入門級網絡安全人員才是網絡安全人才藍海

即使全球網絡安全人才缺口持續擴大，很多組織仍舊堅持認為，只要撐得夠久，總能招攬到資深安全專家坐鎮自家安全團隊。然而，新發布的調查報告顯示，網絡安全招聘經理不太愿意押注有培養潛力的入門級應聘者，而更愿意招聘資深或至少一年以上工作經驗的職場老人。

(ISC)2對來自美國、英國、加拿大和印度的1200名網絡安全招聘經理進行了調查訪問，于日前發布了《網絡安全招聘經理指南》，指南中詳細介紹了全球網絡安全招聘情況。報告揭示，許多組織不愿意花時間培訓新手進入網絡安全行業，凸顯出改善網絡安全勞動力狀況方面尚留有巨大機會。

(ISC)2宣傳、全球市場和會員參與執行副總裁Tara Wisniewski表示：“這項研究表明，除了規模最小的那些組織，入門級網絡安全專業人士的就業情況遠遠落后于更高經驗水平的安全人員。相較于加拿大和印度這兩個入門級人員就業水平總體較高的國家，美國和英國面臨的入門級網絡安全人員就業水平不足的挑戰尤為巨大。”

例如，美國的安全團隊人員構成中，僅26%是入門級雇員，而38%的雇員擁有四年及以上的工作經驗，36%的雇員工作經驗為一到三年。考慮到調查只覆蓋了過去兩年中聘用過入門級或初級網絡安全求職者的經理，入門級求職者的比例實際上甚至可能更低。由于只招聘資深應聘者的經理會自行挑選，真實的數字可能比報告所呈現的更加嚴峻。

不同規模組織的安全團隊構成（按經驗水平劃分）

無論如何，盡管這些行業新人只需要相對較短的時間就能上手自身職責，但入門級網絡安全人員的就業率仍然滯后。大約65%的招聘經理稱，培訓入門級員工至少需要九個月。盡管培訓提高了新人的技能或知識，但他們通常負責日常困擾安全團隊的那些重復性安全檢查工作。 

交由入門級員工負責的兩項常見任務是警報與事件監測和過程與流程記錄，分別有35%的招聘經理在調查中提到這兩項任務。在調查的開放式評論中，受訪招聘經理表示，入門級團隊成員通常會帶來“新鮮的想法和觀點”，他們往往愿意加倍努力，不僅精進工作，也為了在網絡安全職業上更進一步。

培訓入門級和初級員工需要花費的時間

招聘經理之所以難以加大新人比例來保持網絡安全團隊朝氣蓬勃，原因之一可能是他們未必找準了新員工的來源。

不同規模組織中招聘經理從何處招攬入門級和初級人才

“組織嚴重依賴外部因素和資源來招募員工，例如指望職業認證和認證組織會員。”Wisniewski指出，超過一半的受訪者依賴外部招聘人員來填補這些職位缺口。

她認為，想要吸引入門級和初級網絡安全從業者，網絡安全經理現在就可以著手的重要工作就是跳出網絡安全乃至IT領域尋找人才。調查顯示，僅18%的受訪者曾從組織內部其他工作崗位招人。

“銷售、市場營銷、工程、法律、軍隊、酒店等領域都有通用人才和好學之人。”她表示，“這也是為了確保職位、組織和整個網絡安全行業更具包容性和面向所有人。”

培訓資金現狀

無論應聘者出自何方，培訓到能夠切實為團隊做出貢獻所需的投資，可能比一些經理預想的少。超過80%的受訪者稱，培訓支出不到5000美元，42%的受訪者表示新人開始履職只需要不足1000美元的培訓費用。

Wisniewski認為，即使職業發展方面投資更大，招聘經理也不應該因為擔心培訓資金打水漂就拖延入門級員工招聘和培訓。這些初級從業者對于維持組織的網絡安全勞動力至關重要。

“招聘初級員工不是一種風險或者妥協，而是提高網絡安全韌性的積極舉措。你不會僅僅因為供應商未來有可能改變策略就推遲投資關鍵基礎設施。投資人才隊伍建設也一樣。”

(ISC)2《網絡安全招聘經理指南》：

https://www.isc2.org/Research/Cybersecurity-Hiring-Guide