入门级网络安全人员才是网络安全人才蓝海

即使全球网络安全人才缺口持续扩大，很多组织仍旧坚持认为，只要撑得够久，总能招揽到资深安全专家坐镇自家安全团队。然而，新发布的调查报告显示，网络安全招聘经理不太愿意押注有培养潜力的入门级应聘者，而更愿意招聘资深或至少一年以上工作经验的职场老人。

(ISC)²对来自美国、英国、加拿大和印度的1200名网络安全招聘经理进行了调查访问，于日前发布了《网络安全招聘经理指南》，指南中详细介绍了全球网络安全招聘情况。报告揭示，许多组织不愿意花时间培训新手进入网络安全行业，凸显出改善网络安全劳动力状况方面尚留有巨大机会。

(ISC)²宣传、全球市场和会员参与执行副总裁Tara Wisniewski表示：“这项研究表明，除了规模最小的那些组织，入门级网络安全专业人士的就业情况远远落后于更高经验水平的安全人员。相较于加拿大和印度这两个入门级人员就业水平总体较高的国家，美国和英国面临的入门级网络安全人员就业水平不足的挑战尤为巨大。”

例如，美国的安全团队人员构成中，仅26%是入门级雇员，而38%的雇员拥有四年及以上的工作经验，36%的雇员工作经验为一到三年。考虑到调查只覆盖了过去两年中聘用过入门级或初级网络安全求职者的经理，入门级求职者的比例实际上甚至可能更低。由于只招聘资深应聘者的经理会自行挑选，真实的数字可能比报告所呈现的更加严峻。

不同规模组织的安全团队构成（按经验水平划分）

无论如何，尽管这些行业新人只需要相对较短的时间就能上手自身职责，但入门级网络安全人员的就业率仍然滞后。大约65%的招聘经理称，培训入门级员工至少需要九个月。尽管培训提高了新人的技能或知识，但他们通常负责日常困扰安全团队的那些重复性安全检查工作。 

交由入门级员工负责的两项常见任务是警报与事件监测和过程与流程记录，分别有35%的招聘经理在调查中提到这两项任务。在调查的开放式评论中，受访招聘经理表示，入门级团队成员通常会带来“新鲜的想法和观点”，他们往往愿意加倍努力，不仅精进工作，也为了在网络安全职业上更进一步。

培训入门级和初级员工需要花费的时间

招聘经理之所以难以加大新人比例来保持网络安全团队朝气蓬勃，原因之一可能是他们未必找准了新员工的来源。

不同规模组织中招聘经理从何处招揽入门级和初级人才

“组织严重依赖外部因素和资源来招募员工，例如指望职业认证和认证组织会员。”Wisniewski指出，超过一半的受访者依赖外部招聘人员来填补这些职位缺口。

她认为，想要吸引入门级和初级网络安全从业者，网络安全经理现在就可以着手的重要工作就是跳出网络安全乃至IT领域寻找人才。调查显示，仅18%的受访者曾从组织内部其他工作岗位招人。

“销售、市场营销、工程、法律、军队、酒店等领域都有通用人才和好学之人。”她表示，“这也是为了确保职位、组织和整个网络安全行业更具包容性和面向所有人。”

培训资金现状

无论应聘者出自何方，培训到能够切实为团队做出贡献所需的投资，可能比一些经理预想的少。超过80%的受访者称，培训支出不到5000美元，42%的受访者表示新人开始履职只需要不足1000美元的培训费用。

Wisniewski认为，即使职业发展方面投资更大，招聘经理也不应该因为担心培训资金打水漂就拖延入门级员工招聘和培训。这些初级从业者对于维持组织的网络安全劳动力至关重要。

“招聘初级员工不是一种风险或者妥协，而是提高网络安全韧性的积极举措。你不会仅仅因为供应商未来有可能改变策略就推迟投资关键基础设施。投资人才队伍建设也一样。”

(ISC)²《网络安全招聘经理指南》：

https://www.isc2.org/Research/Cybersecurity-Hiring-Guide