有些資安長正大刀闊斧地重塑他們的人員配置計劃以因應招募、聘用以及留任網路安全人員,而且這些策略已經在行動中取得成功。
文/Mary K. Pratt‧譯/高忠義
齊昂銀行(Zions Bancorporation)的資安長 Dave Stirling 不會坐等人才庫有什麼大變化,或者人力市場出現什麼大轉變而能解決網路安全人才的空缺。相反的,他創造自己的命運。怎麼做呢?藉著改變自己的招募策略,「嘗試不同的做法,看看哪種辦法能奏效。」
透過那樣的辦法,Stirling 從銀行的 IT 與營運人才中尋找適當的人,讓他們與本地的同事共事,投資更多在教育訓練上,並重新思考張貼職缺資訊的方法。他承認即使做了這些事,甚至是一次全做,也不見得總是能解決尋找、招募並留用員工時各種廣為人知的挑戰。然而,他提到他們正在一步步地改善招募並留任不易找到的網路安全人才的能力。
[ 參與 CIO Taiwan 年度盛事 2023 CIO 大調查,就從填寫問卷開始!(survey.cio.com.tw) ]
鑒於網路安全專業人才的空缺,那是頗能激勵人的趨勢。專業治理協會 ISACA 在其 2022 網路安全現況調查:工作力投入、資源與網路營運全球最新情勢(State of Cybersecurity 2022: Global Update on Workforce Efforts, Resources and Cyberoperations)報告中對面臨的挑戰進行作了如下的數據說明。根據它對 2,000 位以上的網路安全專業人士進行的訪調,有 63% 表示網路安全職缺無法填滿(比 2021 年的情況上升了八個百分點),而有 62% 表示他們的網路安全團隊現員不齊全。在此同時,有 20% 表示需要六個月以上的時間才能為空缺找到合格的網路安全應徵者,而有 60% 回報在留用合格的網路安全專業人士上遇到了困難(比 2021 年的情況上升了七個百分點)。
在此同時,網路安全主管表示他們不只需要填補既有的職缺,也需要增加員額,因為組織內受攻擊的範圍愈來愈大,而攻擊的行動也愈來愈多,愈來愈複雜。那樣的變動情勢刺激 Stirling 必須有得當的因應,也刺激其他人嘗試新的戰略。
他們表示已獲得一些成就。「我們必須銳意改變尋找人力資源的方式以及建立安全團隊的方式,」安全軟體製造商 Netskope 資安長 Lamont Orange 這麼說。
以下是 Stirling,Orange 與其他人用來找尋並留用網路安全人才的四項策略:
一、將安全職務說明寫得更完善
Jonathan Fowler 同樣採取步驟以因應他在科技公司 Consilio 擔任資安長時招募員工所遇到的挑戰。他的策略之一就是改善他用來招募人才的職未說明。他說,他發現他的公司用來找人補缺的職務說明書描述理想的人選應該有什麼,以及他們要執行什麼樣的任務。他說,那通常是個冗長而不切實際的清單。所以他跟他的團隊改寫了敘述的內容,建立適當的職務說明書以描述「一個很棒的員工每天確實做些什麼。」
「真正的重點在於設定水準。那就好像說,『我需要什麼?我需要完成什麼樣的絕對基本工作』,然後由此出發,」Fowler 這麼說,並補充說明,這項新方法「帶進了以前可能因為從來都沒做過 [說明書上列出的] 一兩樣工作而未曾應徵的人。」
Stirling 也重寫了職務說明書作為因應招募人員時面臨的挑戰的多重策略之一部分。幾年前,他跟經理人團隊開始審視職務說明書以調整得更加準確。換句話說,如同他所說的「濃縮精練,去蕪存菁。」
Stirling 表示,他在這個過程中瞭解到職務說明書通常描述的是最近曾擔任那種工作的人。那表示,尤其對那些突然產生空缺的工作,那樣的職務說明書對於那份工作需要做的事設定過高。實務上期待來應徵的人選是那些先前有類似工作經驗的人,而 Stirling 發現這種做法會妨礙吸引更多元多樣的人才。
Stirling 表示為了利用研究成果以建立最佳的招募實務,他與他的經理人團隊刪除了多餘的要求,並盡力改寫以鼓勵有能力的人員在應徵過程中挺身而出。舉例來說,Stirling 與他的團隊使用「促進」而非「執行」,並使用「分工合作與溝通協調」來取代暗示指揮與控制的字眼,Stirling 表示這樣的改變更妥善地反應他的安全部門的需求,而同時也能吸引更多人才。
「當我們做到這些時,那真的是很大的改變,而我們發現找到了以前可能根本不會應徵的人,」他如此補充。
二、讓安全人才庫有更多樣的人才
有些資安長甚至更進一步:他們重新審視希望候選人具備什麼資格條件,並且做出改變,甚至刪減一些傳統網路安全職位開列的資格條件。
HP 的資安長 Joanna Burkey 就這樣做。她在領英網站上的貼文公開她的行動,她宣布「我拿掉學位的要求。」她這麼寫:「我瞭解在招募網路人才上我們需要更有彈性。我們需要各種經驗層級的人才,也需要更多元的人才庫可以納入來自其他產業的人,過去尚未服務過的人、沒有傳統學歷的人,以及有可移轉技能而有興趣未來在職涯上經歷改變的人。」
Burkey 並不只是拿掉學位要求;她說她也「開放、接受、甚至鼓勵過往經驗不是網路專業的人。」她說,這樣的改變已幫助她擴展人才庫,而吸引到有各種教育背景,但不見得是學位的人、退伍軍人以有多年在職現場經驗的工作者。
