標籤:

為什麼各個公司都招不到安全人才?

大家都招不到安全人才、難以找到合適的人才。


說下我的心得:

早期創業沒錢主要靠夢想招人,難以招到多牛的人,雖然有很多潛力股,但流失率不低,三年後堅持下來的都成了骨幹。

即使這樣艱難,也是招到不少人才。

當一個平台堅持足夠久,不僅堅持住了夢想,還有了錢,聲勢也越來越大,不僅公司開始成熟,我們也成熟了,自然而然能吸引到更多優秀的人。這是很自然的過程,包括錢,很多人說談錢傷感情,實際上我們需要明白賺錢才是天經地義的事,但夢想不能丟。

回到題主的問題,誰說各個安全公司都招不到人才?招不到只是你能力不夠而已,要麼沒夢想要麼沒錢,多現實。

還有,人才定義是什麼?

對於一個公司一個團隊來說,招到合適的人也許這人對於公司來說這就是人才,但有些人卻會嗤之以鼻:「就這人,也是人才?我比他強多了!」但是,你卻沒進入這支優秀的團隊。

類似的人還有:

「我就是千里馬,我需要伯樂來挖掘我,我才能牛逼!」

「錢沒給夠,老子會去?」

有些人,他自以為是人才,實際上他不是;有些人他自以為不是人才,實際上他卻是…


是嗎?他們要安全人才來幹嘛,招個普通的安全人員不行嗎?


藉助馬雲說的那句話:「要麼幹得不爽、要麼給得沒到位」

現在傳統甲方公司、互聯網公司給的安全薪資都參差不齊。

乙方安全公司的薪資情況更不樂觀,具體如何?晚點吐槽下。


大公司,好公司的人才肯定不缺,現在國內的安全圈是人才濟濟,但是如果把視角放大到整個中國,我覺得就還是有所欠缺,或者說有些低調,也或者說正在發展。
我覺得跟這個社會風向跟國家的鼓勵有著脫不了的干係。在我微觸安全的這段日子裡,可以看到各大線上活動越來越活躍,越來越多的看到國人下世界賽事上嶄露頭角甚至摘金奪銀,整個的趨勢是在上升的,前幾年的也許我並不清楚,但我能感受到國內對安全真正的熱情有在提升,之所以說真正,是排除了一些自以為入門的門外漢的『熱情』。
跟國家的鼓勵有關係,是因為直接影響到人才培養,在我所了解到的廣東地區,真正有涉及或者專門提供給安全的平台高校寥寥無幾,現在活躍於安全圈的人才或者苗子基本靠自己的興趣以及自己對自己的啟蒙。我覺得,如果各高校有專門的專業或者社團設置,對更多的高校人才進行啟蒙,相信我大中華進入安全圈的人才會越來越多,我中國人不比外國人智商、能力低,只是缺少一些驅動因素。而國家恰巧對這方面的不廣泛重視讓各大高校不敢當衝鋒。我不懂政治,不知道如果國家在全國範圍引起安全熱是否會有所不妥。
現在廣東已經有大學跟安全公司合作了,能預見的是未來的幾年,是國內高校安全熱的孕育期,如果能成功,對整個國內的安全事業已經對國內的安全公司都是很大的良性衝擊,我很期待,雖然我沒有從事這個神聖的職業,但是我還是很希望可以看到無數國內安全人才團結一致,保衛國家信息,網路安全的這一天!


為什麼各個公司都招不到安全人才?

