2023 年 1 月 20 日星期五，谷歌宣布將裁員 12,000 人。亞馬遜和微軟共裁員 28,000 人；據(jù)報(bào)道，推特已經(jīng)失去了 5200 人；Meta（Facebook 等）正在裁員 11,000 人……這只是科技巨頭，根據(jù)定義，幾乎所有尋找新職位的員工都是精通技術(shù)的——其中一些將是網(wǎng)絡(luò)安全專業(yè)人士。

裁員不僅限于科技巨頭。較小的網(wǎng)絡(luò)安全供應(yīng)商公司也受到影響。OneTrust 解雇了 950 名員工（占員工總數(shù)的 25%）；Sophos 已裁員450 人（10%）；花邊(300, 20%)；Cybereason (200, 17%)；OwnBackup (170, 17%)；OneTrust (950, 25%) 等等。

SecurityWeek研究了裁員導(dǎo)致的經(jīng)驗(yàn)豐富的專業(yè)人士涌入求職者市場(chǎng)如何影響或可能影響網(wǎng)絡(luò)安全領(lǐng)域的技能差距和招聘。

技能差距

技能差距是勞動(dòng)力可用技能與雇主所需技能之間的不匹配。隨著新技術(shù)和業(yè)務(wù)轉(zhuǎn)型，所需技能不斷發(fā)展。人們可以學(xué)習(xí)如何使用計(jì)算機(jī)，目前正在裁員的許多員工已經(jīng)這樣做了。但是學(xué)習(xí)如何使用計(jì)算機(jī)比學(xué)習(xí)計(jì)算機(jī)如何工作要容易得多。正是在后一個(gè)領(lǐng)域，技能差距成為網(wǎng)絡(luò)安全的人才缺口。

因此，第一個(gè)觀察結(jié)果是，當(dāng)前的大規(guī)模裁員可能會(huì)略微縮小計(jì)算機(jī)使用水平的技能差距，但可能對(duì)網(wǎng)絡(luò)安全特定人才差距影響不大，因?yàn)榫蜆I(yè)需要了解計(jì)算機(jī)的工作原理。人才缺口太大，這些領(lǐng)域的裁員很可能很容易被新的安全初創(chuàng)公司和擴(kuò)張中的公司吸收。許多涉及網(wǎng)絡(luò)安全裁員的公司幾乎肯定需要在明年或不久之后重新雇用。

Pinpoint Search Group 的管理合伙人兼高管招聘人員 Mark Sasson 對(duì)此表示贊同?！皩?duì)于組織來說，招聘可能會(huì)更容易一些，因?yàn)槟阏趯⒋罅拷?jīng)驗(yàn)涌入市場(chǎng)。但是，我認(rèn)為這不能解決人才缺口問題——它不會(huì)產(chǎn)生中長(zhǎng)期明顯的影響。擁有當(dāng)今組織所需技能的人太少了。因此，人們會(huì)被挖走，我們?nèi)匀粫?huì)遇到同樣的人才缺口情況?！?/p>

網(wǎng)絡(luò)威脅仍在增加，對(duì)網(wǎng)絡(luò)防御者的需求也在增長(zhǎng)。犯罪分子是在招兵買馬，而不是簽約。 

減少網(wǎng)絡(luò)安全人才缺口更有可能取決于雇主態(tài)度的轉(zhuǎn)變，而不是增加被解雇人員的數(shù)量。你幾乎可以說網(wǎng)絡(luò)安全人才缺口是一種自殘：雇主想要經(jīng)驗(yàn)加認(rèn)證再加上新的大學(xué)學(xué)位——這在現(xiàn)實(shí)世界中很少存在。

Hitch Partners 招聘公司的執(zhí)行合伙人兼聯(lián)合創(chuàng)始人 Michael Piacente 持類似觀點(diǎn)。“關(guān)于范圍和目標(biāo)的內(nèi)部定義通常差異很大，導(dǎo)致輪班、時(shí)間延遲，并且經(jīng)常使職位‘無法填補(bǔ)’，”他告訴SecurityWeek?！耙苍S是時(shí)候停止過分關(guān)注簡(jiǎn)歷和職位描述了。我們認(rèn)為這些工具已經(jīng)過時(shí)，而且經(jīng)常被用作拐杖，導(dǎo)致不良習(xí)慣和行為不一致——而且它們對(duì)經(jīng)驗(yàn)不足或多元化的候選人來說非常不公平?！?/p>

