安全主管的生活是重复的. 每年都有新的证据表明，合格的保安人才持续短缺，招聘环境一直供不应求. In its 2023网络安全工作流程研究ISC2报告称，网络安全人才缺口扩大了12%.专业人才同比增长6%，达到400万人，而可用人才仅增长8%.7%. 作为一名长期的信息安全专业人士，我的整个职业生涯都在这种情况下工作, 我注意到，人才市场的不对称使得充分的安全实践在很大程度上难以实现.

As the 信息安全 Practice Lead at Toptal, 在处理这个问题时，我知道一件事是肯定的:利用弱点是不存在零假设的. 无论我们在“左移”方面多么有效，都要主动实施安全措施, 我们的防御总是落后于攻击者. 这一残酷的事实使得迅速弥补网络安全人才缺口变得更加必要. 要以现代的速度和规模做到这一点，就需要跳出传统招聘的框框，增加全球人才, 按需人才获取能力到您的资源工具箱.

网络安全技能差距的现状

离我上大学还不到五年, 第一次主要的网络攻击是从我最终的母校发起的. 他入侵了麻省理工学院的电脑, 一个年轻的康奈尔学生释放了一种病毒, the Morris worm1988年11月2日，现代信息安全行业诞生了. 世界顶级计算机专家的集体努力不足以抵御一次单独的攻击. 很少有人知道互联网是如何被滥用来传播恶意代码的. 他们的系统毫无防备.

Since then, 互联网的指数级扩张和利用它的技术的快速进步始终超过了培养下一代信息安全专业人员的能力.

技术的进步, 比如生成式人工智能(Gen AI), 威胁范围是否在扩大，传统资源策略是否过时, 让招聘经理暴露在外，等待数月才能获得他们需要的专家，以确保新的部署.

然而，其他的进步为解决人才获取难题提供了新的解决方案. 受新冠肺炎疫情推动，远程工作的兴起和接受程度加剧了网络安全人才的短缺. 除了传统的招聘模式，企业现在也开始采用创新的方式来招聘经验丰富的专家.

在Toptal工作期间，我帮助客户采用新的策略来应对人才短缺. 利用这些新的人才获取方法的公司更有能力在不损害安全的情况下加速他们的计划.

以进一步支持您的组织满足当前时刻的能力, 招聘经理和安全负责人应该避免以下常见错误.

优先考虑技能而不是潜力

我看到客户犯的第一个错误就是把注意力集中在有特定技能的候选人身上，而不是那些有经验潜力的人. 最近的一个例子是, 一家大型生产力软件和云服务公司一周前刚刚发布了一款测试版的人工智能安全助手. 这种方法有很多错误之处, 最关键的是，所需的技能是:

• Immaterial. 任何评估过软件工具的专业人员都会证明，一周的时间几乎不足以安装和熟悉给定的技术.
• 无关紧要的. 在最实际的条件下, 即使在目标技能集中获得的知识也会是零碎的, 可能不会超过5到10个小时. 因此，培训的优先级将低于完成日常工作职责. 这种有限的接触将大大影响在实际环境中使用技能的能力, 尤其是基于新一代人工智能等颠覆性技术的项目.
• Inaccessible. 在beta分布项下, 该工具仅对满足一系列条件和约束的现有企业客户可用. 仅这一事实就将本已有限的人才储备减少到接近零，几乎注定会失败.

以技能为基础的方法中的这些错误表明，获得的技能可以解决探索性问题的想法存在逻辑缺陷. 技能对于日常任务可能很重要, 比如编写一个安全监控接口, 配置云平台安全特性, 或者管理端点保护工具, 但它们是战术商品，通常不适合被发现.

Instead, 我建议客户将重点放在最能满足其业务目标的先决条件经验上. 在人工智能助手的案例中, 评估竞争产品或将Gen AI解决方案集成到其他业务工作流中的经验将是有价值的. 在类似的操作环境中评估和集成新解决方案的经验将为评估新解决方案建立一个共同的基线.

拥有一个具有专业知识的合作伙伴来评估和验证潜在人才的这些定性特征，可能是领先和落后于竞争对手的区别. 等待特定的人才进入已经严重受限的人才库是在浪费宝贵的时间.

囤积员工与资源需求

在互联网商业化的早期, 安全专业人员擅长通过采用“黑客”故障排除思维来解决以前无法预见的问题. However, 今天商业化的互联网是一个由不同的云平台和软件即服务(SaaS)应用程序组成的景观，这是一个分散的操作环境，需要高度专业化的人才来适当地保护它.

