病毒入侵测验、事后恢复、安全运营中心内部的事件监控、数据隐私和数据保护，这些都只是雇主所需的一些专业的网络安全技能。但是你也需要有安保供应商，也就是销售方，包括产品开发、产品营销和安全咨询公司。

为了帮助我们更好地了解这个由候选人主导的、人才竞争激烈的市场的细微差别和具体情况，我们对当前与企业信息安全相关的热点话题提炼了看法。

关于网络安全技能短缺

尽管行业基本指标在过去几年内没有改变，但技能差距正在逐步扩大。 2020年时，人们津津乐道于160 万个空缺职位，但现在，预测空缺岗位增加了一倍多，已达到 350 万。如何招聘高端人才成为了雇主最关心的事情。巨大的人才缺口仍然存在，新冠肺炎疫情的加剧和网络犯罪的增加进一步暴露了这一点。相关组织机构并未为远程工作做好充分的准备，而且 WFH 是一个不太安全的环境，数据丢失、外部入侵和企业诈骗风险的可能性更大。这对于安保部门来说是一个巨大的问题。

关于现有人才市场

尽管目前市场存在严重的技能短缺问题，但全球的情况并不统一。在这方面，南欧走在了最前面——包括南欧在内的这些国家是优先考虑安全性这一措施的早期采用者，并且是第一批提供网络安全学科学位的国家。东欧也拥有庞大的人才库以及训练有素的网络专家。作为英联邦的成员，英国能够接触到更大的候选人群，这是它的一个优势。主要问题出在西欧和中欧身上，因此，德国和比荷卢三国公司的人才吸纳速度较慢。

关于提高多样性的必要性

多样性是一个巨大的问题。多年来，IT领域缺乏女性一直是一个热议的话题，网络安全领域也是如此。尽管进入这些行业的女性人数正在逐渐增加，但巨大的性别比例不平衡仍然存在。Jane Frankland是女性网络安全领域最著名的博主之一，她在《危险 – 为什么网络安全领域无法吸引和留住女性会使我们所有人都不那么安全》一书中完美地总结了这一点。女性应当更加自信；这是一个关乎心态和信念的问题，女性也可以在男性主导的行业中取得成功。

关于 CISO 角色的演变

“虽然 CISO [首席信息安全官] 作为信息安全负责人这一角色存在已经有很长一段时间了，但随着时间的推移，CISO已经发生了很大的变化。安装防火墙和防病毒软件的互联网早期阶段已经一去不复返了。现在，网络犯罪分子——互联网的“黑暗面”——正在开发更多复杂的方法来潜入系统、窃取 IP 或破坏个人数据。总体威胁大大增加。相关组织机构可能会遇到的最糟糕的事情是它们的声誉因此受到影响——这是网络安全事件造成的主要损害。当我们开始看到更多的 CISO 直接向 CEO 报告——甚至，在以色列，这是一项法律要求——而不是向 CIO 或 CTO 报告时，我们并不感到惊奇。这一现象已变得越来越普遍。

关于软技能的重要性

网络安全问题或许可以被视为一个业务障碍，但它实际上是一个推动因素，这一事实带来了一定的挑战。这就是为什么你需要成为一名优秀的沟通者，能够用简单的术语解释专业的主题，并让更广泛的企业了解网络安全问题。合作也很关键，因为无论你是自己单干，还是与其他职能部门合作，你始终都在团队中，因此，利益相关者的管理至关重要。可信度、响应能力和道德感对于任何领导者来说都非常重要，他们必须发展、训练和指导他们的团队。无论你在安全领域扮演什么角色，你还必须对终身学习和个人发展充满热情。

关于创建网络安全职业

尽管该行业的大多数人都拥有专业的 IT 背景，但无论是软件工程行业还是单纯的信息行业，这其中并没有所谓的“典型的职业道路”。因此，你得从获取IT学位开始，而后专攻网络安全领域，获得一些领导经验，然后在网络安全审计、咨询等不同领域工作，担任安全运营工作的角色，最后晋升为 CISO。有趣的是，当前的 CISO 已然遵循不同的路线，即使他们在拥有专业技术背景的前提下仍会被转到网络安全领域。这或是一种热情，或是对他们的组织机构的一种帮助。在过去的 18 个月里出现了一个有趣的发展，许多安保供应商正在为其销售部门招聘经验丰富的 CISO，这些CISO被视为思想领袖或传道者。数字化人才招聘的中数字化人才短缺也更大。

关于人工智能和机器学习

人才短缺为人工智能创造了一个缺口，使得人工智能可以在一定程度上增值。例如，它可能会将检测率提高 5%，但仍存在许多误报。因此，人的因素是至关重要的。此外，人工智能工具需要消耗大量的时间和金钱—— IT系统的存储、更新和维护，这也需要人力。另一个危险是，过于依赖人工智能会致使网络犯罪分子更容易渗透系统，因此你仍然需要人工干预——你不能把它留给机器人！

Morgan Philips给招聘经理的 6 个重要建议：

1) 你必须知道你在寻找什么，并且要非常具体——找出你真正的需求是什么。明确人际交往能力的要求是什么，例如，沟通。

2) 确定对你的企业安全最关键的职位。由于人才供应有限，请根据你的要求确定有针对性的优先事项。HR和直接负责的经理必须密切合作以制定招聘计划。

3）不要忽视你的内部人才库。你的公司内部可能有一些非常优秀的 IT 专业人士，他们可以快速提升技能并迅速入职。平均聘用时间约为七个月。

4) 网络安全角色的典型任期是18 个月，因此为了提高留任率，你提供的待遇必须具有竞争力。不要只考虑金钱方面，你还需要提供灵活的工作、培训和个人发展。

5) 避免通用职位描述的陷阱。首先是描述工作目的，然后是工作内容。请记住，将你的组织机构推销给候选人是你的责任，而不是候选人的。

6) 如果依靠外部支持进行招聘，请选择在行业领域内享有盛誉且合适的供应商。

Morgan Philips给候选人的 3个重要建议：

1) 紧跟行业动态。活到老，学到老。

2) 学会灵活变通。好好想想出国就业的宝贵经历。

3) 沟通绝对是至关重要的，所以真的要在这方面努力！