他將這一點(diǎn)發(fā)揮到了極致，從未向候選人提供簡(jiǎn)歷?！跋喾矗覀兘⒘艘粋€(gè)關(guān)于候選人的故事板，該故事板是通過多次會(huì)議、互動(dòng)和后臺(tái)渠道創(chuàng)建的，以便專注于候選人的旅程、人物性格元素以及他們與特定角色的匹配和差距?！?nbsp;簡(jiǎn)而言之，與尋求將不切實(shí)際的需求與現(xiàn)有工作庫相匹配相比，重新定義人才差距更有可能縮小人才缺口。

Bugcrowd 首席執(zhí)行官戴夫·格里 (Dave Gerry) 根據(jù)多元化候選人提出了具體建議。他認(rèn)為組織需要對(duì)多樣性池更加開放——包括神經(jīng)多樣性（參見在網(wǎng)絡(luò)安全團(tuán)隊(duì)中利用神經(jīng)多樣性）?！敖M織，”他說，“需要繼續(xù)擴(kuò)大招聘范圍，解決目前網(wǎng)絡(luò)招聘中可能存在的偏見，并通過學(xué)徒制、實(shí)習(xí)和在職培訓(xùn)提供深入培訓(xùn)，以幫助創(chuàng)造下一代網(wǎng)絡(luò)人才。”

然而，即使下崗經(jīng)驗(yàn)的涌入對(duì)技能缺口的宏觀整體或持久影響不大，但它幾乎肯定會(huì)對(duì)網(wǎng)絡(luò)安全人才缺口微觀的招聘產(chǎn)生立竿見影的影響。

網(wǎng)絡(luò)安全招聘

網(wǎng)絡(luò)安全也不能幸免于當(dāng)前一輪的人員裁員——它包括安全領(lǐng)導(dǎo)者和安全工程師。歸根結(jié)底，這是一項(xiàng)削減成本的工作；組織可以通過裁掉一名領(lǐng)導(dǎo)者的職位來節(jié)省與裁掉兩名工程師一樣多的錢。Sasson 解釋說：“組織正在問自己，他們是否可以在讓一個(gè)人離開的情況下幸存下來，但仍能與剩下的團(tuán)隊(duì)一起完成工作?！?nbsp;“如果答案是肯定的，甚至是可能的，他們就會(huì)傾向于解雇高薪和高技能的人，因?yàn)樗麄冋J(rèn)為也許他們可以用更少的錢做更多的事?！?/p>

這是一種自上而下的裁員方法，但同樣的論點(diǎn)也適用于自下而上的方法。Joseph Thomssen 是 NinjaJobs（一個(gè)由信息安全專業(yè)人員開發(fā)的社區(qū)運(yùn)營(yíng)工作平臺(tái)）的高級(jí)網(wǎng)絡(luò)安全招聘人員?！耙患也灰园踩珵橹攸c(diǎn)的公司可能會(huì)覺得他們可以依靠高級(jí)員工來承擔(dān)較低級(jí)別的責(zé)任，”他說，“這可能對(duì)安全團(tuán)隊(duì)不利?！?/p>

總體結(jié)果是，我們現(xiàn)在解雇了正在尋找新工作的網(wǎng)絡(luò)安全工程師，我們聘請(qǐng)了網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者尋找替代和更安全的職位。Thomssen 補(bǔ)充說：“網(wǎng)絡(luò)安全領(lǐng)域的許多裁員似乎都是為了節(jié)省資金而進(jìn)行的短期嘗試，”但他擔(dān)心這可能會(huì)適得其反，讓公司裁員。期望更少的員工承擔(dān)更多的責(zé)任可能會(huì)產(chǎn)生不利影響——它可能會(huì)導(dǎo)致倦怠。“我稱之為裁員/辭職組合，”他說。

Piacente 還指出，裁員不僅僅是為了淘汰表現(xiàn)不佳的員工?！坝泻芏鄡?yōu)秀的候選人因?yàn)樵阱e(cuò)誤的時(shí)間出現(xiàn)在錯(cuò)誤的地點(diǎn)而受到影響；我們看到這個(gè)行業(yè)很廣泛?！?/p>

當(dāng)然，也有很多網(wǎng)絡(luò)安全專家認(rèn)為這是一種錯(cuò)誤和危險(xiǎn)的做法，網(wǎng)絡(luò)安全是一種必須擴(kuò)大而不是削減的必需品。但這是每個(gè)業(yè)務(wù)部門在經(jīng)濟(jì)壓力時(shí)期提出的論點(diǎn)。