尽管有了这样的进化, 大多数具有传统思想的组织继续通过少数可靠的通才来满足其信息安全需求, 寻求能够支持不断扩大的专业列表的全职人才. 有这种心态的招聘经理通常会犯以下错误之一, 寻找以下候选人:

• 万事通. 我们都见过招聘经理所能想到的各种职位描述. One client I work with often started looking for talent with solution architecture; security certifications for two separate cloud platforms; and specific expertise with their chosen products for endpoint protection, 漏洞评估, containers, and testing. 他们还需要几年在安全操作环境中编写脚本的经验. 符合所有这些条件的人必须是运行该组织特定环境的专家:他们只能已经在该客户的团队中工作. 这种以组织为中心的方法，就是为什么招聘经理在寻找最合适的人选时，数百或数千名求职者被解雇，而职位空缺却持续数月.
• 兼职专家. 一些安全管理人员选择囤积具有很强专业知识的人才，而公司只会在一小段时间内利用这些人才, 简单地说，这样他们就能在需要时做出反应. 这种行为的一个常见例子是，组织雇佣道德黑客进行偶尔的红队漏洞评估. 另一个趋势是雇用具有测试新一代人工智能解决方案经验的安全工程师. 在这些情况下，对专门知识的预期利用远远少于全职. 结果是一个双输的局面，导致双方摩擦. 公司为有限的利益向人才支付溢价，从而降低了生产率. 当被要求完成低技能的商品角色时，人才很快就会感到不满, 例如策略遵从性评估或安全操作支持, 而不是扩展专业知识.

那些成功地加速了增强的安全控制投资(抵御突发威胁并遵守新的行业法规)的组织，通过一种灵活的方法来满足他们的人才需求，这种方法可以优化实现目标所需的资源, 而不是应该雇佣谁. 实施更有效的资源策略使组织能够比等待招聘的竞争对手更快地应对新出现的威胁. 一旦我的客户转向按需参与模式，在正确的时间识别正确的专家, 他们开始意识到生产力的潜力.

将人才库限制在本地选择

传统组织通常专注于在本地寻找人才. 具体理由各不相同, 但他们倾向于围绕这样一个概念，即实体存在有好处，因为他们的业务是围绕实体存在建立起来的. 有些人可能会认为，构思和白板只有在亲自完成时才有效. 另一些人则认为，面对面的工作可以培养一种社区意识，从而提高工作效率. 还有一些人指出，强大的本地生态系统对于增强网络效应的重要性，从而使所有参与组织受益. 不管这些论点是否有效, 如果不考虑相关成本，我们就无法理性地评估面对面工作的好处. 这些包括:

• Overhead. 维持这些设施以持续支持零星的亲自工作可能会消耗财政资源，而看似没有什么实际利益. For example, 投入大量资金建设集中式安全运营中心(soc), 历史上被认为是基本的设施需要, 考虑到所有现代SOC解决方案都是分布式的，以支持远程监控和管理，因此不再明显. 在讨论超越本地人才生态系统的优势时，我的同事 埃里克·斯戴德勒 argues “今天存在的工具和技术可以复制我们所有人在同一个房间里所联想到的最好的东西.“除了一些罕见的例外情况，这些功能可能需要实际存在, 例如管理物理数据中心的安全基础设施, 我发现，当公司能够利用全球资源时，他们会意识到显著的生产力和效率效益, 远程工作和更有意、更有目的地利用零星的面对面接触.
• 位置偏差. 有效应对不断变化的网络威胁需要创造性思维和替代方法. 在地域上限制员工的组织可能会加强偏见，并错过通过全球招聘和培训获得的不同观点 remote work. 本土化自然会促进同质思维, 哪些因素会让传统企业对本土劳动力泡沫之外出现的创新竞争对手视而不见. 安全事件往往是由于这种偏见导致的想象失败.
• 工资上涨. 由于不利的供需动态，安全人才市场已经受到招聘成本上升的影响. 当公司集体通过局部隔离来强化这些条件时, 他们为吸引安全人才来保持生态系统的健康付出了代价. 当讨论全球人才将如何形成 风险投资的未来, 斯特勒正确地指出，“当地生态系统的强大之处，使它们成为招聘团队的残酷竞争之地.“对有限资源的竞争加速了本地安全人力成本，最终可能会推动有效网络防御的成本超过所保护资产的价值.

现代组织明白，优化生产力并在动态操作环境中保持当前状态需要一种平衡实际成本与收益的资源策略. 总会有一些场景需要本土化, 但是，对于那些希望在不过度投资或不受当地人才库限制的情况下迅速获得专业安全知识的企业来说，积极寻找获得全球人才的途径是一个明智的选择.

对于过度劳累的人来说，防御老练的攻击者已经是一项艰巨的挑战, 而且往往资源不足, 安全团队. 而不是继续犯同样的错误, 通过使用新的人才战略来实现更多的目标, 应对网络安全人才短缺的创新方法.

有问题要问Michael或他的信息安全团队吗? Get in touch.