這個問題其實分兩個層面回答,一個層面是「招到」,另一個層面是「留住」。而「招到」又可細分為「校招」與「社招」。相比而言,前者更容易一些,本文只回答前者。

我們的CEO在開會時候總是說,」我們是小公司,經不起折騰」。更具體而言,我講兩個故事。

我們公司每年都會發出一些校招的崗位,我們發現一些有意思的現象:每年報名安全工程師崗位的應屆生相比技術崗(開發、演算法)並不多,我們設計的考試題也是非常簡單和基礎的。在有限的報名候選人里,也發現大多數人信息安全的考試都不及格。而在更有限的考試勉強及格的人里,我們進行面試,卻也發現表現平平,很多人知道概念,但是實際上並沒有實踐過。

信息安全是一門非常重視實踐的學科,其本質上是尋找軟體設計與實現中的「漏洞」與「缺陷」,需要的是一種逆向思維模式。它需要的是突破常規,這些知識與技能是在學校里靠讀書和口口相傳是難以習得的。也因為如此,我們通常會看到這個行業里活躍的大牛通常也是有著傳奇色彩,如保安轉行做安全,醫生轉行做安全,輟學自學成才等等。

因此,基於行業特性,決定了各個公司靠正規的校招渠道難以招到合適有潛力的安全人才。

後來我們公司開始把更多的目光放到了社招上,現在有很多安全社區可以進行人才的招募。我們甚至舉辦活動邀請別人來hack我們的站點,以此吸引到與安全人才接觸的機會。我們確實受到了很多富有安全能力的好夥伴,並與他們建立了溝通渠道。我們從幾個候選人中選擇了最強的一位,但是一段時間後我們發現我們面臨了另一個問題——攻擊能力做得好的人才,並不意味著他做企業安全防禦建設的能力也能做得好。

如何解釋上面這句話呢?比如說我們招募了一位安全社區里的牛人,但是最後發現這位牛人的周報中做的事情與我們期望他做的事情相去甚遠。我們是一家創業公司,需要非常快速的節奏進行產品迭代,但是他更多時間卻花在挖掘其他公司的安全漏洞。他在群里會貼出他「搞定」其他公司的一些截圖證據(業內稱之為getshell?)但是這對我們公司的長期發展並沒有什麼卵用。

最後,我們解僱了這名所謂的安全牛人。

現在我們公司沒有安全工程師,我們的產品維持著快速迭代,我們的系統反而更安全。我和我們的CEO一致認為,在我們這個發展階段,活下去最重要。在安全上的投入,我們使用阿里云云盾和態勢感知就好了。

從這件事情以後,我們的CEO總會說,」我們是小公司,經不起折騰」。


題主要問的關鍵是不是找不到合適的安全人才?
我覺得大部分單位並不知道要找什麼樣的技術人員來做安全工作。

一方面公司希望招一個什麼樣網路安全人才,恐怕老闆和人事都說不清。也只有 餘弦之類對安全深刻了解的大牛能確定自己需要什麼樣的員工,什麼樣的合作者。

另一方面大部分普通公司需要的安全人才都是偏向維護的,但是培養安全人才的時候基本都是重攻防能力,輕解決安全問題的思路和能力。因此有些安全技術很牛的人,不一定能合適這些工作。

最重要的是如何讓培養出來的安全人員能解決普遍的安全需求?我參加過的安全公司的培訓、考證的培訓不少,不過覺得大部分培訓並不能解決實際問題。主要是雙方要面對的問題方向不一樣,處理問題原則和底線不同。


京東招安全工程師(移動後台) 歡迎來砸簡歷 nanshihui@jd.com


錢沒給夠


大圖。手機慎入

登錄 -- WooYun(白帽子技術社區)


給錢少,像請保安看門一樣的心態


成都求職


在沒有很好的物質基礎上,追求夢想大部分時候都是空洞的;
兩種情況:你給有物質基礎的人才一個很可能實現的夢想;你給可能成為人才的物質基礎。
不然你就帶著沒有物質基礎也沒有多大夢想的普通員工一起奮鬥。
其中悖論多多……打破才會有變化,誰打破都可以。。


扯,只是給不到那個價而已。


推薦閱讀:

如何看待華為余承東支持蘋果對抗美國政府,並稱政府的要求絕不答應?
開始學習信息安全的時候,如何避免「實驗」的時候闖禍?
誰知道這個是什麼加密?
中國黑客界發生過什麼事?
js 可以跨域得到 cookie?QQ 郵箱被一封郵件黑了?

TAG:信息安全 |