網絡安全勞動力的短缺以及相關技能的缺口始終沒有得到解決甚至改善。而這種風險在2021年還會持續增長，因此企業組織采取行動來壯大其網絡安全勞動力顯得日趨重要。下述5種吸引才人的方法可以幫助企業組織有效地縮小技能缺口。

過去十年間，市場對于網絡安全專業人員的需求不斷激增：實際上，到2020年初，僅就美國而言，該行業的勞動力缺口已經擴大到50萬人，而在全球更是存在400萬缺口。

在這種情況下，我們又遭遇了COVID-19大流行的侵襲，網絡安全世界再次“失控”，仿佛一夜之間，工作模式發生了翻天覆地的變化，成千上萬的工作人員被迫離開辦公室開始了漫長的遠程工作。一些公司幾乎一夜時間就實現了質的飛躍，即便面對不斷涌現的新威脅，許多網絡安全專業人員也能竭盡全力地確保基于云的遠程辦公環境的安全。

然而，一年過去了，網絡安全勞動力短缺以及相關技能缺口的現實仍未得到改善：根據 （ISC）2發布的《2020年網絡安全勞動力研究報告》指出，盡管全球網絡安全勞動力的需求在過去一年中有所減少——從400萬減少到310萬——但美國仍然有近40萬個網絡安全職位缺口。為了“有效地保護組織的重要資產”，全球網絡安全勞動力需要增長89%。此外，盡管實際的網絡安全事件一直保持在基線水平，并且勞動力缺口也略有縮小，但仍有超過一半（56%）的受訪者表示，網絡安全人員短缺正在使他們的組織面臨風險。

Booz Allen網絡組織人才戰略專家Erin Weiss Kaya表示：

“雖然經過了很多年的發展，但網絡安全仍然是一個新興行業，其威脅幾乎每天都在變化，包括新的威脅參與者、新技術以及5G的演進等。但是我們面臨的人才現狀仍然是需求遠超目前的供應量。0%的失業率，這應該也是其他行業不可能存在的情況。”

網絡安全公司LIFARS的CEO兼創始人，數字取證和道德黑客專家Ondrej Krehel認為，網絡安全行業缺口和風險也會在2021年繼續擴大，因此當務之急是開始實施有效的人才吸引戰略，以縮小網絡安全技能缺口。他表示：

“黑客只會變得越來越聰明，動作越來越敏捷，這也就意味著防御團隊也需要如此，以建立強大的網絡安全團隊并確保公司不會遭遇人才短缺的困擾。”

具備合適技能的人才異常難尋

然而，想要找到并成功吸引具備合適網絡安全技能的人才絕非易事。即便在當今的入門級網絡安全職位上，所需的技術技能清單也很長。Krehel指出，網絡安全領域的“入門級”職位描述通常看起來像其他行業中的中高級職位，因為它往往需要非常多的安全性或供應商認證，這也等于為求職者設立了一個“高門檻”。

另外，非技術性崗位（例如敏捷性和靈活性等領域）更難以衡量和招募，但他們同樣是迫切需要的。這些崗位的必要技能不包括相關技術和工具，而是具備部署工具和實際解釋數據的能力。

CIA前高管，同時也是Darktrace公司現任戰略威脅主管Marcus Fowler補充道，企業需要弄清楚如何從現有的安全團隊中獲取更大收益。只是通過雇傭的方式并不能徹底解決職位-員工之間的不對等狀況，甚至只能收獲杯水車薪的效果。更明智的方法應該是將現有員工與具備自主能力的AI工具配對，以便網絡安全專業人員可以更快速、更高效地投入工作。

Fowler表示，人工智能/機器學習對所有安全事件進行初步分類的能力，將是安全團隊重新獲得工作支配權的關鍵所在。具備自主調查功能的AI工具可以進行早期分類工作，并處理一部分繁重瑣碎的任務，為人類安全專家騰出時間和精力來主動地、戰略性地控制事件調查流程。

話雖如此，但是通過更具吸引力的招聘策略來壯大網絡安全勞動力仍然是必須的。Kaya表示，“我感覺網絡安全行業尚未完全接受非線性、非傳統的切入點。該行業始終限制在相對傳統的招聘定義中，即尋找已經得到證明的資源和技術技能。我們需要弄清楚：我們如何看待想要進入該領域的人才？然后，如何對其技能進行重新培養使其達到安全專家水平？”

