首席信息安全官发现他们很难找到所需要的安全人才,这已经成为一个挑战。然而,这个挑战的关键并不一定是缺乏IT人才。根据经验丰富的信息安全专业人士表示,IT安全人才市场面临着这样的窘境:人力资源和招聘经理不切实际的期望,某些技术迅速商品化,以及缺乏安全专业人士可以与企业高管充分沟通IT安全和风险问题。
Mandiant公司首席安全官兼热门TaoSecurity博客作者Richard Bejtlich表示,安全行业求职者遇到的第一个障碍就是很多招聘企业不切实际的期望。“人力资源部门的想法是他们需要多元化专家,而不是精通一个领域而对其他领域略知一二的专家。他们假设存在这样的多元化专家,并基于这个错误的观念列出各种招聘要求,”Bejtlich表示,“他们可能永远也找不到这样的专家,因为他们寻找的这些技能可能分散在人才市场的不同的两端,例如他们需要网络防御专家,同时还要是出色的团队领导者。或者他们想要系统管理专家,同时还是编码专家。”
这并不是说一个人不可能同时具备这些技能,这是可能的,他表示,“但一般来说,他们的这些技能不可能保持相同的水平,因为想要达到较高水平,你必须专攻某一领域。”
IT安全人才招聘:业务沟通技巧
对于这些不切实际的期望,求职者不能采取什么行动来改变,但是,他们可以从另一方面来“突围”,即提高其业务沟通能力,首席安全官们表示这是求职者最缺乏的技能之一。“我一直在努力寻找一个很好的平衡,我们需要的人才不仅要有技术实践经验,而且还要能够很好地沟通,”Blackstone Group高级副总裁兼首席信息安全官Jay Leek表示,“同时具备这两个条件的人并不常见。”
Providence Health & Services的首席安全官Eric Cowperthwaite也认为,很难找到具有良好的业务沟通能力的安全专业人士。他表示:“对于想要在信息安全行业建立事业的人而言,不管怎样最重要的技能之一就是沟通技能。我们越来越多地需要将我们试图做的工作的价值以及我们所面临的风险传达给企业高管。而我们现在最困难的工作之一就是找到同时具有扎实的技术能力、很强的业务意识和沟通能力的人。”
Leek回想起一些求职者,他们具有良好的沟通能力,但是他们的安全经验仅限于防火墙管理和网络,Leek表示,“这不是信息安全人员,甚至不是网络安全人员,而是防火墙人员。”
而对于可以远程管理的工作,越来越多将被合并和删减。Bejtlich表示:“我认为有一些人自认为是安全人员,但是他们的工作越来越多地被外包到海外。还有其他技术工作也被外包到海外,这给这些人带来不小压力。管理防火墙、防病毒软件和任何商业产品的人员都可能面临其工作被商品化的风险,但可能现在还没有发生。”
这并不是说,高度技术化的IT安全专家没有用武之地,肯定是有的。Cowperthwaite说:“只是你需要不断学习。几年前,你只需要知道如何管理技术就行了,而现在,你不仅需要具备技术技能,还要能更全面地了解业务性质。”
