提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

网络安全专家的需求量很大。面对网络钓鱼、勒索软件和数据泄露等威胁，企业需要其团队中的信息安全人员来帮助保护其网络免受攻击。

虽然有建立和改进网络安全团队的意图，但最近的研究表明，企业在招聘时经常出错，导致难以招聘和留住IT安全人员。

未填补空缺的数量不仅使企业更难保持网络安全，还影响到已经在网络安全团队工作的人员，他们需要尽一切努力维护网络安全，但所需人员仅占一小部分。

请参阅：网络安全制胜战略（ZDNet特别报告）

这会导致工作倦怠，使人们在越来越需要保护远程工作人员的情况下更难完成工作。在某些情况下，工作倦怠意味着人们可以在最需要技能的时候完全离开这个行业。

那么，在雇佣网络安全人员比以往任何时候都更为重要的时候，为什么组织要在劳动力充足的情况下努力填补空缺呢？因为企业往往不了解自己在寻找什么，在招聘时会出现错误。

网络安全以外的招聘广告对该职位有要求，包括经验和资格。人力资源部门正在采用这些模板，并将其应用于信息安全，而信息安全通常不遵循同样严格的资格要求。

在网络安全方面，没有正式的资格证书，就有可能拥有高素质和丰富的经验，但许多试图雇佣安全人员的企业都将资格和证书视为一项要求。

企业信息安全官兼网络安全公共发言人Alyssa Miller，他对该行业的招聘实践进行了广泛的研究，并就此问题发表了TED演讲。她说，她所看到的近四分之三的入门级职位空缺要求获得认证信息系统安全专业人员（CISSP）认证，这需要多年的培训，参加考试要花钱——对于正在寻找行业第一份工作的人来说，这是不现实的。

“在我所看到的假定的入门级职位描述中，71%的人要求CISSP。这不是入门级的，因为你必须有五年的工作经验才能获得CISSP，”Miller说。

在某些情况下，公司会发布招聘广告来填补实习职位，在通常情况下，这可以让人们在在职学习的同时帮助公司。然而，即使涉及到网络安全领域的实习广告，也有一些广告要求应聘者在该领域工作五年。有多年专业经验的人被要求以很少甚至没有报酬的报酬从事工作。

“如果你在网络安全领域有五年的经验，你就不再是实习生了，在这一点上你是一名高级专业人员——你认为你会得到一名五年网络安全经验的实习生报酬吗？不，当然不是，”米勒说。

请看：网络安全就业危机越来越严重，公司在招聘方面犯了基本错误。网络安全涉及到一套特定的技能，人们花时间和精力学习这些技能。该行业的性质意味着，当涉及到技能提升时，许多信息安全专业人士都因为对网络安全的浓厚兴趣而走上了职业道路——有些人自学成才，展示了成功所需的才能，即使他们没有任何特定的证书。

这可能会让人力资源部门感到困惑，因为人力资源部门习惯于根据具有信息安全人员可能不具备的某些资格的应聘者来查看和招聘应聘者。有些人可能在该行业有多年的经验，但如果人力资源部看不到他们认为正确的资格，他们的申请可能会被放弃，尽管他们有实际操作经验。

简而言之，网络安全与之前的其他计算和技术职业一样。”10年前，我们在软件工程方面经历了所有这些，现在网络安全就在这一点上，”Flatiron School的首席执行官兼联合创始人Adam Enbar说，Flatiron School在校园和在线训练营教授软件工程，数据科学和网络安全。

“有些雇主正在招聘，但他们并不知道自己招聘的目的，他们甚至不知道该找什么。”

这不仅仅是期望有经验的专业人士工作报酬很少或没有报酬——有些企业只是对这份工作的要求抱有不切实际的期望。除了要求认证外，招聘广告要求在只存在几年的学科中获得长期经验的情况并不少见。

“工作描述必须变得更好。他们需要专注于正确的事情——当库伯内特斯只存在了六年的时候，他们不能要求库伯内特斯有10年的经验。“有很多这样的工作描述的例子，它们会做这样愚蠢的事情，”米勒说。

