2023 年 1 月 20 日星期五,谷歌宣布将裁员 12,000 人。亚马逊和微软共裁员 28,000 人;据报道,推特已经失去了 5200 人;Meta(Facebook 等)正在裁员 11,000 人……这只是科技巨头,根据定义,几乎所有寻找新职位的员工都是精通技术的——其中一些将是网络安全专业人士。
裁员不仅限于科技巨头。较小的网络安全供应商公司也受到影响。OneTrust 解雇了 950 名员工(占员工总数的 25%);Sophos 已裁员450 人(10%);花边(300, 20%);Cybereason (200, 17%);OwnBackup (170, 17%);OneTrust (950, 25%) 等等。
SecurityWeek研究了裁员导致的经验丰富的专业人士涌入求职者市场如何影响或可能影响网络安全领域的技能差距和招聘。
技能差距
技能差距是劳动力可用技能与雇主所需技能之间的不匹配。随着新技术和业务转型,所需技能不断发展。人们可以学习如何使用计算机,目前正在裁员的许多员工已经这样做了。但是学习如何使用计算机比学习计算机如何工作要容易得多。正是在后一个领域,技能差距成为网络安全的人才缺口。
因此,第一个观察结果是,当前的大规模裁员可能会略微缩小计算机使用水平的技能差距,但可能对网络安全特定人才差距影响不大,因为就业需要了解计算机的工作原理。人才缺口太大,这些领域的裁员很可能很容易被新的安全初创公司和扩张中的公司吸收。许多涉及网络安全裁员的公司几乎肯定需要在明年或不久之后重新雇用。
Pinpoint Search Group 的管理合伙人兼高管招聘人员 Mark Sasson 对此表示赞同。“对于组织来说,招聘可能会更容易一些,因为你正在将大量经验涌入市场。但是,我认为这不能解决人才缺口问题——它不会产生中长期明显的影响。拥有当今组织所需技能的人太少了。因此,人们会被挖走,我们仍然会遇到同样的人才缺口情况。”
网络威胁仍在增加,对网络防御者的需求也在增长。犯罪分子是在招兵买马,而不是签约。
减少网络安全人才缺口更有可能取决于雇主态度的转变,而不是增加被解雇人员的数量。你几乎可以说网络安全人才缺口是一种自残:雇主想要经验加认证再加上新的大学学位——这在现实世界中很少存在。
Hitch Partners 招聘公司的执行合伙人兼联合创始人 Michael Piacente 持类似观点。“关于范围和目标的内部定义通常差异很大,导致轮班、时间延迟,并且经常使职位‘无法填补’,”他告诉SecurityWeek。“也许是时候停止过分关注简历和职位描述了。我们认为这些工具已经过时,而且经常被用作拐杖,导致不良习惯和行为不一致——而且它们对经验不足或多元化的候选人来说非常不公平。”
他将这一点发挥到了极致,从未向候选人提供简历。“相反,我们建立了一个关于候选人的故事板,该故事板是通过多次会议、互动和后台渠道创建的,以便专注于候选人的旅程、人物性格元素以及他们与特定角色的匹配和差距。” 简而言之,与寻求将不切实际的需求与现有工作库相匹配相比,重新定义人才差距更有可能缩小人才缺口。
Bugcrowd 首席执行官戴夫·格里 (Dave Gerry) 根据多元化候选人提出了具体建议。他认为组织需要对多样性池更加开放——包括神经多样性(参见在网络安全团队中利用神经多样性)。“组织,”他说,“需要继续扩大招聘范围,解决目前网络招聘中可能存在的偏见,并通过学徒制、实习和在职培训提供深入培训,以帮助创造下一代网络人才。”
然而,即使下岗经验的涌入对技能缺口的宏观整体或持久影响不大,但它几乎肯定会对网络安全人才缺口微观的招聘产生立竿见影的影响。
网络安全招聘
网络安全也不能幸免于当前一轮的人员裁员——它包括安全领导者和安全工程师。归根结底,这是一项削减成本的工作;组织可以通过裁掉一名领导者的职位来节省与裁掉两名工程师一样多的钱。Sasson 解释说:“组织正在问自己,他们是否可以在让一个人离开的情况下幸存下来,但仍能与剩下的团队一起完成工作。” “如果答案是肯定的,甚至是可能的,他们就会倾向于解雇高薪和高技能的人,因为他们认为也许他们可以用更少的钱做更多的事。”
这是一种自上而下的裁员方法,但同样的论点也适用于自下而上的方法。Joseph Thomssen 是 NinjaJobs(一个由信息安全专业人员开发的社区运营工作平台)的高级网络安全招聘人员。“一家不以安全为重点的公司可能会觉得他们可以依靠高级员工来承担较低级别的责任,”他说,“这可能对安全团队不利。”
总体结果是,我们现在解雇了正在寻找新工作的网络安全工程师,我们聘请了网络安全领导者寻找替代和更安全的职位。Thomssen 补充说:“网络安全领域的许多裁员似乎都是为了节省资金而进行的短期尝试,”但他担心这可能会适得其反,让公司裁员。期望更少的员工承担更多的责任可能会产生不利影响——它可能会导致倦怠。“我称之为裁员/辞职组合,”他说。
Piacente 还指出,裁员不仅仅是为了淘汰表现不佳的员工。“有很多优秀的候选人因为在错误的时间出现在错误的地点而受到影响;我们看到这个行业很广泛。”
当然,也有很多网络安全专家认为这是一种错误和危险的做法,网络安全是一种必须扩大而不是削减的必需品。但这是每个业务部门在经济压力时期提出的论点。
