安全分析师(安全运营的主力军)的招聘工作眼见着越来越难做了。
这一职位的需求将迎来大幅增长。据美国劳工统计局预测,2020年到2030年这十年间,各组织机构将会增加数以万计的职位,其中安全分析师就业人数预计增长33%,增长速度远高于所有职业的平均水平。
这使得安全分析师成为全美增长最快的20个职位之一。
伴随这类消息的,是首席信息安全官(CISO)和其他企业安全经理在招聘安全分析师方面屡屡受挫。
面对这种情况,CISO想履行自身保护企业安全的职责就更难了。安全供应商SpyCloud发布的《2022年CISO报告》揭示,被问及建立有效网络安全防御的阻碍有哪些时,受访CISO将缺乏安全熟手列为首要问题。另一家安全供应商Proofpoint的《2022年CISO之声》报告则发现,半数受访CISO认为,最近的员工离职人数激增让数据保护变得更难了。
考虑到如此可怕的调研数据,CISO最好注意别用能吓跑求职者的招聘信息给自己制造麻烦。觉得自己干不出这种事?保险起见,还是看看资深安全主管总结出的招聘雷区一览吧:
1. 没有描述实际职责
资深安全主管指出的雷区之一,在于安全分析师本身的使用上。诚然,安全分析师是网络安全行业最常见的头衔/职位之一。但受访资深安全主管表示,其普遍性,叠加上网络安全领域和网络安全部门仍在不断发展和成熟的事实,给这个职位赋予了通用性。
“安全分析师可能会在不同的公司做不同的事情。”加州州立大学圣贝纳迪诺分校(CSUSB)信息与决策科学副教授兼网络安全中心主任Vincent Nestler说道。
因此,职责也有很多个不同版本,仅仅列出个头衔会让求职者搞不清这份工作到底意味着什么。
“基本上,分析师应该分析公司的基础设施及其技术栈,并根据该分析提出建议。但是,在大型企业公司,你可能会发现分析师的唯一工作就是分析;而在较小的公司,除了分析之外,他们也可能要实现部分或全部[安全]解决方案。”技术职业网站Dice旗下Dice Insights高级编辑Nick Kolakowski表示。
因此,他和其他专家建议安全经理在职位描述、实际招聘信息和面试过程中提供的信息里具体一点,讲清楚自家安全分析师职位的日常实际工作,以便求职者能够准确了解自己在此职位上需要做些什么。
2. 不切实际的经验要求
安全分析师职位是个早期职业角色,往往是员工进入网络安全行业时的第一个职位,但职位描述常要求拥有多年从业经验,或者具备需要多年经验才能获得的认证。
“这对求职者来说太难了。他们会说,‘我没有资格’,然后放弃申请这份工作。”培训与认证机构(ISC)²的宣传、全球市场和会员参与执行副总裁Tara Wisniewski表示。
Wisniewski举例称,她经常看到安全分析师职位的招聘信息将(ISC)²的注册信息系统安全师(CISSP)作为必需或首选认证,但该认证本身需要至少五年的累积带薪工作经验才能获得。
该组织自己的《网络安全招聘经理指南》就指出了这个问题,并补充称“不切实际的入门级职位描述继续受到嘲笑,因为这是造成企业遭遇网络安全人员配备困难的主要原因。”
《指南》提出,”招聘经理和人力资源部门之间加强合作能够解决问题。”
3. 过分强调技术——尤其是老旧技术
信息安全分析师当然必须了解工作所需的技术,但在招聘信息里要求具备特定技术或供应商方面的经验和知识,可能就会让本可成为优秀员工的求职者心生反感扭头就走了。
Nestler表示,相比询问求职者是否具有与特定供应商合作的经验,寻找了解如何运用某一类技术的求职者才更有效率。毕竟,只要熟练掌握某家供应商的工具,学会用另一家供应商的工具就不是什么难事了。
“问题是他们是否拥有合适的基础知识,而不一定是具备某个特定品牌的经验。”他补充道。
其他专家则提醒称,列出老旧技术经验要求的职位描述也可能吓退求职者,因为这表明发布招聘信息的安全企业已然落后于时代。
