對于求職者和雇主而言�,IT安全就業(yè)市場是IT行業(yè)最棘手的就業(yè)市場之一。
2012年IT薪酬調(diào)查發(fā)現(xiàn)�,很多IT安全專業(yè)人士在2012年得到了加薪和獎金,他們對2013年充滿期待�。但是求職者不切實際的期望、IT安全就業(yè)市場的技能差距以及缺乏熟練的安全專家等問題����,給首席信息安全官帶來招聘挑戰(zhàn)。其結(jié)果是���,這個市場經(jīng)���?鄲烙谌绾握业胶推刚埶璧娜瞬牛硪环矫��,IT安全求職者不清楚他們需要學(xué)習(xí)怎樣的技能以在IT安全領(lǐng)域取得成功�����。
對于這些問題���,我們詢問了L. J. Kushner and Associates的創(chuàng)始人兼首席執(zhí)行官Lee J. Kushner��。Kushner的公司專注于信息安全人才的招聘工作���。自1996年以來�,Kushner一直從事信息安全專業(yè)人士招聘工作���,也見證了這些年的巨大變化����。
就目前來看��,你認(rèn)為這個市場對哪些IT安全技能需求較多?
Lee Kushner:很多技能比其他技能需求多�,它們也是過去兩三年中需求的最前沿。我們看到技能需求越來越多地集中在應(yīng)用安全���、事件響應(yīng)���、威脅和漏洞管理領(lǐng)域,然后是結(jié)合了一些風(fēng)險因素和技術(shù)因素的整體混合安全架構(gòu)領(lǐng)域���。這些都是現(xiàn)在很多企業(yè)有很大需求的IT安全技能����。
此外�����,企業(yè)尋求什么樣的技能,很多時候取決于該企業(yè)是否正在響應(yīng)政府監(jiān)管�,或者他們是否想要真正實現(xiàn)高水平的安全性。那些試圖根據(jù)合規(guī)性或外部審計員的調(diào)查結(jié)果來建立安全計劃的企業(yè)�����,可能并不專注于找到最優(yōu)秀的人才和技術(shù)���。他們可能更關(guān)心的是找到一個解決方案來滿足合規(guī)要求,而不是保護其企業(yè)抵御安全威脅����。如果他們想要的是安全性,而不是合規(guī)性��,他們可能會更傾向于更高水平的做法����,他們會開始尋找這樣的人才:有更高技術(shù)水平、對外部威脅有更深入的了解�,用更多預(yù)防和積極的措施來確保不會發(fā)生數(shù)據(jù)泄露事故。
回首過去的十年到十五年�����,你會如何描述當(dāng)前IT安全市場的需求?
Kushner:對于這個市場,我唯一可以作比較的是2000年的就業(yè)市場��。2000年和現(xiàn)在的區(qū)別是��,當(dāng)時如果你能拼出安全兩個字��,就會雇用你����。當(dāng)時,安全市場都是千篇一律的需求�����,并且有著廣泛的需求���。從市場來看�,滲透測試人員��、防火墻人員或者網(wǎng)絡(luò)IDS人員之間�����,并沒有太大區(qū)別。換句話說�����,他們都是安全人員��,如果你會做其中一件事��,你就能勝任所有這些職位���。
企業(yè)是否難以描述和找到他們所需要的技能?
Kushner:我們曾幫紐約市的一家國際銀行搜尋人才。在我們介入之前��,他們已經(jīng)公開招聘達(dá)6個月���,他們試圖尋找負(fù)責(zé)美洲地區(qū)的信息安全官�����。他們遇到的問題是���,每個候選人都非常熟悉政策,而沒有任何技術(shù)技能��。他們需要的是能夠滿足其技術(shù)要求以及領(lǐng)導(dǎo)要求的人才,來幫助他們制定計劃��。而這是他們遇到的真正難題���,你無法在互聯(lián)網(wǎng)上用關(guān)鍵字來找到這種人才�,并且�,很多人可能看起來符合要求,但當(dāng)你深入到客戶試圖尋找的人才的具體要求����,你會發(fā)現(xiàn)這比他們預(yù)期的更具挑戰(zhàn)性。
此外�����,對于試圖招募IT安全人才的企業(yè)而言�����,一個更大的問題是�,很多企業(yè)不了解將一名安全專業(yè)人士從他滿意的職位和公司挖走是多么的困難。他們會說���,“我們已經(jīng)與這些公司討論過��,他們告訴我們��,這個職位的薪水是X��。”在企業(yè)內(nèi)部�,X可能是入門工資水平,但你要考慮到�,你面對滿員等因素的市場,你就得面對厭惡風(fēng)險的安全人員�����,經(jīng)濟環(huán)境讓人們在自己的職業(yè)生涯決策中考慮風(fēng)險溢價因素��,綜合起來��,這種平均報價并不會很吸引人�。
是否有很多專業(yè)人士讓自己變得太專業(yè)化?
Kushner:毫無疑問��,有一些人呆在固定的位置�,這限制了他們。現(xiàn)在���,在很多情況下�����,安全的某些方面被視為其他領(lǐng)域的一部分�����。例如�,為了成為一名良好的網(wǎng)絡(luò)架構(gòu)師,你必須對安全有一定的了解�����。而在過去你不需要這樣���,F(xiàn)在��,安全已經(jīng)成為網(wǎng)絡(luò)技術(shù)技能的一個子集�。如果你不具備安全知識���,我不認(rèn)為你能成為一個全面的網(wǎng)絡(luò)工程師或架構(gòu)師���。但如果你將自己定位為安全人員,而你只知道PCI DSS合規(guī)�,或者網(wǎng)絡(luò)安全��,或者IDS�,你可能需要擴大自己的技能�����,以不斷發(fā)展取得成功���。
對于想從相對較低水平的安全操作職位轉(zhuǎn)到安全管理或領(lǐng)導(dǎo)職位的人�,你有什么建議?
Kushner:我認(rèn)為他們應(yīng)該做的是��,必須找到可以發(fā)揮其專業(yè)知識作用的內(nèi)部項目����。在那里,他們可以開始在內(nèi)部發(fā)揮一定的領(lǐng)導(dǎo)作用����。試圖轉(zhuǎn)變你的職位的最佳方法是在內(nèi)部承擔(dān)某些職務(wù)���,而不是到外部去尋找��。獵頭說這樣的話很蠢�,但確實應(yīng)該這樣。當(dāng)你在內(nèi)部建立了自己的聲譽�����,你就有了最好的內(nèi)部儲備��。
如果你被認(rèn)為是一名優(yōu)秀的網(wǎng)絡(luò)安全工程師或網(wǎng)絡(luò)工程師�����,現(xiàn)在有一個項目可以由你來領(lǐng)導(dǎo)��,你應(yīng)該排除萬難�,抓住這個機會,開始發(fā)展一些你的企業(yè)所認(rèn)為的管理層特質(zhì)���。接著���,在你不知情的情況下,他們將會給你另一個項目來領(lǐng)導(dǎo)�����,而后再給你另一個項目,然后����,他們會說,‘哇�,這個家伙在過去18個月中一直在從事管理人員的工作,我們現(xiàn)在正好需要招聘一名安全管理人員或者網(wǎng)絡(luò)安全管理人員����,不用去外面找了,讓我們把這個機會給他吧���,他將會非常勝任���。’
從經(jīng)驗中獲取技能是非常重要的。你可以在內(nèi)部找機會嘗試這樣做�。固步自封的人就像是只會一招的小馬,他們面臨的問題是�,很難將這一招應(yīng)用到不同的環(huán)境中。
