如何擇優招聘及留住網路安全人才？

E安全7月17日訊那些掙扎於網路安全人才危機的公司十分困惑：如何招聘和留住高技能人才。美國系統網路安全研究院（SANS Institute）給出了一些新答案，這至少在政府承包領域有了新見解。

作為一家信息安全培訓提供商和研究信息交流中心，SANS分析了排名前100的政府承包商，並確定了8家在反映戰略與國家研究中心（CSIS）去年制定的指標中的兩項指數中得分最高的公司。

這8家公司均是大型美國國防和情報承包商，被統稱為系統集成商，因為它們通過集成多家廠商的硬體、軟體和服務，以此為美國政府創建IT和其它業務系統。

SANS的分析指出，這8家公司在招聘和留住高技能人才方面取得「顯著成果」，CSIS在報告中將這類人才稱為「網路忍者」。經過其研究報告發現，吸引「網路忍者」的三大主要因素是：

• 僱主提供或資助的技術培訓；

• 在工作中參與並挑戰任務；

• 無需進入管理層就能取得資歷的機會。

CSIS報告作者富蘭克林·里德表示，「網路忍者」是組織機構需要在前線部署的關鍵高技能人才，目前，CSIS正在尋找組織機構具備哪些特點足以吸引「網路忍者」。

認證太多，如何擇優？

招聘、留住這些人才是一門相當複雜的學問，由於網路安全領域有許多認證，「網路忍者」往往持有各種越來越多的認證和某些技術資格，但沒有統一參考標準的資格或證書。

最終，CSIS根據這些證書對網路忍者做了界定與定義。在網路安全領域，職位並不能代表什麼，但CSIS希望為SANS目前所做的事提供基礎，確定最佳工作場所。里德認為，理想狀態下，這將為公司之間吸納最佳網路人才創造 「競爭良性循環」。

SANS根據CSIS的指標編製了兩個指標：

一是衡量員工證書密度的指標；

二是通過基準測試高級培訓的效用性，並將這兩大指標應用到前100家政府技術承包商。

SANS的研究指出，凝聚高技術認證員工具有價值，但並不是凝聚「網路忍者」的完美替代措施。針對每位員工

「高級認證率」（ACR）＝公司員工持有的高級技術網路安全認證數量÷公司的聯邦IT和其它系統集成和工程收入。

「網路安全培訓率」（CTR）＝公司員工參加的加強型網路安全課程數量÷公司的聯邦IT和其它系統集成和工程收入。

為了在工作中增加質的維度，SANS的研究人員採訪了Booz
Allen Hamilton、CACI、CSRA、General Dynamics、Lockheed
Martin、ManTech、Northrop Grumman以及Raytheon這8家公司的「網路忍者」。

里德雖然歡迎SANS的研究，但他對數據過度解釋保留看法，並稱樣本具有一定的篩選性，難以將嚴苛的統計用來判斷具體事項，例如定義最佳工作場所。他認為SANS的研究還未達到科學水平，因此，具有一定的主觀性。

E安全註：本文系E安全獨家約稿，轉載請聯繫授權，並保留出處與鏈接，不得刪減內容。

@E安全，最專業的前沿網路安全媒體和產業服務平台，每日提供優質全球網路安全資訊與深度思考。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！