致电BS安全技能短缺

 
过去几年中，安全技能短缺已引起很多关注。在头条新闻，会议上以及在调查后的调查中，都弹出警告，所有警告都具有相同的可怕预测：黑客入侵数字闸门的方法越来越多，而没有足够的网闸阻止它们。
毫无疑问，我们拥有的空缺职位比我们可以提供的申请人要多。乍一看，统计数字令人震惊：尽管勒索软件攻击同比增长350%，到2021年仍将提供350万个网络安全职位，但仍未填补。当然，这令人担忧，尤其是随着攻击者变得越来越老练，他们创造了新的技术和方法来克服旨在阻止它们的障碍。但是，将责任完全归咎于“安全技能短缺”却忽略了眼前的实际问题。
我们在这个行业中所拥有的并不是技能短缺。这是招聘中的一个创造力问题。为了缩小现有的人才缺口并吸引更多的应聘者，我们需要做更多的工作来发现来自不同背景和技能的潜在申请人，而不是寻找不存在的“独角兽”候选人—拥有大量认证的人(例如CISSP，CompTIAPenTest + ，CySA +，CASP +，CEH，CISSP和CISM)，长期的行业经验(超过10年，或在某些情况下超过20年的经验-比大多数相关技术的经验还更长)，以及不仅仅具有一种专业技能，但几个技术堆栈和学科(从云安全性到应用程序安全性和合规性)。
但是如何?通过放弃使员工缺乏多样性的秘密握手社会心态，阻止了新进入该领域的人员进入，并最终破坏了我们长期保持安全的能力。
打破进入壁垒
雇用一个想法相同，受过相同教育，看上去和说话相同的安全团队会导致盲点。然而，从我们使用的词语(恶意软件，勒索软件，密码劫持，加密)到我们呈现的图像(帽衫中的可疑人物)，网络安全笼罩在神秘的气氛中。作为一家独特的精英俱乐部，这种声誉使全员招聘变得统一。根据最近的一项全球研究，网络安全行业中有89%是男性，其中只有不到三分之一的人来自代表性不足的群体。而且，只有7%的网络安全专业人员不到29岁。
问题的一部分是缺乏对网络安全作为技术内外候选人的可行职业道路的认识，这在很大程度上归因于我们长期以来对工作所做的“披风和匕首”方法。如果您问行业以外的大多数人，那么网络安全专业人员的工作意味着什么，我想很少有人能够告诉您。这需要改变。扩大我们的招聘人数并增加人才储备的规模，首先要降低我们的“黑暗艺术”态度，并使安全性更易于访问和易于理解-无论是通过在各种机构的招聘会和职业生涯中提高知名度，还是建立人才储备渠道指导计划，或举办跨部门的研讨会和信息发布会。
为了招募更多的候选人，我们需要对工作的日常职责保持冗长的态度，阐明职业发展的道路，并消除渗透到这一工作领域的“孤独狼”刻板印象。我们越是走出阴影，使网络安全变得更加容易实现，人们就越容易理解网络安全职业实际上意味着什么-反过来，使他们能够看到自己在我们的行业中工作。
优先考虑血统而不是血统书
当然，难题的很大一部分是通过在已建立的候选人的狭窄渠道之外进行招聘来扩大我们的招聘渠道。当它具有多学科性并且我们雇用具有不同背景的人员时，安全便会赢得胜利。但是，作为一个行业，即使我们领域中一些最有才华的人都没有证书，或者说大学文凭，但我们一直都在谱系和证书上过分索引。我亲眼目睹了这种情况的发生-招聘委员会比独立但相关的领域的职业改变者更愿意从精英大学获得学位并在其领导下进行过出色的技术实习。我什至在自己的职业生涯中也经历过，有位初创公司经理曾经告诉我，尽管有简历和计算机工程学位，但我并没有“看起来像安全性”。
网络安全不是魔术。可以教授特定于安全性的技能。我们需要取消狭窄的标准来确定谁最适合担任许多安全职位，并改变我们评估简历的方式，以便我们审慎地考虑候选人的能力或所做的事情，而不是仅仅看候选人已经做过的事情。很多时候，我们在外部寻找候选人要通过学位，证书或完成的课程工作填补的某些技能。但是已经具备这些技能的人才库太少了。为了创造满足需求的人才供应，我们需要吸引具有能力和能力的人才，这些人才具有学习和应用必要技能的能力。这意味着组织需要创新并开发自己的技能开发学习和发展计划，无论是针对职业改变者的大规模培训计划，还是举办研讨会，聚会，午餐和学习会之类的简单活动，或者信息办公时间。
在职位空缺中不再强调学位和证书，可以公平竞争，并为钻石般的候选人提供更多机会，使其在招聘经理中脱颖而出。一个很好的例子：我曾经指导过的最优秀，最聪明的安全专业人员之一，就是她的前台接待员职业。她没有其他网络安全专业人员起步的资格证书，但她习惯于理解人类行为的细微差别，并掌握异常现象，这是网络安全专家的一项关键技能。在指导和指导下，她继续成为信息安全领域的高级技术项目经理。
重新设计面试
重新思考我们评估简历的方式还意味着我们如何撰写职位以及如何评估应聘者进入公司后的方式。这意味着在招募中采用第一原则的问题解决方法。通常，我们会问：“我们认为这个职位空缺应该是什么，而候选人之前曾在其他地方完成过这项工作?”相反，我们应该问：“这个人会做什么?他们的工作是什么?而我们应该如何为这份工作进行测试?”
全面的包容性语言已被证明可以提高人才的素质和深度，德勤表示，利用包容性人才和招聘策略的公司每位员工的收入要比没有包容性语言的公司高30%。网络安全应该没有什么不同。在职位发布方面，我们使用的语言应旨在吸引人们，而不是将人们拒之门外。首先要引入包容性和易于理解的语言(例如：“开发易于使用的工具和轻量级的流程，这将帮助我们的工程师无缝地编写安全代码。”)，而不是隐含的信息(使候选人无法申请)(例如：以多年的经验要求为主导，或者是大多数外部世界都无法理解的特定于安全性的流行词清单。
但是到目前为止，在工作岗位上添加包容性语言仅是可行的。候选人到达现场后，用互动练习，价值观和动机评估取代传统的学术技能测试，可以使招聘经理探索和评估候选人寻找和解决现实世界解决方案的能力大有帮助他们将与之合作的团队。这样，我们将评估候选人的真实安全思想和解决问题的能力，超越他们管理安全工具的能力。
网络安全并不缺乏技能。我们有一个文化问题，体现在我们寻找和招聘人才的方式上。通过消除准入门槛，优先考虑血统而不是家谱，并重新设计我们招募和面试候选人的方式，我们可以欢迎更多的网络安全专业人员加入团队，而不必继续进行正在进行的“独角兽追捕”，而这将使我们一无所获。