网络安全裁员以及随之而来的有经验求职者人数增加的一个影响是,招聘市场正在从候选人市场转向招聘市场——就像购房根据供应在买方市场和卖方市场之间波动一样(可用的属性)和需求(购买的钱)。多年来,经验丰富的网络安全工程师一直能够挑选雇主,并要求略微膨胀的薪水和条件;但情况已不再如此。
这在所提供的薪水中开始显现出来。“他们正在趋于平稳,”Sasson 说,“甚至可能会下降。但这需要在候选人驱动的市场中从几个季度前的急剧增长的背景下考虑。” 萨森当时认为这些是不可持续的。但现在,“那些正在寻找一年前的巨额薪酬方案的人将不得不调整他们的期望。”
Optomi 的高级网络安全招聘人员 Sam Del Toro 也看到了薪酬预期与实现之间类似的日益严重的失调——尤其是在更高级别的职位上。由于裁员,现在有更多的中高级候选人在寻找新的机会。
“另一方面,”他说,“在过去的几年里,我们看到网络安全薪酬显着上升。现在,随着组织正在收紧预算并提高财务意识,很难使候选人和客户的薪酬保持一致。”
Thomssen 看到了不断发展的租用者市场的另一种不同的影响。“我看到安保人员的招聘从直接聘用转变为基于短期项目合同的角色。在过去,你不会看到安全专业人员接受此类合同,但安全人员招聘格局已经发生了变化。”
目前尚不清楚这是否会发展成为一种常见的网络安全招聘长期方法,或者仅仅是应对经济不确定性的短期解决方案。零工经济会涉及网络安全吗?它在许多其他就业领域一直在增长,也许当前的经济气候会推动现有趋势,就像 Covid-19 推动远程工作一样。
一个明显的迹象可能是虚拟 CISO (vCISO) 的雇佣增加。这将保留获得高水平专业知识的途径,同时降低成本。另一个可能是增加对托管安全服务提供商 (MSSP) 的使用。“我们看到越来越多的安全运营外包给顾问和承包商,或者外包给 vCISO 和全球 CISO,或者任何你喜欢的称呼,”Hoxhunt 的联合创始人兼首席执行官 Mika Aalto 评论道。但他补充说,“这可以适用于较小的公司,但存在风险。安全应该被视为一种竞争优势和一种增长战略,而不是一种奢侈。”
Piacente 的公司发现新候选人流量增加了 20%。虽然主要原因是经济,但很难找出具体原因。网络安全一直经历着快速流失,各级员工定期跳槽到新公司以获得晋升或提高薪酬。这种流失仍在继续,但由于就业人员四处张望而变得复杂——不是因为他们正在被解雇,而是以防万一他们被解雇。
与此同时,一些通常会寻找更好机会的人正在选择保留他们拥有的东西,直到更稳定的情况恢复。“在这些周期中的另一个观察结果,”Piacente 补充道,“属于多元化类别的候选人往往更不愿意做出改变。由于这一类别的候选人已经少得多,这使得公司更难以实现创建更多样化的组织或计划的目标。这是公司真正需要将关心、关注和现实纳入其变革计划的时候。”
Bugcrowd 是一家积极寻求从“多元化”人才库中招募人才的公司。“雇主需要采取更积极的方式从非传统背景中招聘,这反过来会显着扩大候选人范围,从那些拥有正式学位的人到个人,这些人经过适当的培训,具有难以置信的高潜力,”格里评论。
可以预料,随着一些公司裁掉经验丰富的员工,而另一些公司则根本不雇用新员工,为新的、没有经验的或多样化的人打入网络安全领域将变得更加困难。毕竟,为了省钱而减少员工人数的公司不太可能花钱对没有经验的新员工进行内部培训。
德尔托罗并不这么认为——这几乎是不可能的。他说:“我认为 [有经验的] 候选人涌入市场不会对新来者寻找机会产生太大影响,因为一般来说入门级网络安全角色根本就不够多。” “组织几乎总是在寻找中层及以上的候选人,而不是引进有能力和兴奋的新人,因为后者需要的不仅仅是财政资源。”
招聘进行中
很难确定裁员总数中被解雇的经验丰富的网络安全专业人员的实际人数,但很可能是大量的。尽管董事会对安全是业务推动因素的想法变得更加开放,但安全与利润之间并没有明显的界限。然而,安全性和成本之间存在直接联系。安全问题在裁员中占有重要地位几乎是理所当然的。但这可能是个糟糕的想法。
对于所有裁员,公司应谨慎行事。当出于经济原因需要裁减大量员工时,同样的经济原因可能会导致裁员迅速甚至残酷。这些突然失业的人将对公司及其系统有内幕消息;有些人会有报复的念头。与此同时,该公司可能降低了其网络安全团队的效率,以应对来自近期恶意内部人员的新威胁。
“裁员正在影响科技行业的大部分领域,网络安全也不能幸免,”Vulcan Cyber 的高级技术工程师 Mike Parkin 评论道。“虽然当公司不得不勒紧裤腰带时,任何部门都不应真正幸免,但失去安全运营技术人员的威胁可能会产生不成比例的影响。”
总的来说,我们在网络安全招聘方面有一个候选人市场,但我们正在转向雇主市场。Del Toro 为被解雇并正在寻找新职位的安全人员提供了这样的建议:“我会告诉求职者要准备好接受更长的面试过程和更长的时间,然后才能延长聘用时间。招聘经理承受着更大的勤奋压力,因此求职者需要更加了解面试礼仪。最重要的是,确保你的技能保持敏锐——利用你的休息时间寻找有激情的项目并提高你的手艺,这不仅是为了在安全领域保持相关性,也是为了重新热爱你所做的事情!”
