弥合网络安全人才差距:挑战与机遇
我们如何保护我们的数据比以往任何时候都更重要。针对高价值实体的攻击,包括大企业和联邦政府机构,经常成为头条新闻。学校也越来越成为目标。就在上个月,联邦调查局、CISA 和 MS-ISAC 联合发布了关于对教育机构的攻击的警告。
到 2025 年,网络犯罪造成的损失预计每年将给世界造成 10.5 万亿美元的损失,而到 2022 年,网络安全支出预计将超过 1700 亿美元。然而,除了购买技术来对抗威胁之外,我们还需要能够有效部署这些工具的人才。
问题是,我们没有足够的网络人才。据估计,全球范围内有 310 万网络安全人员短缺。
这个问题使得网络安全成为投资者越来越感兴趣的话题,尤其是那些专注于工作未来和帮助人们重新技能化以从事新职业的人。网络安全是一个有吸引力的就业行业,提供向上流动的途径和长期的工作稳定性,据报道失业率为零,在美国的平均工资接近 90,000 美元。
有了这些数据,人们可能希望该行业能吸引更多人。那么,为什么网络人才的供应和需求之间仍然存在如此巨大的差距呢?
答案涉及一系列复杂的问题。其中包括:尽管有标准化词汇的倡议,如 NICE 框架,但缺乏用于描述技能、角色和职责的通用语言。此外,大量的必需认证、技能和经验使得进入该行业变得困难。因此,准员工很难找到立足点,而雇主也很难找到人才(事实上,有许多感兴趣且合格的候选人)。
那么,要弥合人才差距并培养急需的网络劳动力,需要做些什么呢?
在网络领域获得聘用的要素
Burning Glass(我们 Rethink Education 投资组合公司之一)编制了关于网络安全行业招聘趋势的详细数据。目前,获得一份工作需要具备学位、认证和工作经验的三重奏——这是一个相当高的门槛,为职业道路创造了结构性障碍。
88% 的网络安全职位发布要求至少拥有学士学位。正如一位首席信息安全官 (CISO) 所说:网络安全是一份“混合工作”,不仅需要技术和领域知识,还需要了解业务中的人为因素。与大多数一般的 IT 角色相比,这些工作需要更多“软”或“权力”技能:批判性思维和解决问题、了解如何先发制人地应对威胁、在不同团队之间有效沟通以及项目管理。
CISO 优先招聘这些技能而不是技术技能,因为这些技能更难培训,因此倾向于根据学位来招聘,以此作为这些“无形”素质的信号。
认证是网络安全职业生涯的关键组成部分,但许多人认为,某些认证实际上“在找工作方面比做工作更有用”。从历史上看,雇主在职位发布中过分强调认证,造成了劳动力市场效率低下。要求认证的职位发布数量多于获得认证的人数。
一位 CISO 曾向我描述过,由于缺乏用于描述所需技能和角色的通用词汇,该行业的技术团队成员通常很难与招聘经理沟通他们确切需要招聘哪些技能。因此,认证已成为一种标准方式,用于根据 HR 申请人跟踪系统中的关键词筛选和过滤候选人。
实际上,工作可能只需要选择性技能,而不是整个认证。虽然获得证书对求职者的市场竞争力和职业发展非常有帮助,并且可以帮助他们入门,但对于大多数招聘经理来说,这并不能替代胜任力。
这是一个经典的先有鸡还是先有蛋的问题。网络招聘经理非常重视工作经验,85% 的网络安全职位发布要求至少有三年的工作经验。但是,人们最初是如何获得任何经验的呢?
