网络安全人才短缺加剧，企业如何不拘一格降人才？

迈入2019年，网络安全风险加剧，网络安全人才缺口也不断加大。根据普华永道的报告，2019年网络安全人才缺口可能达到150万。如此庞大的数量对于企业而言已经不仅仅是挑战，甚至快赶上灾难了。但是除了焦虑，大家似乎也没找到有效的方法来解决这个问题。人们往往觉得，人才缺口就是没有合适的人才导致的。而事实也许并非完全如此。

网络安全人才发展现状

参照迈克菲针对澳大利亚网络安全从业者的调研报告，当前网络安全人才的发展呈现出一定的特点和趋势：

大多数受访者对于优秀网络安全从业者应当具备的素质有着共识。例如：通俗易懂地解释技术概念;分析能力;团队协作能力;良好的沟通交流能力等。但是，27%的受访者无法列举出优秀网络安全从业者必备的某项具体技能。这表明，业内对于合格或优秀网络安全从业者的技能定义还不够明确、对于真正多样化且优秀的网络安全团队也缺乏精准定义。这种状况实际上会影响全面、高效的网络安全队伍建设。

此外，大多数网络安全从业者(84%的受访者)都具备中学以上的教育学历(其中49%的人是工程或IT专业、通信或网络安全专业;而49%的人完全没有任何网络安全专业资质)，仅16%的受访者表示曾经在其他行业工作或者从事过与网络安全无关的工作。网络安全人才招聘仅限于行业内部并不利于行业的多样性发展，在科技和行业都迅速发展的今天，这样的招聘模式可能也或带来潜在的局限性。

大多数网络安全从业者的工作内容是运营或管理，而涉及安全策略、安全教育或安全咨询的从业者较少。这样的结果其实也反映了国内网络安全从业人员现状。《中国信息安全从业人员现状调查报告》(2017年度)显示，当前网络安全领域最缺乏的就是战略规划、架构设计类人才。34%的受访者认为自己花费了一半以上的时间处理网络安全工作;57%的管理者认为招聘员工很困难，其中安全运营的人才最难找。这些数据表明，很多从业者都曲解了网络安全职责，将其与其他工作内容混杂，甚至会自我设限，，导致企业的应急响应受限。这同样给企业敲响了警钟：应当引进更多的自动化技术产品，将员工从技术和应急响应中解放出来，投入到策略性、整体性的工作中去。

当前形势下，以网络安全为专业或者具备网络安全从业经验的人员数量的确不足以填补缺口。但对于需求方而言，真正的人才不能仅仅靠经验或专业、证书等条件来评判。网络安全企业在人才建设过程中，除了单纯的招聘与团队扩充，也可以考虑利用多种方式激发内部员工潜能，或让其他行业有潜力的人才开启网络安全职业生涯，为未来发展开辟更多道路。

缓解网络安全人才短缺问题

一、提升招聘成功率

1.扩展招聘渠道

对于企业而言，填补人才缺口的首要选择就是加大招聘力度。但有时候，单纯增加职位需求或增加薪酬福利并不能找到理想的人才。有时候，还需要扩展招聘渠道，寻找更多目标群体。除了计算机专业、科研院所的人才，还可以考虑其他专业或社群。通俗来说，也就是寻找业内所说的民间力量。很多白帽子或漏洞猎人通常利用业余时间涉足网络安全。他们也许并非从事网络安全行业，专业或职业背景五花八门，但他们都对网络安全有浓厚兴趣，且自我驱动力强、善于学习。如果能找到这样一群人并将其转化为专业人员，将为网络安全行业和企业带来新的观点、经验与思路，为抵御风险、打击网络犯罪分子提供更多可能性。

2.合理描述职位需求

很多企业招聘时，对于一个岗位的要求太多太严格，会让应聘者望而生畏。还有一些企业只注重要求而没有展示企业能给员工带来的成长与收获，很容易会流失一些优秀种子。一般来说，可以找专业写手撰写招聘文章，好的文案就是成功招聘的一半。一般来说，职位名称要准确、职位描述要精简且突出重点，还要突出企业优势与福利，才能吸引到人才。

3.建设包容性、多样化的企业文化

曾有报告显示，在网络安全从业者中，女性仅占11%。此外，外行对于网络安全职业的不理解以及行业内部存在的一些种族不平等、学历不对等、薪酬差距等问题，也是网络安全人才培养所面临的一大挑战。

当然，这些大环境因素的影响并非个别企业凭借自身之力就能应对。但是，企业可以通过增加环境和文化的多样性，来缓解短缺的问题：

A.与附近的高等教育机构合作推进培训项目，引进新鲜血液;

B.设立内部政策，解决企业内部存在的问题;消除偏见、促进平等也很重要;

C.必要时候可以通过当地的招聘机构，专门从女性群体或少数群体中寻找人才;

D.在公司网站中专门设立页面，展示公司的包容性与多样性，例如成功的招聘案例、员工的发展与成长、公司为行业发展做出的贡献等。

对比国内外网络安全行业的企业官网，可以看出国内外网络安全企业在文化层面以及行业发展层面都存在一些不同。一方面，国外企业普遍注重企业文化建设，在官网通常都会专门设置页面展示企业文化、员工发展建设活动与案例，以促进人才招聘与培养，树立良好的企业形象。很多网络安全公司也是如此。而国内只有部分大企业注意到了这一点。另一方面，与国外相比，国内网络安全公司起步与发展都较晚，较为注重技术、产品等核心业务，尚无暇体系化地建设企业文化、树立企业形象。这一步通常要在企业发展成熟之后考虑，但如果日常业务中有意识地逐步建设，则有助于吸引人才、培养人才。而随着网络安全行业不断发展成熟，整个行业的包容性与多样性(包括减少歧视、促进平等)也会不断增强。

二、加强网络安全教育与培训

普通企业的安全需求一般分为网络安全、终端安全、恶意软件分析、加密等四大类。此外还有威胁溯源、应急响应(包括网络流量分析、恶意软件逆向、终端检测等)等多种技能要求。这些技能并非一朝一夕可以掌握，但在院校多年培养的专业人才数量不足的情况下，普通员工通过项目培训、考证以及在职工作积累和学习，也能逐渐胜任一些基础的网络安全工作。

具体说来，可以从以下三个方面加强网络安全教育与培训，缓解网络安全人才短缺问题：

1.校企合作加强网络安全人才教育

企业可以与高等院校合作，结合实际情况，参与课程设置，建立实践基地，进行项目合作、培训认证、学习实践、培训及推广交流等。从多个方面培养具备理论知识和实践经验的网络安全人才。

2.培训与认证

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!