嚇退安全分析師應聘者的職位描述

安全分析師（安全運營的主力軍）的招聘工作眼見著越來越難做了。

這一職位的需求將迎來大幅增長。據美國勞工統計局預測，2020年到2030年這十年間，各組織機構將會增加數以萬計的職位，其中安全分析師就業人數預計增長33%，增長速度遠高于所有職業的平均水平。

這使得安全分析師成為全美增長最快的20個職位之一。

伴隨這類消息的，是首席信息安全官（CISO）和其他企業安全經理在招聘安全分析師方面屢屢受挫。

面對這種情況，CISO想履行自身保護企業安全的職責就更難了。安全供應商SpyCloud發布的《2022年CISO報告》揭示，被問及建立有效網絡安全防御的阻礙有哪些時，受訪CISO將缺乏安全熟手列為首要問題。另一家安全供應商Proofpoint的《2022年CISO之聲》報告則發現，半數受訪CISO認為，最近的員工離職人數激增讓數據保護變得更難了。

考慮到如此可怕的調研數據，CISO最好注意別用能嚇跑求職者的招聘信息給自己制造麻煩。覺得自己干不出這種事？保險起見，還是看看資深安全主管總結出的招聘雷區一覽吧：

1. 沒有描述實際職責

資深安全主管指出的雷區之一，在于安全分析師本身的使用上。誠然，安全分析師是網絡安全行業最常見的頭銜/職位之一。但受訪資深安全主管表示，其普遍性，疊加上網絡安全領域和網絡安全部門仍在不斷發展和成熟的事實，給這個職位賦予了通用性。

“安全分析師可能會在不同的公司做不同的事情。”加州州立大學圣貝納迪諾分校（CSUSB）信息與決策科學副教授兼網絡安全中心主任Vincent Nestler說道。

因此，職責也有很多個不同版本，僅僅列出個頭銜會讓求職者搞不清這份工作到底意味著什么。

“基本上，分析師應該分析公司的基礎設施及其技術棧，并根據該分析提出建議。但是，在大型企業公司，你可能會發現分析師的唯一工作就是分析；而在較小的公司，除了分析之外，他們也可能要實現部分或全部[安全]解決方案。”技術職業網站Dice旗下Dice Insights高級編輯Nick Kolakowski表示。

因此，他和其他專家建議安全經理在職位描述、實際招聘信息和面試過程中提供的信息里具體一點，講清楚自家安全分析師職位的日常實際工作，以便求職者能夠準確了解自己在此職位上需要做些什么。

2. 不切實際的經驗要求

安全分析師職位是個早期職業角色，往往是員工進入網絡安全行業時的第一個職位，但職位描述常要求擁有多年從業經驗，或者具備需要多年經驗才能獲得的認證。

“這對求職者來說太難了。他們會說，‘我沒有資格’，然后放棄申請這份工作。”培訓與認證機構(ISC)2的宣傳、全球市場和會員參與執行副總裁Tara Wisniewski表示。

Wisniewski舉例稱，她經常看到安全分析師職位的招聘信息將(ISC)2的注冊信息系統安全師（CISSP）作為必需或首選認證，但該認證本身需要至少五年的累積帶薪工作經驗才能獲得。

該組織自己的《網絡安全招聘經理指南》就指出了這個問題，并補充稱“不切實際的入門級職位描述繼續受到嘲笑，因為這是造成企業遭遇網絡安全人員配備困難的主要原因。”

《指南》提出，”招聘經理和人力資源部門之間加強合作能夠解決問題。”

3. 過分強調技術——尤其是老舊技術

信息安全分析師當然必須了解工作所需的技術，但在招聘信息里要求具備特定技術或供應商方面的經驗和知識，可能就會讓本可成為優秀員工的求職者心生反感扭頭就走了。

Nestler表示，相比詢問求職者是否具有與特定供應商合作的經驗，尋找了解如何運用某一類技術的求職者才更有效率。畢竟，只要熟練掌握某家供應商的工具，學會用另一家供應商的工具就不是什么難事了。