Burkey 強調,她在招募員工政策上所做的決策並未拉低標準。事實上,他們的結果恰好相反,並解釋了那樣的改變藉由確保獲得有多樣化經驗與思維而完全互補的合格人才,而協助她降低組織的風險,並獲得最大的彈性。舉例來說,她提到需要瞭解業務策略、財務與營運(可以訓練以掌握安全事務)的員工,以利找出需要關注的弱點,並更妥善地配合功能目標調整安全策略。「他們帶來有關我們需要保護的領域的知識,」她如此補充。
三、建立更強大的安全人才系列
非營利性組織美國大哥大姐會(Big Brothers Big Sisters of America)的技術長兼安全長 Travis Gibson 採用了類似的方法。他提到自己重新思考在各種角色上究竟需要多少經驗,以及是不是所有職位都需要大學學歷。如同他說的「對初階人員要求最少兩年經驗是沒有道理的。」
這種思維模式讓 Gibson 可以將其組織的 IT人力看作是一系列的安全梯隊。「他們大部分人的職涯都是接近安全事務的」,他如此說,並補充表示許多 IT 工作者都有興趣轉換到安全領域。
Gibson 承認 IT人才確實不好找。但他說統計數據顯示招募 IT 員工不像招募安全專家那樣困難。他也提到像他自己那樣的安全主管必須與 IT 主管維持良好的關係,並且相互協調合作,這樣從 IT 那裡尋找適合的安全人員才不會看起像是偷挖角。
而且,他提到除了從 IT 那裡尋找人才之外,也因為刪減了一些經驗與學歷要求,而需要投入更多的訓練並承諾給予新員工職涯發展的機會。對於那部分,Gibson 提到他跟他的經理人找到適合的人選之候就一起擬定訓練計畫,以利那些員工順利地轉入安全領域。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球CIO同步獲取精華見解 ]
Gibson 表示他在過去幾年之內用這樣的策略填補了他的安全團隊中大約 20% 的空缺。這樣的策略也讓他可以比到人力市場中找人更快地填上職缺。「而且,你最後可以在團隊內建立跨領域的技能,」他如此補充。
.其他的安全主管也同樣地正尋求各種方法以建立更好的安全人才梯隊。舉例來說,專業服務廠商德勤會計師事務所正與 Flatiron School 合作培育新的網路安全專業人才。「我們正努力創造一種新的供應—網路新人才,」德勤的美國網路與策略風險主管 Deborah Golden 這麼說。
應徵者會申請參加德勤的網路職涯加速器,該公司支應 9 至 12 週的網路安全訓練計畫費用。截至目前為止,德勤已經透過訓練計畫招募了三位同事。Golden 表示公司提供那些同事公司裡「大部分的」職位。「而在那些人當中,我們有 99% 的合格率」。
Netskope 的資安長 Orange 也致力於透過在職訓練以及地區大專院校的提案來增加安全人才系列梯隊。舉例來說,他跟他的團隊與一群專家合作找出適當的人員到 Netskope 實習,然後選修整學期的學分班,以提供他們實驗性的網路安全訓練。
Orange 也提倡師徒制以及職場體驗。他提供同仁真實情境個案研究類型的安全課程以確保更多的學員在結業之後能做好準備投入網路安全工作。
四、改善職場環境
將人才帶進來只完成一半的事,還要能留住安全人員,而它的挑戰性一樣很大。Info-Tech Research Group 在 2022 年安全優先工作報告(2022 Security Priorities Report)中詢問安全主管與 IT 主管提出他們認為 2022 年最重要的安全工作,以及在安全工作上要獲得成功的主要障礙。在這兩個榜單中,人才都是排最前面的。約有 30% 受訪者認為招募並留用人才是最優先工作,而也因此這在總排名中排名最前(勝過保護企業對抗勒贖軟體,以及確保安全的遠端工作環境)。約有 31% 提到招募的限制是最主要的障礙。
Info-Tech 的安全與隱私實務首席研究總監 Isabelle Hertanto 提到,資安長應該儘早而頻繁地接觸他們的業務同仁,讓他們能夠預測需要什麼樣的安全能力,以及如何以最好的方法找到那樣的人才。如同她所解釋的,這樣的策略方法讓資安長可以挑選最能補充他們內部團隊的外包夥伴。
「關鍵在於思考如何讓 [託管專業服務供應商] 輔助你目前的團隊,以降低損耗內部團隊的風險,」Hertanto 這麼說。舉例來說,託管專業服務供應商可以挑選內部團隊認為無趣或干擾注意力的日常工作來做。那會讓員工有更多時間投入在高價值而需要專注的工作,也會有更多時間學習新的、更先進的安全技能。
多個安全主管也呼應那樣的觀點。他們表示,提供一個好的職場,讓安全團隊有適當水準的挑戰性工作,但又不會長期給予過度艱巨的工作,這在人才留用上是至為關鍵的。「人們會離職是因為他們無法跟公司適配,或者因為他們被忽視了,」CyberSN 創辦人兼執行長 Deidre Diamond 這麼說,而該組織為網路安全專業人士提供研究與職務介紹的服務。
Diamond 表示,為了對應那樣的情況,她建議資安長們必須重行組織他們的團隊讓經理人有餘裕可以真正管理他們的團隊,也就是說,他們有時間提供回饋意見、建議並訓練。她說她也建議資安長們必須為每一個職位安排實際的工作量。「那表示每個人一份工作,而不是像現在的做法那樣一個人兩份工作,」她這麼說,並承認那是很難的事,但為了避免過勞而逼得員工離職,那是極為關鍵的。
(本文授權非營利轉載,請註明出處:CIO Taiwan)