作者都是各自领域经过审查的专家,并撰写他们有经验的主题. 我们所有的内容都经过同行评审,并由同一领域的Toptal专家验证.
Michael是Toptal的信息安全实践主管. 他持有麻省理工学院(Massachusetts Institute of Technology)大脑和认知科学学士学位,以及乔治华盛顿大学(George Washington University)高科技犯罪调查硕士学位. 加入Toptal之前, Michael曾担任高级网络安全中心的执行董事, 还在这一领域扮演过其他角色, 包括顾问, 首席研究员, 政府官员顾问, 以及首席信息安全官.
以前在
安全主管的生活是重复的. 每年都有新的证据表明,合格的保安人才持续短缺,招聘环境一直供不应求. 在其 2023网络安全工作流程研究ISC2报告称,网络安全人才缺口扩大了12%.专业人才同比增长6%,达到400万人,而可用人才仅增长8%.7%. 作为一名长期的信息安全专业人士,我的整个职业生涯都在这种情况下工作, 我注意到,人才市场的不对称使得充分的安全实践在很大程度上难以实现.
随着 信息安全 Practice Lead at Toptal, 在处理这个问题时,我知道一件事是肯定的:利用弱点是不存在零假设的. 无论我们在“左移”方面多么有效,都要主动实施安全措施, 我们的防御总是落后于攻击者. 这一残酷的事实使得迅速弥补网络安全人才缺口变得更加必要. 要以现代的速度和规模做到这一点,就需要跳出传统招聘的框框,增加全球人才, 按需人才获取能力到您的资源工具箱.
离我上大学还不到五年, 第一次主要的网络攻击是从我最终的母校发起的. 他入侵了麻省理工学院的电脑, 一个年轻的康奈尔学生释放了一种病毒, 的 莫里斯蠕虫1988年11月2日,现代信息安全行业诞生了. 世界顶级计算机专家的集体努力不足以抵御一次单独的攻击. 很少有人知道互联网是如何被滥用来传播恶意代码的. 他们的系统毫无防备.
从那时起, 互联网的指数级扩张和利用它的技术的快速进步始终超过了培养下一代信息安全专业人员的能力.
技术的进步, 比如生成式人工智能(Gen AI), 威胁范围是否在扩大,传统资源策略是否过时, 让招聘经理暴露在外,等待数月才能获得他们需要的专家,以确保新的部署.
然而,其他的进步为解决人才获取难题提供了新的解决方案. 受新冠肺炎疫情推动,远程工作的兴起和接受程度加剧了网络安全人才的短缺. 除了传统的招聘模式,企业现在也开始采用创新的方式来招聘经验丰富的专家.
在Toptal工作期间,我帮助客户采用新的策略来应对人才短缺. 利用这些新的人才获取方法的公司更有能力在不损害安全的情况下加速他们的计划.
以进一步支持您的组织满足当前时刻的能力, 招聘经理和安全负责人应该避免以下常见错误.
我看到客户犯的第一个错误就是把注意力集中在有特定技能的候选人身上,而不是那些有经验潜力的人. 最近的一个例子是, 一家大型生产力软件和云服务公司一周前刚刚发布了一款测试版的人工智能安全助手. 这种方法有很多错误之处, 最关键的是,所需的技能是:
以技能为基础的方法中的这些错误表明,获得的技能可以解决探索性问题的想法存在逻辑缺陷. 技能对于日常任务可能很重要, 比如编写一个安全监控接口, 配置云平台安全特性, 或者管理端点保护工具, 但它们是战术商品,通常不适合被发现.
而不是, 我建议客户将重点放在最能满足其业务目标的先决条件经验上. 在人工智能助手的案例中, 评估竞争产品或将Gen AI解决方案集成到其他业务工作流中的经验将是有价值的. 在类似的操作环境中评估和集成新解决方案的经验将为评估新解决方案建立一个共同的基线.
拥有一个具有专业知识的合作伙伴来评估和验证潜在人才的这些定性特征,可能是领先和落后于竞争对手的区别. 等待特定的人才进入已经严重受限的人才库是在浪费宝贵的时间.
在互联网商业化的早期, 安全专业人员擅长通过采用“黑客”故障排除思维来解决以前无法预见的问题. 然而, 今天商业化的互联网是一个由不同的云平台和软件即服务(SaaS)应用程序组成的景观,这是一个分散的操作环境,需要高度专业化的人才来适当地保护它.
尽管有了这样的进化, 大多数具有传统思想的组织继续通过少数可靠的通才来满足其信息安全需求, 寻求能够支持不断扩大的专业列表的全职人才. 有这种心态的招聘经理通常会犯以下错误之一, 寻找以下候选人:
那些成功地加速了增强的安全控制投资(抵御突发威胁并遵守新的行业法规)的组织,通过一种灵活的方法来满足他们的人才需求,这种方法可以优化实现目标所需的资源, 而不是应该雇佣谁. 实施更有效的资源策略使组织能够比等待招聘的竞争对手更快地应对新出现的威胁. 一旦我的客户转向按需参与模式,在正确的时间识别正确的专家, 他们开始意识到生产力的潜力.
传统组织通常专注于在本地寻找人才. 具体理由各不相同, 但他们倾向于围绕这样一个概念,即实体存在有好处,因为他们的业务是围绕实体存在建立起来的. 有些人可能会认为,构思和白板只有在亲自完成时才有效. 另一些人则认为,面对面的工作可以培养一种社区意识,从而提高工作效率. 还有一些人指出,强大的本地生态系统对于增强网络效应的重要性,从而使所有参与组织受益. 不管这些论点是否有效, 如果不考虑相关成本,我们就无法理性地评估面对面工作的好处. 这些包括:
现代组织明白,优化生产力并在动态操作环境中保持当前状态需要一种平衡实际成本与收益的资源策略. 总会有一些场景需要本土化, 但是,对于那些希望在不过度投资或不受当地人才库限制的情况下迅速获得专业安全知识的企业来说,积极寻找获得全球人才的途径是一个明智的选择.
对于过度劳累的人来说,防御老练的攻击者已经是一项艰巨的挑战, 而且往往资源不足, 安全团队. 而不是继续犯同样的错误, 通过使用新的人才战略来实现更多的目标, 应对网络安全人才短缺的创新方法.
有问题要问Michael或他的信息安全团队吗? 保持联系.