“問題是他們是否擁有合適的基礎知識，而不一定是具備某個特定品牌的經驗。”他補充道。

其他專家則提醒稱，列出老舊技術經驗要求的職位描述也可能嚇退求職者，因為這表明發布招聘信息的安全企業已然落后于時代。

軟件公司Obsidian Security聯合創始人兼首席技術官Ben Johnson稱：“觀察一下求職大軍就可以知道，他們希望用最新最好的東西干活。”

Johnson表示，如果CISO宣稱正在努力轉型，想要擺脫這種老舊技術，一些一流的求職者可能仍會前來應聘，但大多數求職者或許就退避三舍了。

4. 無底洞式要求

另一個勸退雷區：一長串首選或所需技能、經驗和學歷要求。安全主管反復提到這個問題，常開玩笑稱，公司就差沒把能通下水道也列入對安全人員的技能要求清單里了。

“這就是根本問題之一：不切實際的技能期望和資格要求。招聘經理傾向于為所謂必要的工作列出難以企及的要求清單。但求職者看到這種清單會說，‘那不是我’。”Corvus Insurance首席信息安全官Jason Rebholz說道。

Proofpoint全球常駐首席信息安全官Lucia Milic?對此表示認同，并指出，太多安全主管列出他們夢寐以求的應聘者，而不是描述勝任這個職位真正所需的那些東西。“這會勸退很多適格求職者。”

Milic?表示，對于希望為自家團隊營造性別平等氛圍的公司來說，這尤其成問題。她指出，研究表明，女性通常只有在具備招聘信息中列出的所有或大部分資格時才會前來應聘，而男性則在具有大約半數資格時才會遞上簡歷。

“所以，從必備條件入手，列出五個要點，而不是妄圖把世上的一切都列出來。”

美國國防技術公司Raytheon Intelligence & Space（雷神）網絡防護解決方案執行董事Jon Check表示，他盡量不用“必須”和“應該”這樣的詞，防止優秀的求職者自我選擇退出。

“真的必須具備所有這些條件嗎？相反，你必須傳達出對所有人敞開大門的意思，包括那些可能不具備傳統上所謂“合適”的認證或“理想”出身的人。然后，設置培訓計劃，培訓他們不具備的技能。”

5. 不切實際的工作要求

Milic?稱，與之類似，一些信息安全分析師的工作似乎確實需要一份廣泛的技能清單，因為這個職位本身涵蓋了太多領域。

她表示見過包含治理、風險和合規（GRC）責任的安全分析師工作范圍。然而，GRC需要的技能集與安全分析師職位所需的不一樣，這一職位的工作量本來就夠人全職忙碌的了，因此應該是個完全不同的職位。

所以，求職者在職位描述中看到長長的職責列表往往就會裹足不前。

其他專家也贊同該意見，并表示，在分析師職位之下掛上太多跨越不同學科的職責，表明安全經理已經為該角色分配了難以承受的大工作量。這么做也表明部門本身缺乏人手和資源，不被重視，運營不良，或者幾者兼而有之。

可能表明此類問題的另一個危險信號是：總是使用任何聽起來像“工人”的用語。誠然，事件發生期間，安全分析師這份工作可能需要所有人各就各位，并且隨叫隨到和額外輪班，但職位描述不應該讓人覺得安全人員是全時待命的，安全部門本身也不應該這樣組織。

“安全人員謀求這份職位通常是想要有所作為，但他們可不想全天候上班。”

6. 沒有具體說明公司可以為應聘者做些什么

另一潛在雷區：沒有寫明安全分析師職位附帶的機會，比如關于如何晉升和離職的信息。

“安全分析師總是處在救火模式，你很可能會出現職業倦怠。這是一件令人疲憊的苦差事，所以你想要知道作為專業人士該如何成長和進步。”Rebholz稱。

Rebholz和其他專家表示，經理為其安全團隊提供培訓和職業發展機會尤為重要，有助于招募和留住人才。因此，CISO及其領導團隊應該公開和宣傳他們是怎樣幫助自己的員工學習和成功的。

“如果僅僅是沒有出現在職位描述本身當中，那可能還算不上雷區，但如果整個招聘交流中根本沒有提到這方面，那就成問題了，因為你[作為應聘者]確實希望看到公司主動談論這些事情。”Rebholz表示。