软件公司Obsidian Security联合创始人兼首席技术官Ben Johnson称:“观察一下求职大军就可以知道,他们希望用最新最好的东西干活。”
Johnson表示,如果CISO宣称正在努力转型,想要摆脱这种老旧技术,一些一流的求职者可能仍会前来应聘,但大多数求职者或许就退避三舍了。
4. 无底洞式要求
另一个劝退雷区:一长串首选或所需技能、经验和学历要求。安全主管反复提到这个问题,常开玩笑称,公司就差没把能通下水道也列入对安全人员的技能要求清单里了。
“这就是根本问题之一:不切实际的技能期望和资格要求。招聘经理倾向于为所谓必要的工作列出难以企及的要求清单。但求职者看到这种清单会说,‘那不是我’。”Corvus Insurance首席信息安全官Jason Rebholz说道。
Proofpoint全球常驻首席信息安全官Lucia Milică对此表示认同,并指出,太多安全主管列出他们梦寐以求的应聘者,而不是描述胜任这个职位真正所需的那些东西。“这会劝退很多适格求职者。”
Milică表示,对于希望为自家团队营造性别平等氛围的公司来说,这尤其成问题。她指出,研究表明,女性通常只有在具备招聘信息中列出的所有或大部分资格时才会前来应聘,而男性则在具有大约半数资格时才会递上简历。
“所以,从必备条件入手,列出五个要点,而不是妄图把世上的一切都列出来。”
美国国防技术公司Raytheon Intelligence & Space(雷神)网络防护解决方案执行董事Jon Check表示,他尽量不用“必须”和“应该”这样的词,防止优秀的求职者自我选择退出。
“真的必须具备所有这些条件吗?相反,你必须传达出对所有人敞开大门的意思,包括那些可能不具备传统上所谓“合适”的认证或“理想”出身的人。然后,设置培训计划,培训他们不具备的技能。”
5. 不切实际的工作要求
Milică称,与之类似,一些信息安全分析师的工作似乎确实需要一份广泛的技能清单,因为这个职位本身涵盖了太多领域。
她表示见过包含治理、风险和合规(GRC)责任的安全分析师工作范围。然而,GRC需要的技能集与安全分析师职位所需的不一样,这一职位的工作量本来就够人全职忙碌的了,因此应该是个完全不同的职位。
所以,求职者在职位描述中看到长长的职责列表往往就会裹足不前。
其他专家也赞同该意见,并表示,在分析师职位之下挂上太多跨越不同学科的职责,表明安全经理已经为该角色分配了难以承受的大工作量。这么做也表明部门本身缺乏人手和资源,不被重视,运营不良,或者几者兼而有之。
可能表明此类问题的另一个危险信号是:总是使用任何听起来像“工人”的用语。诚然,事件发生期间,安全分析师这份工作可能需要所有人各就各位,并且随叫随到和额外轮班,但职位描述不应该让人觉得安全人员是全时待命的,安全部门本身也不应该这样组织。
“安全人员谋求这份职位通常是想要有所作为,但他们可不想全天候上班。”
6. 没有具体说明公司可以为应聘者做些什么
另一潜在雷区:没有写明安全分析师职位附带的机会,比如关于如何晋升和离职的信息。
“安全分析师总是处在救火模式,你很可能会出现职业倦怠。这是一件令人疲惫的苦差事,所以你想要知道作为专业人士该如何成长和进步。”Rebholz称。
Rebholz和其他专家表示,经理为其安全团队提供培训和职业发展机会尤为重要,有助于招募和留住人才。因此,CISO及其领导团队应该公开和宣传他们是怎样帮助自己的员工学习和成功的。
“如果仅仅是没有出现在职位描述本身当中,那可能还算不上雷区,但如果整个招聘交流中根本没有提到这方面,那就成问题了,因为你[作为应聘者]确实希望看到公司主动谈论这些事情。”Rebholz表示。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。