个人的技能。”Amante的组织开展了一个网络安全人才计划,该计划在联邦机构为员工提供有保障的条件,然后再让他们有资格在该计划的行业合作伙伴那里获得私营部门的工作。
为联邦机构提供培训项目的组织CyberVista的首席执行官兼联合创始人西蒙·佩特里拉(Simone Petrella)表示,国土安全部系统中最令人印象深刻的部分是它将收集的人才需求信息,这是其战略人才管理过程的一部分。国土安全部将不断收集和使用信息,以确定必要的资格,分析网络就业趋势和其他任务。
她说:“你基本上建立了一个庞大的数据库,记录你所拥有的和你所需要的,然后你可以将你所拥有的与你所需要的进行匹配,并看看你需要在哪里找到更多。”
对于(ISC)2的Tara Wisniewski来说,该系统最好的方面是灵活性,国土安全部将能够“将人员循环进出行业”。长期以来,这种交叉任职一直被视为培养私营部门和政府部门技能的关键,而这些技能反过来又会相互受益。
新计划并非完美无缺
但负责宣传、全球市场和成员参与的执行副总裁Wisniewski表示,“关键还在计划如何实施的细节中”。有人怀疑它是否会顺利进行,她说:“它花了这么长时间才推出,说明了一些持续的挑战。”
这项规定没有涉及另一个因素,这些因素使迅速招聘网络安全人员、背景调查和安全审查变得更加复杂——这些问题大多在国土安全部之外处理,可能需要数周或数月的时间。
它也没有触及困扰网络安全招聘周期的其他问题的根源。佩特里拉说:“它实际上并不能创造出满足需求的所有供应,因此有一个设计上的上限。”这意味着,这个系统无法实现根本不存在的网络专业人士,因为每个地方都很难找到人才。她说,尽管如此,该系统可以创建的人员清单至少将有助于指导培养这类专业人员的政策和资源。
联邦调查局并不满足于把国土安全部的人事系统作为唯一的答案。今年早些时候,国土安全部进行了一次员工冲刺,招募了数百名新员工。一个总统委员会最近发布了一份报告,提出了加强关键基础设施安全人员,包括网络安全人员的建议。
但在不久的将来,网络人才管理系统是“我最兴奋的事情之一”,国家网络总监伊斯特利当地时间10月19日在奥本大学麦克拉里网络和基础设施安全研究所主办的活动上说。
延伸阅读
据最新的网络安全人才报告显示,我国网安专业人才缺口预估在50万以上。受到疫情冲击,招聘规模明显缩减的大背景下,2020年全年,网络安全人才需求量仍较2019年同比增长47.5%。进入2021年,国内经济高速回温。网络安全人才建设进入了一个复杂阶段,人才需求高速增长,人才质量也难以满足需求,人才竞争态势拉升薪酬水平。2021年一季度,网络安全领域的平均招聘薪酬达到18627元/月。
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。