目前,一个常见的途径通常始于一般的“网络相关”IT 工作,然后过渡到更“网络核心”的角色。但这需要很长时间,而且不必如此。
Edtech 的作用
如今有许多网络训练营。下一步是将该模型重新构想为学徒制或工作整合学习模型。除了传统训练营传授的技术技能外,这些项目还应为学生提供在真实世界项目中工作的机会,培养他们在跨团队合作中的软技能,并更好地了解成为一名网络专业人士意味着什么。(入职第一天并不涉及超级黑客技术!)。
该模型可以提供工作经验和认证,并通过允许雇主观察(并帮助培训)潜在员工的技能来帮助克服学位障碍。他们还可以帮助职业导航:网络角色在不断发展,而且难以驾驭,这可能会让新进入者望而生畏。
最终,我们需要更多与雇主需求更好地协调并侧重于实际就业的解决方案。已经有 edtech 创业公司围绕工作整合学习模型进行创新(不特定于网络),这些模型与雇主和高等教育机构紧密合作,包括 Forage、Paragon One、Parker Dewey 和 WhiteHat。
基于技能的评估工具可以帮助雇主更好地识别网络人才,而无需过度依赖认证。虽然已经有一些基于绩效的测试(即虚拟战场模拟器),通常由军队开发,但在这个领域几乎没有商业参与者,尤其是不昂贵的、企业可以购买和采用的产品。
我们投资组合公司之一,Correlation One,开发了一种适用于数据科学的解决方案,可以应用于网络安全。在这个模型中,候选人参加数据科学黑客马拉松挑战赛,通过分析真实的公共和私有数据集,解决从医疗保健到收入不平等问题的开放性问题。这种比赛形式允许候选人通过相关的、真实世界的任务展示他们的数据技能和独创性的全部程度,并允许雇主通过演示进行评估,并根据绩效而不是传统的凭据进行招聘。
雇主已经使用了这种解决方案,因为它不仅难以衡量出色的数据科学人才,而且难以找到发现不符合传统标准的多样化候选人的方法。将类似的模型应用于网络安全将会很有趣。在类似于视频游戏的网络范围内环境中,候选人可以组队竞争,并向雇主展示他们如何利用自己的技能、批判性思维、团队合作和创造力来解决现实生活中的场景。从候选人在比赛中的过程和结果中收集的数据,然后可以为基于技能的评估引擎提供信息,以衡量一个人的能力,而不论其学位或凭据如何。(事实证明,游戏玩家是优秀的网络候选人,因此基于游戏的模拟也可以帮助年轻的学习者更早地以有趣的方式接触网络职业。)
需要指出的是,美国有关于招聘评估的规定。它们可以是招聘过程的一个方面,但不能成为招聘的唯一原因,并且应该进行有效性测试,以证明对任何人群没有不利影响。
大学学位通常被认为是拥有软技能或权力技能的信号。但这不一定是真的,而且这种要求通常会带来昂贵的障碍。
然而,目前缺乏广泛评估软技能的廉价有效的解决方案,不仅是在网络领域。
一种潜在的解决方案可能基于另一家投资组合公司 Imbellus(最近被 Roblox 收购),该公司开发了一种复杂的工具,可以帮助衡量一个人的思维方式。通过麦肯锡采用的基于游戏的评估,候选人进入自然世界中的虚拟模拟,在那里解决一个问题,例如保护本地植物免受入侵物种的侵害。该技术不仅可以衡量候选人得出的解决方案,还可以通过跟踪行动、鼠标移动和解决挑战所花费的时间来衡量他们得出解决方案的过程。通过这种方式,Imbellus 可以衡量与 CISO 感兴趣的权力技能相关的 21 世纪关键技能,例如解决问题、批判性思考、管理模糊性和适应性。
培养,而不是购买网络人才。在高需求市场中聘用一名优秀候选人既困难又昂贵。对于大型雇主来说,更好的解决方案可能是在内部建立能力。Burning Glass 和 EMSI 都提倡这种策略,并确定哪些职业领域可以很好地过渡到网络安全角色。
行业需要的是一个人才平台,该平台可以跟踪员工的技能,识别可以很好地过渡到网络安全角色的候选人,绘制他们需要哪些额外技能的地图,并提供有针对性的培训以帮助他们实现目标。包括 Faethm 和 SkyHive 在内的工作人员规划平台,或具有技能分析功能的学习平台(例如我们的投资组合公司 Degreed),有可能为企业公司提供推荐的教育内容组合,旨在识别和内部培养人才。
在网络安全领域导航职业道路也可能很棘手,许多学习者对大量认证机构和可供选择的认证选项感到困惑。但是,CyberSeek 和 My Cyber Path 等举措带来了希望,这些举措已开始概述职业道路,以便寻求进入网络劳动力队伍的候选人不再感到畏惧。
随着我们的数字经济发展,网络安全在未来几年只会变得越来越重要。疫情加速了这一需求,随着我们使用新的数字工具来支持远程工作和学习,我们面临的网络风险也随之增加。为了跟上不断出现的新兴网络威胁的步伐,我们必须投资于能够帮助克服该行业高壁垒的解决方案,以培养和发展我们的网络人才,并确保我们的学校、企业和政府的未来安全。