尊敬的莱斯利:,
对于组织如何鼓励更多元化的候选人库来担任高级和专业的信息安全职位,你有什么建议吗?我们位于一个中等规模的城市,我们希望能更好地接触到各种各样的候选人。
谢谢,
今天招聘
亲爱的今日招聘:,
你想这样做,这是很值得称赞的。我甚至不会发表或批准巨魔对你总体目标的评论。不同的背景可以建立更好的安全性和更好的技术。
脑海中浮现出两个想法。首先,我看不到你的帖子。要接触到不同的应聘者,一个简单的策略是确保你的帖子能够被广泛的招聘网络和行业团体所接受。这意味着传统的网络,如求职网站、社交媒体、专业和学术团体以及会议招聘渠道。
为了让一份工作吸引更多的人,试着消除守门人、人为的障碍,例如在办公室工作、严格的工作时间、公开会议或代码贡献的组合,以及作为硬工作要求的特定学位或证书。这些都不是成为一个优秀且知识渊博的infosec人员所必需的。如果你把它们当作提高绩效的拐杖,我建议看看你的面试技巧或管理技术。确保你的语言清晰、简洁,没有性别语言或亚文化噱头,不会正确翻译给每个候选人。试着想想三个与你背景、爱好和兴趣迥异的朋友或家人,考虑一下这篇帖子是否会吸引他们或使他们困惑。
我的第二个想法更复杂。我们没完没了地谈论“网络安全技能短缺”及其真正含义。总的来说,实际培训业内人士的共识往往是大量在初级infosec用户中,他们渴望进入该领域或晋升,但公司一直只雇佣高级和技术极其专业的角色。在这些高级职位中,缺乏专家。因此,专家们鼓吹没有人可以雇佣,而实际上他们应该只是培训和提拔优秀的初级人才。
当然,说起来容易做起来难。从头开始培训infosec人员需要投入大量的时间和金钱。也很有可能,当他们成为高级职员时,这个人最终会去做一份新工作。因此,对于领导者来说,进行投资似乎毫无意义。这显然是近视因为多家公司整体上培养了更多的人才,这意味着整个行业有更广泛的候选人库。看到全局的公司仍然太少。规模较小、资源较少的组织可能根本无法做到这一点。
这是一个不幸的事实——让我们把恶意软件反转看作一个不科学的例子。当我在LinkedIn上搜索芝加哥的GREM时,我得到了大约50个结果。我是其中之一,我个人知道大约20人。在我能看到的个人资料中,有4份是以女性身份出现的,包括我。如果你希望在当地雇用一名女性作为恶意软件分析师,并且你要求GREM作为工作要求的一部分,你的人才库大约有4个人。我甚至没有把那份工作作为我的全职工作。你提出了一个非常严格的工作要求,并把它放到了一个已经很小的高级人才库中。
然而,相反,有许多优秀的初级少数民族候选人愿意学会倒车。也许他们只是还没有机会学习几门相关课程并获得认证。也许他们买不起软件或工具的许可证。公司理所当然地认为这些东西对个人来说往往贵得令人望而却步。你可以让学生成为SOC分析师,让SOC分析师成为恶意软件分析师,从而帮助扩大网络安全人才库。它有好处每个人无论是在技能上还是在经济上。
综上所述,我的建议是双重的。首先,考虑一下你是否在工作公告中人为地把关,并淘汰了优秀的候选人。其次,考虑到高级人才库;尤其是高级多元化人才——相对来说很小(如果我不高兴地瞥一眼我自己的研究小组,可能有点自相矛盾!)。如果我们真的想从根本上解决技术多样性问题,我们必须咬紧牙关开始真正投资于初级多元化人才不只是口头上说说而已,不只是“指导”,而是把钱放在你的嘴边使人们能够攀登职业阶梯。
祝你好运,
莱斯利