專家認為，企業組織可以通過下述5中重要方式來采取行動，以在2021年及以后發展網絡安全人才隊伍：

5招增加網絡安全勞動力

1. 改革招聘內容以吸引各種候選人

根據達科他州立大學網絡安全助理教授兼CybHER公司聯合創始人Pam Rowland的說法，許多企業組織都需要改革其招聘廣告，以吸引各種各樣的候選人。她說，招聘團隊需要認真思考并重新設計招聘內容，而不是繼續沿用與過去10年相同的策略。首先，公司應該摒棄高度男性化的配比方案，并重新考慮‘這個世界上沒有人可以滿足’的冗長的技能需求清單。研究表明，即便是只符合清單中25%的條件，男人們也會提出工作申請，但是相反，女人們大多會望而卻步。所以，建議招聘企業可以列出最重要的優先事項，但是應聘者必須保持終身學習的態度，最好還要具備批判精神。

2. 吸引有安全意識的軟件工程師尋找工作機會

Kolide公司CEO兼創始人Jason Meller表示，擴大可用人才庫的一種好方法是吸引具有安全意識的軟件工程師，這類人已經具備許多正確的技能，但是他們正在尋找機會通過設計專用的小型工具來擴大其影響力。這些工具（包括漏洞掃描程序、滲透測試實用程序以及終端數據收集器等）通常太過小眾，無法從安全供應商處購買，但是，這些工具使新手安全從業人員有機會提高他們的能力、速度和準確性。

然而，令人驚訝的現實是，許多流行的開源代碼安全工具開發者經常會被當前的雇主所忽略。如果你有機會接觸到這類人，請給他們機會繼續從事自己的激情創作，并且觀察這些工具在現實世界中的表現，相信我，這一定是件雙贏的事情：您將擁有一位激情洋溢的技能專家，同時，他也會為您安全團隊的未來及其同事的成功貢獻巨大的精力。

3. 通過提供激勵措施與安全團隊合作來尋找人才

Meller表示，在組織內確定最佳人選的另一種好方法是建立激勵機制，讓員工在有意義的優先事項上直接與安全團隊進行協調。例如，您的公司可能已經投資了一項外部漏洞賞金計劃，供道德黑客報告系統安全問題，但是，是否存在什么機制和激勵措施鼓勵有安全意識的員工在內部安全地報告問題呢？一旦建立起這些內部溝通渠道，你就可能會在擔任初級職務的人員中發現“潛力股”，他們日后完全有可能迅速晉升為更高級的職位。

4. 投資員工考證計劃

Krehel表示，網絡安全行業需要致力于培訓初級員工，并從一開始就為其提供所需的資源助力其獲得成功。他說，公司應該創建相關程序，幫助應屆畢業生在工作中獲得證書和實習機會。雖然證書不能彌補多年的工作經驗，但是它可以幫助初級和中級員工在網絡安全的各個方面（包括運營、取證和政策）獲得良好的實踐基礎。通過向每個員工展示職業發展前景，也有助于增加員工的保留率。

5. 通過盡早引發女生興趣來激發性別多樣化

到了高中才讓女孩走進網絡安全世界的話，可能為時已晚。Rowland認為，中學才是她們真正開始決定計算機科學是否適合她們的最佳時間段。如果中學時就能讓女孩對網絡安全感興趣，那么高中時她們就可以準備投入相關的課程學習，以保持足夠的參與度，如此一來，她們就不會再覺得“網絡安全”是個令人生畏的領域了。而一旦她們能夠了解什么是網絡安全，她們就更有可能繼續深入探索。

后疫情時代網絡安全人員的前景

截至2020年，網絡安全行業的市場規模為1671億美元，而且預計從2020年到2027年將以10%的復合年增長率增長。很明顯，以這種增長水平，在經過一年的動蕩之后，想要在后疫情時代建立和強化一支合格且多樣化的勞動力隊伍將更具挑戰性。根據（ISC）2發布的《2020年網絡安全勞動力研究報告》指出，49%的受訪者期待其組織在明年內雇傭更多的網絡安全專業人員。

雖然目前并沒有跡象表明，明年的網絡安全技能缺口將大幅縮小，但Booz Allen公司的Kaya卻對長遠的發展抱有樂觀的態度。她指出，過去一年的空前變化和新出現的威脅實際上使網絡安全這個不斷發展的領域，吸引了越來越多人的注意和興趣。

她說：

“我認為人們對該領域的興趣日益濃厚，我們需要開始尋找非傳統的切入點來擴展候選人才庫，并且制定非常有效的機制來重新培養具備成為專家基礎的內部人員的相關技能。對于網絡安全領域而言，這正是一個激動人心的時刻：您正面臨著最令人著迷的挑戰，接受它，你的明天將變得豐富絢爛。”
責編AJX