網(wǎng)絡(luò)安全裁員以及隨之而來的有經(jīng)驗(yàn)求職者人數(shù)增加的一個(gè)影響是，招聘市場(chǎng)正在從候選人市場(chǎng)轉(zhuǎn)向招聘市場(chǎng)——就像購(gòu)房根據(jù)供應(yīng)在買方市場(chǎng)和賣方市場(chǎng)之間波動(dòng)一樣（可用的屬性）和需求（購(gòu)買的錢）。多年來，經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全工程師一直能夠挑選雇主，并要求略微膨脹的薪水和條件；但情況已不再如此。 

這在所提供的薪水中開始顯現(xiàn)出來?！八麄冋谮呌谄椒€(wěn)，”Sasson 說，“甚至可能會(huì)下降。但這需要在候選人驅(qū)動(dòng)的市場(chǎng)中從幾個(gè)季度前的急劇增長(zhǎng)的背景下考慮?！?nbsp;薩森當(dāng)時(shí)認(rèn)為這些是不可持續(xù)的。但現(xiàn)在，“那些正在尋找一年前的巨額薪酬方案的人將不得不調(diào)整他們的期望。”

Optomi 的高級(jí)網(wǎng)絡(luò)安全招聘人員 Sam Del Toro 也看到了薪酬預(yù)期與實(shí)現(xiàn)之間類似的日益嚴(yán)重的失調(diào)——尤其是在更高級(jí)別的職位上。由于裁員，現(xiàn)在有更多的中高級(jí)候選人在尋找新的機(jī)會(huì)。 

“另一方面，”他說，“在過去的幾年里，我們看到網(wǎng)絡(luò)安全薪酬顯著上升。現(xiàn)在，隨著組織正在收緊預(yù)算并提高財(cái)務(wù)意識(shí)，很難使候選人和客戶的薪酬保持一致。”

Thomssen 看到了不斷發(fā)展的租用者市場(chǎng)的另一種不同的影響?！拔铱吹桨脖Ｈ藛T的招聘從直接聘用轉(zhuǎn)變?yōu)榛诙唐陧?xiàng)目合同的角色。在過去，你不會(huì)看到安全專業(yè)人員接受此類合同，但安全人員招聘格局已經(jīng)發(fā)生了變化?！?/p>

目前尚不清楚這是否會(huì)發(fā)展成為一種常見的網(wǎng)絡(luò)安全招聘長(zhǎng)期方法，或者僅僅是應(yīng)對(duì)經(jīng)濟(jì)不確定性的短期解決方案。零工經(jīng)濟(jì)會(huì)涉及網(wǎng)絡(luò)安全嗎？它在許多其他就業(yè)領(lǐng)域一直在增長(zhǎng)，也許當(dāng)前的經(jīng)濟(jì)氣候會(huì)推動(dòng)現(xiàn)有趨勢(shì)，就像 Covid-19 推動(dòng)遠(yuǎn)程工作一樣。

一個(gè)明顯的跡象可能是虛擬 CISO (vCISO) 的雇傭增加。這將保留獲得高水平專業(yè)知識(shí)的途徑，同時(shí)降低成本。另一個(gè)可能是增加對(duì)托管安全服務(wù)提供商 (MSSP) 的使用?！拔覀兛吹皆絹碓蕉嗟陌踩\(yùn)營(yíng)外包給顧問和承包商，或者外包給 vCISO 和全球 CISO，或者任何你喜歡的稱呼，”Hoxhunt 的聯(lián)合創(chuàng)始人兼首席執(zhí)行官 Mika Aalto 評(píng)論道。但他補(bǔ)充說，“這可以適用于較小的公司，但存在風(fēng)險(xiǎn)。安全應(yīng)該被視為一種競(jìng)爭(zhēng)優(yōu)勢(shì)和一種增長(zhǎng)戰(zhàn)略，而不是一種奢侈。”

Piacente 的公司發(fā)現(xiàn)新候選人流量增加了 20%。雖然主要原因是經(jīng)濟(jì)，但很難找出具體原因。網(wǎng)絡(luò)安全一直經(jīng)歷著快速流失，各級(jí)員工定期跳槽到新公司以獲得晉升或提高薪酬。這種流失仍在繼續(xù)，但由于就業(yè)人員四處張望而變得復(fù)雜——不是因?yàn)樗麄冋诒唤夤?，而是以防萬一他們被解雇。

