因應網路技能短缺所採取的 5 個步驟
儘管整個產業在吸引新人才方面確實有所進展,但是網路技能短缺的問題在短期之內仍無法解決。根據最新一期的「ISC2 網路安全勞動力研究報告」,雖然我們在過去的一年內有超過 460,000 名新血加入,但增加的人才缺口仍然超過勞動力的兩倍以上。1
根據您手邊的這份研究報告,目前全球大約有 340 萬人或 350 萬的人力短缺2。但我們並不是唯一一個存在人才缺口的產業。以醫療產業為例,全球正面臨著超過 1000 萬名醫師的短缺3。當然,技能短缺確實會帶來一些挑戰。根據 ISACA 的數據,60% 的企業正在努力留住人才,更有 62% 的企業表示他們的團隊正面臨著人才短缺。4
不過幸運的是,身為網路安全產業的一份子,我們仍有機會以整個社群和個別企業的身分來採取行動,以減輕人才短缺帶來的影響。
我們可以採取哪些積極措施?
1.混合招聘方法
就我個人而言,我依然堅決採用傳統的人才招聘方法,也就是找出具有適當教育背景、證照、經驗和資格的人選。但現在要找到這些人就像是找到獨角獸一樣。大部分還是得靠運氣。
若要妥善解決人才短缺的問題,我們必須先拓寬視野。網路安全人才的特質包括對技術感到興趣、具有解決難題的思維方式、對於釐清事物如何運作充滿好奇、非常喜歡透過系統整合來執行非預期用途,然後試著找出方法儘可能以無縫方式來確保安全成果。
我們必須撒更大的網。不過這些人才可能並非出身於傳統的高等教育體系。我們必須找到具有執行能力的人員。但我們還必須確保這些人能夠與團隊進行密切合作並且具有良好的道德規範。一旦投身網路安全性的領域,人們對於善與惡的選擇往往只在一念之間。在將新人帶入我們的社群時,我們必須確保他們了解不可跨越的界線,並堅守嚴格的道德規範。
2.更具多樣性
我們經常聽到關於多樣性的說法。在網路安全領域中,焦點往往集中在性別上。我們確實需要讓更多女性進入這個領域,但是多樣性不僅僅關乎性別。
人們具有各種不同的身分認同,包括他們來自哪裡、他們的文化背景、年齡、宗教和種族。當企業在注入新血時,我們能否辨識出這名新人在文化價值觀和適應方面將會為團隊帶來什麼影響?他們是否會增添不同的文化差異,進而帶來新的想法和觀點?我們可以在哪裡找到他們,以及如何確保他們會接受適當的訓練,特別是那些並非出身於傳統高等教育體系的人員?
3.指導計劃
正式的指導計劃對於我們的產業來說是一個相對較新的概念,對於識別出具有網路安全技能、氣質和道德規範的人才來說,能促成更為正向的發展。產業協會提供另一種機制,可以幫助我們連結和評估個人的技能,社群大學也是如此。
指導計劃不僅僅關乎招募新人,它同時也是連結、培養、訓練和留住人才的一個關鍵因素。作為一名現場技術長,我一直期盼能親自為團隊的新成員提供指導以及協助進行清楚的職涯規劃,並制定特定的願景和目標。人們需要知道他們往後的職業生涯不會只是追蹤警示並執行一些重複且單調的工作而已。這一切都建立強大的社會資本,同時也是緊密相連的紐帶。
4.領導力和文化
在某些方面,網路安全性似乎呈現「狂野西部」的狀態。與其他幾十年甚至幾個世紀前的職業相比,我們的職業 (最多) 只有 30-40 年的歷史。在這種環境下,並不是每個領導階層的人員都擁有位居前線所需具備的技術背景或經驗。
更重要的是,企業的最高領導階層必須具備擁有專業技能以及商業頭腦的人才,並且能夠帶領整個團隊朝著既定的目標前進。所謂的領導者並不是要成為一名網路安全專家,而是要具有欣賞和理解能力,讓您能夠與領域內的專家們進行溝通。在我所見過的選聘小組中,有些負責招募的成員甚至比他們面試的人知道的還少。
5.技術
我們看到人們對技術的高度重視,希望能藉此解決技能挑戰。對於整個產業的現況和未來來說,這都是一個重要的發展。隨著自動化、機器學習和人工智慧 (AI) 的增加,我們可以利用技術來增強及補足我們的人力資源。
我們可以減輕技能短缺造成的影響,不一定是用機器來取代人類,而是用機器釋出我們的人力,轉而從事需要運用人類創意元素、更有趣且更具挑戰性的工作。如果人們能夠專注於對他們來說真正有意義的工作,他們將對我們的產業更感興趣,並更有可能對他們的工作感到滿意。我們更可以藉此開始改變價值主張,同時改變我們對於勞動力的思維方式,然後吸引並留住優秀的網路人才。
整合一切所需
一旦能夠全面解決技能短缺的問題,我們就有更好的機會吸引更多人才加入我們的產業與公司。
這代表著我們必須撒更大的網,捕獲那些具備技能、氣質和道德規範的人才,以成功實現網路安全的目標,即使他們可能不具備我們傳統上所追求的教育背景或資格。此外我們也必須了解,這些新進人員將需要付出更多的心力來提升他們的知識、技能和學習成效以不斷改進。
它還代表著讓我們的產業和工作能吸引不同背景的人員,並提供所有員工適當的工具、訓練和指導,以同時獲致快樂和成功。
當我們投資於自動化、機器學習和 AI 所支援的現代技術,並且透過溝通、文化、指導計劃等各種管道來提供強大的領導力時,我們就能實現這一目標。我的座右銘之一是:招聘具有正確態度的人才,經由訓練加強能力,最後透過指導提升績效。
建立一條能充分解決技能短缺問題的管道確實需要時間。但與此同時,我們還是可以進行非常多的努力,特別是當我們能夠了解優秀的網路人才不僅僅是為了降低風險:更要成為我們企業創新的戰略推動者。
- Cybersecurity Workforce Study, (ISC)2,2022 年 10 月 20 日
- Cybersecurity Workforce Study, (ISC)2,2022 年 10 月 20 日。
- Why is there a global medical recruitment and retention crisis?, 世界經濟論壇,2023 年 1 月 9 日。
- State of Cybersecurity 2022 Report, ISACA,2022 年 3 月 23 日。