但持续的技能短缺以及遇到许多没有大学学位却极具才华的安全专业人员，正促使一些CISO重新考虑他们的招聘策略，倾向于采用基于技能的方法来填补网络安全岗位。

Jon France说，这是专业人员招聘方式的一次重大转变。2022年初，当他成为国际信息系统安全认证联盟(ISC²)的CISO时，接手了一个安全团队，其成员中既有拥有大学学位的员工，也有没有大学学位的员工。

France发现，这种人才组合产生了宝贵的经验和技能范围。为了在此基础上进一步发展，France决定在他的部门取消对大学学位的工作要求，并取消了一些职位的认证要求。

“以前，我们用大学学位作为质量的指标，但现在我们接受更多质量指标，不仅仅是一个学位。因为虽然学位是一个指标，但它不是唯一的指标，而且可以说，它也不是最好的指标。”France说。

在France的领导下，ISC²的安全部门寻找能够解决问题、展现出良好沟通能力的候选人，并且要有好奇心，它还要求候选人证明自己能够胜任如果他们获得这份工作将要执行的具体技术任务。

“这些是我会在一个人身上寻找的东西，而不是学位，甚至是认证。”France补充道。

基于技能的招聘：努力付出，结果喜忧参半

几十年来，安全主管一直将目光投向拥有大学学位的求职者。

但持续的技能短缺以及遇到许多没有大学学位却极具才华的安全专业人员，正促使一些CISO重新考虑他们的招聘策略，倾向于采用基于技能的方法来填补网络安全岗位。

France是实施基于技能的招聘这一日益壮大的运动的一部分，顾名思义，这种方法向能够证明自己具备完成工作所需技能的候选人提供工作机会，而不考虑其教育背景或经验。

和其他人一样，France认为，以技能为先的重点是将不同的才能汇聚在一起，从而打造一个团结一致、高效运作的团队的最佳方式。他还认识到，许多有才华的工人没有学位，他们选择了军事服役或其他机会，然后才寻求网络安全领域的职业。此外，他还知道，现有的网络安全专业人员远远不够填补空缺职位。

但要想成功实现基于技能的招聘，需要做的工作远不止是从招聘广告中删除“需要学位”的字眼。事实上，许多企业在这一尝试中失败了。

根据Burning Glass Institute和哈佛商学院2024年的一份报告，基于技能的招聘正在获得动力，但“尽管其备受吹捧”，报告作者写道，“去年，由基于技能的招聘带来的机会增加甚至都不及700个招聘中的1个”。

作为报告研究对象的一部分，约有45%的组织只是在名义上实施了基于技能的招聘，在招聘和筛选人才方面没有做出任何实质性改变，另外约20%的组织在向基于技能的方法迈进方面取得了进展，但这些努力没有持续下去，尽管短期内有所收获。

“成功采用基于技能的招聘，涉及的不只是从招聘广告中删除语言，”根据该报告。“为了按技能招聘，公司将需要在其招聘实践中做出有力而刻意的改变——而改变是艰难的。”

“以不同方式招聘”

France和ISC²属于那37%的领导者和组织，他们付出了努力，使基于技能的招聘成为一种有效的策略，而不仅仅是一个空洞的承诺。

为了改善招聘结果，France与人力资源团队合作，审查空缺职位的工作描述，然后根据组织的当前需求定制这些描述，详细说明该职位在填补后将处理的任务以及完成这些任务所需的技能。

在某些情况下，France会在招聘广告中首先列出非技术技能和属性，如“必须能够解决复杂问题”。“在这种情况下，我们更倾向于基于特质的东西，而不是硬性技能。”他说。

这种工作有助于招聘团队了解如何评估简历，而不必回退到将学位作为所需能力的默认指标，他解释道。

他还调整了面试流程，让候选人通过模拟场景来测试其技术、个人和智力技能。

“你测试一个人的多个方面。”他说。

France说，这些举措并不妨碍他询问候选人的教育背景，这也不妨碍他为某些职位要求认证。France和其他人一样认为，认证可以表明特定的技能和才能——通常比学位更能说明问题。

事实上，France还要求一些新入职人员在被录用后在指定的时间段内获得特定的认证，他认为这可以表明新入职人员有学习和进步的意愿和能力。

他说，所有这些都有助于他“以不同方式招聘”。

“通过这样做，我获得了以前得不到的候选人，而且我还获得了一个更优秀的候选人群体，这给了我真正的多样性，而这种多样性为你提供了最佳的候选人群体，”他补充道。

“匹配需要完成的工作”

基于技能的招聘的原则确实有一种“旧瓶装新酒”的味道，因为雇主们一直都在寻找具备可证明技能的工人。此外，技术界长期以来一直不乏没有大学学位却成就斐然的专业人士。

尽管如此，越来越多的雇主正在做出改变，通过在招聘广告和评估中强调技能，许多雇主正在改进招聘流程。根据LinkedIn的《2025年招聘未来报告》，“使用基于技能搜索的公司，招聘到优质员工的可能性高出12%”。

网络安全解决方案公司CyberSN的创始人兼CEO Deidre Diamond发现确实如此。

Diamond在她的员工配置解决方案公司采用了技能为先的方法，该公司提供全职长期雇员，并使用由其公司创建的分类法来编写候选人要求，以“反映一个人日复一日将要做的工作”。

这有助于她的团队和他们的客户摒弃模糊的职位名称，如安全工程师，以及相应的模糊职位描述——这两者都可能迫使招聘经理回退到寻找拥有相关学位作为专业能力标志的候选人。

除了寻找拥有备受推崇的认证、能够证明他们具备所需技能的候选人外，Diamond还使用书面和口头测试来确定候选人，特别是那些新入行者，是否具备所发布职位所需的技能。

“这都是关于将需要完成的工作与候选人最近所做的工作相匹配，”Diamond解释道，她还是促进网络安全领域多样性的非营利组织Cyversity的董事会成员。

沉浸式网络安全培训和演练平台公司Immersive的高管们同样在采用基于技能的方法招聘网络安全人才方面取得了不错的成绩，同时克服了沿途遇到的挑战。

该公司不强制要求学位或认证，而是根据能力评估候选人，Immersive的复原力高级总监Dan Potter说。

该公司使用自己的平台进行招聘，让一些网络安全职位的候选人通过学习特定内容来晋级。该公司会考虑每位候选人的表现，包括他们解决问题的准确性和处理时间，以确定“那些能够迅速但明智地做出决策的人”，Potter说。

参加面试的候选人将面临挑战，以评估他们的问题解决和协作能力，他补充道。

“网络安全领域节奏很快，每天都会遇到新的挑战，所以我们想知道[候选人]是否有动力，是否有解决问题的心态。”他说。

与ISC²的France一样，Potter说，要想在这种方法上取得成功，就意味着要与人力资源部门合作，部分原因是确保薪酬体系不会因为员工有无学位而厚此薄彼。他还说，这还需要改变企业典型的思维定式，即学位自动意味着能力。

Immersive的流程已经招聘到了可能在传统招聘环境中不够突出但仍是宝贵员工的候选人，Potter说。

“这些人可能在简历上看起来不那么出色，但他们正展现出他们在自己擅长的事情上很优秀。”他补充道。

企业网D1net(www.d1net.com)：

国内主流的to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。