與此同時(shí)，一些通常會(huì)尋找更好機(jī)會(huì)的人正在選擇保留他們擁有的東西，直到更穩(wěn)定的情況恢復(fù)?！霸谶@些周期中的另一個(gè)觀察結(jié)果，”Piacente 補(bǔ)充道，“屬于多元化類別的候選人往往更不愿意做出改變。由于這一類別的候選人已經(jīng)少得多，這使得公司更難以實(shí)現(xiàn)創(chuàng)建更多樣化的組織或計(jì)劃的目標(biāo)。這是公司真正需要將關(guān)心、關(guān)注和現(xiàn)實(shí)納入其變革計(jì)劃的時(shí)候?！?/p>

Bugcrowd 是一家積極尋求從“多元化”人才庫中招募人才的公司?！肮椭餍枰扇「e極的方式從非傳統(tǒng)背景中招聘，這反過來會(huì)顯著擴(kuò)大候選人范圍，從那些擁有正式學(xué)位的人到個(gè)人，這些人經(jīng)過適當(dāng)?shù)呐嘤?xùn)，具有難以置信的高潛力，”格里評(píng)論。

可以預(yù)料，隨著一些公司裁掉經(jīng)驗(yàn)豐富的員工，而另一些公司則根本不雇用新員工，為新的、沒有經(jīng)驗(yàn)的或多樣化的人打入網(wǎng)絡(luò)安全領(lǐng)域?qū)⒆兊酶永щy。畢竟，為了省錢而減少員工人數(shù)的公司不太可能花錢對(duì)沒有經(jīng)驗(yàn)的新員工進(jìn)行內(nèi)部培訓(xùn)。

德爾托羅并不這么認(rèn)為——這幾乎是不可能的。他說：“我認(rèn)為 [有經(jīng)驗(yàn)的] 候選人涌入市場(chǎng)不會(huì)對(duì)新來者尋找機(jī)會(huì)產(chǎn)生太大影響，因?yàn)橐话銇碚f入門級(jí)網(wǎng)絡(luò)安全角色根本就不夠多?！?nbsp;“組織幾乎總是在尋找中層及以上的候選人，而不是引進(jìn)有能力和興奮的新人，因?yàn)楹笳咝枰牟粌H僅是財(cái)政資源?！?/p>

招聘進(jìn)行中

很難確定裁員總數(shù)中被解雇的經(jīng)驗(yàn)豐富的網(wǎng)絡(luò)安全專業(yè)人員的實(shí)際人數(shù)，但很可能是大量的。盡管董事會(huì)對(duì)安全是業(yè)務(wù)推動(dòng)因素的想法變得更加開放，但安全與利潤(rùn)之間并沒有明顯的界限。然而，安全性和成本之間存在直接聯(lián)系。安全問題在裁員中占有重要地位幾乎是理所當(dāng)然的。但這可能是個(gè)糟糕的想法。

對(duì)于所有裁員，公司應(yīng)謹(jǐn)慎行事。當(dāng)出于經(jīng)濟(jì)原因需要裁減大量員工時(shí)，同樣的經(jīng)濟(jì)原因可能會(huì)導(dǎo)致裁員迅速甚至殘酷。這些突然失業(yè)的人將對(duì)公司及其系統(tǒng)有內(nèi)幕消息；有些人會(huì)有報(bào)復(fù)的念頭。與此同時(shí)，該公司可能降低了其網(wǎng)絡(luò)安全團(tuán)隊(duì)的效率，以應(yīng)對(duì)來自近期惡意內(nèi)部人員的新威脅。

“裁員正在影響科技行業(yè)的大部分領(lǐng)域，網(wǎng)絡(luò)安全也不能幸免，”Vulcan Cyber 的高級(jí)技術(shù)工程師 Mike Parkin 評(píng)論道?！半m然當(dāng)公司不得不勒緊褲腰帶時(shí)，任何部門都不應(yīng)真正幸免，但失去安全運(yùn)營(yíng)技術(shù)人員的威脅可能會(huì)產(chǎn)生不成比例的影響。”

總的來說，我們?cè)诰W(wǎng)絡(luò)安全招聘方面有一個(gè)候選人市場(chǎng)，但我們正在轉(zhuǎn)向雇主市場(chǎng)。Del Toro 為被解雇并正在尋找新職位的安全人員提供了這樣的建議：“我會(huì)告訴求職者要準(zhǔn)備好接受更長(zhǎng)的面試過程和更長(zhǎng)的時(shí)間，然后才能延長(zhǎng)聘用時(shí)間。招聘經(jīng)理承受著更大的勤奮壓力，因此求職者需要更加了解面試禮儀。最重要的是，確保你的技能保持敏銳——利用你的休息時(shí)間尋找有激情的項(xiàng)目并提高你的手藝，這不僅是為了在安全領(lǐng)域保持相關(guān)性，也是為了重新熱愛你所做的事情！”