但持續的技能短缺以及遇到許多沒有大學學位卻極具才華的安全專業人員,正促使一些CISO重新考慮他們的招聘策略,傾向于采用基于技能的方法來填補網絡安全崗位。
Jon France說,這是專業人員招聘方式的一次重大轉變。2022年初,當他成為國際信息系統安全認證聯盟(ISC²)的CISO時,接手了一個安全團隊,其成員中既有擁有大學學位的員工,也有沒有大學學位的員工。
France發現,這種人才組合產生了寶貴的經驗和技能范圍。為了在此基礎上進一步發展,France決定在他的部門取消對大學學位的工作要求,并取消了一些職位的認證要求。
“以前,我們用大學學位作為質量的指標,但現在我們接受更多質量指標,不僅僅是一個學位。因為雖然學位是一個指標,但它不是唯一的指標,而且可以說,它也不是最好的指標。”France說。
在France的領導下,ISC²的安全部門尋找能夠解決問題、展現出良好溝通能力的候選人,并且要有好奇心,它還要求候選人證明自己能夠勝任如果他們獲得這份工作將要執行的具體技術任務。
“這些是我會在一個人身上尋找的東西,而不是學位,甚至是認證。”France補充道。
基于技能的招聘:努力付出,結果喜憂參半
幾十年來,安全主管一直將目光投向擁有大學學位的求職者。
但持續的技能短缺以及遇到許多沒有大學學位卻極具才華的安全專業人員,正促使一些CISO重新考慮他們的招聘策略,傾向于采用基于技能的方法來填補網絡安全崗位。
France是實施基于技能的招聘這一日益壯大的運動的一部分,顧名思義,這種方法向能夠證明自己具備完成工作所需技能的候選人提供工作機會,而不考慮其教育背景或經驗。
和其他人一樣,France認為,以技能為先的重點是將不同的才能匯聚在一起,從而打造一個團結一致、高效運作的團隊的最佳方式。他還認識到,許多有才華的工人沒有學位,他們選擇了軍事服役或其他機會,然后才尋求網絡安全領域的職業。此外,他還知道,現有的網絡安全專業人員遠遠不夠填補空缺職位。
但要想成功實現基于技能的招聘,需要做的工作遠不止是從招聘廣告中刪除“需要學位”的字眼。事實上,許多企業在這一嘗試中失敗了。
根據Burning Glass Institute和哈佛商學院2024年的一份報告,基于技能的招聘正在獲得動力,但“盡管其備受吹捧”,報告作者寫道,“去年,由基于技能的招聘帶來的機會增加甚至都不及700個招聘中的1個”。
作為報告研究對象的一部分,約有45%的組織只是在名義上實施了基于技能的招聘,在招聘和篩選人才方面沒有做出任何實質性改變,另外約20%的組織在向基于技能的方法邁進方面取得了進展,但這些努力沒有持續下去,盡管短期內有所收獲。
“成功采用基于技能的招聘,涉及的不只是從招聘廣告中刪除語言,”根據該報告。“為了按技能招聘,公司將需要在其招聘實踐中做出有力而刻意的改變——而改變是艱難的。”
“以不同方式招聘”
France和ISC²屬于那37%的領導者和組織,他們付出了努力,使基于技能的招聘成為一種有效的策略,而不僅僅是一個空洞的承諾。
為了改善招聘結果,France與人力資源團隊合作,審查空缺職位的工作描述,然后根據組織的當前需求定制這些描述,詳細說明該職位在填補后將處理的任務以及完成這些任務所需的技能。
在某些情況下,France會在招聘廣告中首先列出非技術技能和屬性,如“必須能夠解決復雜問題”。“在這種情況下,我們更傾向于基于特質的東西,而不是硬性技能。”他說。
這種工作有助于招聘團隊了解如何評估簡歷,而不必回退到將學位作為所需能力的默認指標,他解釋道。
他還調整了面試流程,讓候選人通過模擬場景來測試其技術、個人和智力技能。
“你測試一個人的多個方面。”他說。
France說,這些舉措并不妨礙他詢問候選人的教育背景,這也不妨礙他為某些職位要求認證。France和其他人一樣認為,認證可以表明特定的技能和才能——通常比學位更能說明問題。
事實上,France還要求一些新入職人員在被錄用后在指定的時間段內獲得特定的認證,他認為這可以表明新入職人員有學習和進步的意愿和能力。
他說,所有這些都有助于他“以不同方式招聘”。
“通過這樣做,我獲得了以前得不到的候選人,而且我還獲得了一個更優秀的候選人群體,這給了我真正的多樣性,而這種多樣性為你提供了最佳的候選人群體,”他補充道。
“匹配需要完成的工作”
基于技能的招聘的原則確實有一種“舊瓶裝新酒”的味道,因為雇主們一直都在尋找具備可證明技能的工人。此外,技術界長期以來一直不乏沒有大學學位卻成就斐然的專業人士。
盡管如此,越來越多的雇主正在做出改變,通過在招聘廣告和評估中強調技能,許多雇主正在改進招聘流程。根據LinkedIn的《2025年招聘未來報告》,“使用基于技能搜索的公司,招聘到優質員工的可能性高出12%”。
網絡安全解決方案公司CyberSN的創始人兼CEO Deidre Diamond發現確實如此。
Diamond在她的員工配置解決方案公司采用了技能為先的方法,該公司提供全職長期雇員,并使用由其公司創建的分類法來編寫候選人要求,以“反映一個人日復一日將要做的工作”。
這有助于她的團隊和他們的客戶摒棄模糊的職位名稱,如安全工程師,以及相應的模糊職位描述——這兩者都可能迫使招聘經理回退到尋找擁有相關學位作為專業能力標志的候選人。
除了尋找擁有備受推崇的認證、能夠證明他們具備所需技能的候選人外,Diamond還使用書面和口頭測試來確定候選人,特別是那些新入行者,是否具備所發布職位所需的技能。
“這都是關于將需要完成的工作與候選人最近所做的工作相匹配,”Diamond解釋道,她還是促進網絡安全領域多樣性的非營利組織Cyversity的董事會成員。
沉浸式網絡安全培訓和演練平臺公司Immersive的高管們同樣在采用基于技能的方法招聘網絡安全人才方面取得了不錯的成績,同時克服了沿途遇到的挑戰。
該公司不強制要求學位或認證,而是根據能力評估候選人,Immersive的復原力高級總監Dan Potter說。
該公司使用自己的平臺進行招聘,讓一些網絡安全職位的候選人通過學習特定內容來晉級。該公司會考慮每位候選人的表現,包括他們解決問題的準確性和處理時間,以確定“那些能夠迅速但明智地做出決策的人”,Potter說。
參加面試的候選人將面臨挑戰,以評估他們的問題解決和協作能力,他補充道。
“網絡安全領域節奏很快,每天都會遇到新的挑戰,所以我們想知道[候選人]是否有動力,是否有解決問題的心態。”他說。
與ISC²的France一樣,Potter說,要想在這種方法上取得成功,就意味著要與人力資源部門合作,部分原因是確保薪酬體系不會因為員工有無學位而厚此薄彼。他還說,這還需要改變企業典型的思維定式,即學位自動意味著能力。
Immersive的流程已經招聘到了可能在傳統招聘環境中不夠突出但仍是寶貴員工的候選人,Potter說。
“這些人可能在簡歷上看起來不那么出色,但他們正展現出他們在自己擅長的事情上很優秀。”他補充道。
企業網D1net(m.hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號