网络安全人才短缺问题并不新鲜，但对于CISO来说，挑战已不再仅仅是招聘，还包括如何留住他们已有的人才。IANS Research和Artico Search最近的一份报告指出，超过60%的网络安全专业人员正在考虑在未来12个月内换工作，在那些考虑换工作的人中，对职业发展的不满成为了一个关键问题。

随着需求超过供应，且专业人员经常收到工作邀约，如何留住人才已成为CISO的首要任务，然而，有人认为真正的问题在于如何看待这一短缺，但根据网络安全招聘公司Iceberg的联合创始人兼董事Tom Chapman的说法，这个问题可能被广泛误解了。

“我不认为存在网络安全技能缺口，”他说，“我认为存在的是培训和发展缺口。”Chapman解释说，许多毕业生发现很难找到第一份工作，因为雇主往往更喜欢有多年经验的应聘者。“十有八九，企业不会付钱给我们去找毕业生，他们来找我们是想找到那些经过长时间磨练、难以获得的技能。”

Chapman表示，由于这种动态，需要六到十年经验的中级职业岗位是最难填补的。“这些人已经融入了优秀的企业，可能正在参与真正有影响力的项目。”他说。

OPCyberTalent的联合创始人兼业务负责人Jessica Cassidy也同意，中级职业缺口是一个关键的压力点，因此她认为存在人才短缺问题。她指出，与软件工程等更成熟的领域不同，网络安全行业仍在成长和发展其所需的人才库。

“存在短缺是因为我们在追赶，”Cassidy说，“存在短缺是因为我们的人口基数有限。现在，我们有了更多的入门级专业人员，但我们也面临着更大的问题。我们还面临着那些已经在这个行业工作多年、即将退休或转向压力较小角色的资深人员的缺口，这个三到八年经验的缺口相当大，而这就是人们所想要的。”

这些中级职业专业人员特别有价值，因为他们仍然充满热情、性价比高且适应性强。“他们所处的角色薪水不错，而且那些安全团队不想失去他们，他们会尽一切努力留住他们，但你又有了这些新岗位，而且出现了更多的安全问题，所以你如何用更初级的人员来填补这个缺口?这就是大多数人才团队和执行官们正在思考的问题。”Cassidy说。

网络安全专业人员为何离职?

了解是什么促使人们离开他们的岗位是解决问题的第一步。Cassidy指出了几个可能导致人才流失的危险信号，包括被动的而非主动的网络安全文化、领导力不佳、影响或晋升机会有限以及薪资问题。

Chapman补充说，内部机会的缺乏可能是推动人才流失的另一个主要原因。他分享了一个SOC分析师的故事，该分析师在企业中感觉被忽视。

“他在同一个岗位上工作了将近三年，他是一个从不抱怨、总是交付成果的人，”Chapman解释说，“在不被注意的情况下，他一直在自学提升自己，他是一个渴望学习的人。虽然他处于SOC岗位，但他正在关注更多的威胁狩猎和紫队测试，但从来没有人问过他想要往哪个方向发展，或者他对什么技术感兴趣或想要接触。所以，当我们联系他时，他非常感兴趣。他告诉我，他不知道自己是可以提出这些要求的。”

Chapman指出，许多网络安全专业人员首先是问题解决者，其次是职业规划者，这就是为什么定期的职业谈话至关重要。“如果你没有就成长和动力进行定期、主动的谈话，你就是在为人才流失敞开大门。”他警告说。

从内部组建团队

从企业内部招聘人才并培训现有员工，即使是那些传统IT岗位的员工，也能帮助CISO。“我总是问CISO，‘你们有没有先从内部寻找?’”他说。

他解释了如何一家工业组织的CISO需要OT安全工程师，但发现很难找到。他没有选择外部招聘，而是转向了他的工厂控制工程师。“他问，谁比任何人更了解这个环境?谁对安全感兴趣?然后他在内部提供了这些机会，并找到了几个对网络安全感兴趣但不知道如何进入这个领域的人。”Chapman解释说。

“这不是随意的培训，他建立了一个培训和发展计划，涵盖了核心安全概念、实践技能，并让他们与现有安全团队的导师配对，举办了研讨会，甚至邀请了一些客座讲师。”他解释说。

这种方法带来了更强的留存率、更有韧性的团队以及更深入的跨职能理解。“真正突出的是它的包容性，”Chapman说，“有一些工程师从未想过自己可以转向网络安全。那个故事中特别有趣的是有一位女性，她以前是一名控制工程师，现在正在对所有工厂进行漏洞评估。”

“当这个团队有传统的安全工程师负责OT环境时，他们现在也有OT工程师在做网络安全，所以团队的这两部分都在互相帮助，更多地了解系统。”他补充说。

Cassidy也赞同这一观点，强调了继任计划的重要性。她说，诸如实习和学徒制等项目对于识别那些渴望转向网络安全岗位的人来说至关重要。

“也许有一个在帮助台岗位的人真的很想从事网络安全工作，或者有一个在软件工程岗位的人，他厌倦了编码，想做点别的事情。无论是什么情况，他们都需要一个机会，”Cassidy说，“你要意识到你有这些渴望的人，他们想做那份工作。所以你如何用那些有热情和才华的人来填补这个缺口?”

通过认证和自主权支持成长

专家们建议的另一个可以帮助留存和专业发展的策略是提供对行业认证的支持。

“认证的价值无法估量，”Chapman说，“支付证书费用，这些费用可能高达10000美元或更多，可能是决定某人是否留下的重要因素。”

Cassidy指出，除了认证之外，还有其他技能提升的机会，如网络安全训练营、在线自学课程、加入卓越中心，同时给予个人跟随已有网络安全人员学习的机会。

他们认为，重要的是要创造一个让专业人员感到有成长空间的环境，无论是组建新团队、影响工具选择还是开发定制解决方案。“如果你正在招聘一名中级经理，如果他们要接管一个团队，那真的是一个大卖点吗?而如果你让他们从零开始组建一个团队，那就会很令人兴奋。”Chapman说。

Cassidy建议将发展与逐步的薪资增长挂钩，这种模式可以奖励承诺和进步。“如果你在培训这些人，并在他们达到某些里程碑时，比如每八到十二个月，或者如果他们达到某些关键绩效指标(KPI)，就给予他们逐步的薪资增长，这可能会产生不同效果。我并不是说每次都要增长10%，可能只是一个奖金。人们是有经济动力的。”

最终，留存和成长并不是关于走过场，而是关于建立关系，并理解网络安全专业人员及其管理者可以从中获得什么好处。

“这是一个共同的过程，它不是一刀切的，但这就是为什么与你的员工交谈、在内部解决这个问题如此重要，‘好吧，这个员工的动机是X和Y。我正在做什么来帮助他们在那个旅程中或那个进步中?’而没有足够多的人在问自己这个问题。”Chapman说。

企业网D1net(www.d1net.com)：

国内头部to B IT门户，旗下运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。旗下运营19个IT行业公众号(微信搜索D1net即可关注)。

版权声明：本文为企业网D1Net编译，转载需在文章开头注明出处为：企业网D1Net，如果不注明出处，企业网D1Net将保留追究其法律责任的权利。