然后是时间的问题。一些公司在重大网络安全事件发生后，或因为担心成为大规模数据泄露、勒索活动或其他网络攻击的下一个受害者，将继续大规模招聘。在这种情况下，招聘公司希望从在安全运营中心（SOC）有多年经验的网络安全专业人员那里获得即时的结果。

“大多数帖子都是为有五年工作经验的人写的到10年的工作经验。之所以会出现这种情况，是因为当雇主面临危机时，他们往往开始投资并投入时间雇佣网络安全专业人员——在这一点上，你不需要经验最少的人，你需要有经验的人来快速清理，”Cyber Pop-up的创始人兼首席执行官Christine Izuakor说，提供点播网络安全服务的公司，Udacity的网络安全讲师。

一个比在事件发生后试图惊慌失措地雇佣网络安全人员更好的策略是，从一开始就让他们成为员工——这些人对公司非常了解，能够帮助防止事件发生，或者在出现问题时能够以正确的方式作出反应。

“解决方案是让组织更积极主动地寻找这些人来组建网络安全团队，而不是仅仅等待网络攻击或其他安全危机发生。通过这样做，员工有时间学习并成长为角色，”Izuakor说。

这将需要改变对招聘的态度。公司不能指望有经验的网络安全专业人士从无到有，接受以入门级工资工作。企业需要承认，他们必须在职业生涯一开始就开始招聘员工。虽然他们的经验可能较少，但他们可以在工作中学习，如果得到照顾，可以成为一项积极的投资——即使他们一开始没有任何技术资格。

请参阅：网络安全：让我们掌握战术（ZDNet特备功能）

在她的TED演讲中，米勒解释了像咖啡师这样的人如何具备在网络安全职业中茁壮成长的必要技能。他们可以同时做很多不同的事情，比如煮咖啡和端咖啡，那么怎么说他们不能把这些经验用在安全分析师的角色上呢？

“我正在寻找一个真正擅长接受这些多重输入的人，比如咖啡师——他们可以接受来自他们的无数东西，并将其综合到任务中，然后对这些任务进行优先级排序和执行。这就是我要求SOC分析师做的，”她说。

通过这种方式扩大对网络安全人员的搜索，组织有更好的机会使员工队伍多样化，这可以通过将不同的观点和考虑带入会议室来帮助改善每个人的网络安全，以及能够更好地应对新的威胁和问题。

“组织需要考虑招募来自不同背景、能够适应不断增长的威胁和新挑战的个人。一支多才多艺的员工队伍将有助于应对任何网络威胁，并使当前的网络能力日趋成熟，”伊祖阿科尔说，他补充说，投资培训这些员工也是关键。

“由于技术的发展速度，人才的不断发展至关重要。通过实施强有力的培训和提高技能计划，个人有机会在自己的职业生涯中学习和进步，而组织可以通过培养内部人才在行业日益激烈的竞争中领先。”

网络安全是现代商业的重要组成部分，因此，企业应该投资雇佣合适的人。要求五年的入门级工作经验是行不通的，在一个以非传统方式加入而闻名的行业，要求特定资格的勾选练习也是行不通的，在这个行业，新的威胁意味着总是需要新的技能组合。

在这种情况下，当涉及到网络安全招聘时，企业需要提前考虑。招聘并不仅仅是为了在事故发生后修补问题——它是经营企业的一个重要组成部分，应该如此对待。这就是为什么雇佣合适的人并尊重和关心他们是必要的。弄错了，你现有的网络安全团队可能会筋疲力尽，然后离开——而唯一能从中受益的人是网络罪犯。

勒索软件：这一业余攻击显示了无知的罪犯是如何试图参与行动的。

这一勒索软件又采用了新技术，使攻击更加有效

关键物联网安全摄像头漏洞允许攻击者远程观看实时视频并访问网络

勒索软件是一个巨大的网络安全问题：为什么以及需要做什么来阻止它？

通过注册，您同意使用条款并确认隐私政策中概述的数据实践。

您还将免费订阅ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS公司系列的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:41