CIO们知道现在招聘优秀的人才比以往任何时候都难了。寻找那些既合格又愿意在您的企业制度下工作的人已经开始变成CIO的外包职责之一,因为他们自己无法完成这件事。一些人会告诉您他们这样做的原因是越来越高的风险趋势,但我认为实际上这里面有两件事我们需要好好看一下。 缺乏技术人才 跟我对话的CISO主要抱怨技术精湛的信息安全人才非常缺乏。剩下的基本都是低水平或刚出校门的新人,他们只有“概念”上的安全指令,并没有什么实践经验。您想要招聘的是那些懂得如何在程序中找到SQL的人,并且可以告诉研发者在特定JAVA框架中的最佳解决方法。但您得到的通常都是在书里看过SQL然后在测试应用中反复尝试的人。 这对那些想要获取有才华的人的公司来说是个困难时期,甚至这个风险每天都在增加。我们所说的数字方面的风险和突破一直在环比增长,同时那些新闻文章也越来越离谱,损失逐渐堆积起来,您会发现您所批准的那些新职位几乎无法被全部填补。 那么身为一名CISO要做些什么呢?您要使用您自己的团队,也许为那些已经有安全知识的人培训一些额外的内部资源。您当然无法负担招聘更多“青涩的”人员然后再花时间教他们什么是安全。。。对吗?您需要做的是像很多好的post-WWII公司所做的那样 - 提供更好的激励制度。。。您甚至可以把想要的人员从他们现有的公司吸引过来! 缺乏业务娴熟的分析师 第二个问题是我们缺乏业务娴熟的分析师,我认为这比第一个问题还要大。当CISO找到一名合格的技术人员时,一个很大的问题是这位人选有足够娴熟的业务能力,而不仅仅是个生硬的工具吗?对大多数门来说重要的是寻找那些可以把安全和风险理论应用到业务中的人,并且必须明白业务才是安全的驱动者,而不是反道而行之。 安全资源是稀缺的,更加稀缺的是懂得安全和业务要在一起才有效的人。现在很难找到一个可以评估项目或任务,然后告诉你这会为业务带来怎样安全影响的人了。找到一个可以明白安全是灰色阴影,并且能够用业务语言来做出明智的决策而不会让IT安全和业务分析师、研发者、运营团队和领导者之间产生矛盾的人常关键且重要的 - 但这样的人压根就招聘不到。 如果您想要招聘聪明和业务娴熟的安全人员,那么这个市场是很的,如果您看了这篇文章的标题并且意识到您的人手严重不足和过度时,就会觉得这个市场更加了。 我的是: 1.跟一家好的招聘机构合作来筛选人才 2.尽量把那些非关键业务的工作分配给合作机构,这样可以让您把那些业务娴熟的安全人员留给最重要的工作 3.提供有竞争力的激励体制来吸引人才为您工作 4.为现有的人员进行培训,也许您已经拥有那个未被充分利用的“对的”人了 |