当涉及到招聘时,企业安全团队可以使用他们能够召集的所有帮助。但在招聘入门级人才方面,这并不像看上去那么容易。
1000年的一项民意调查显示去年夏天18-26岁由佐格比分析和承销由雷神公司,大约40%的千禧一代说他们想进入一个职业,让互联网更安全,但大概三分之二的人表示,他们不确定究竟什么是网络安全行业,64%的人说,他们没有机会参加建立信息安全职业所需技能的必要课程。
这意味着,至少在入门级信息安全市场,仍将有许多求职者缺乏正规的信息安全培训背景。这与我们在与首席信息官和其他经常聘用安全人才的人交谈时听到的内容相呼应。
考虑到所有这些,我们最近联系了那些cio,看看在就业市场上的信息安全职业新手中是否有共同的错误线索。以下是我们的发现:
1.没有表现出团队精神
听起来很简单,对吧?但它不是。我们采访过的许多招聘主管都表示,个性能够——而且往往确实能够——胜过技术资产。随着越来越多的信息安全角色与业务的其他部分交互,这一点尤其明显。应聘者必须表现出自己的亲和力,能言善辩,并且能够证明他们能够在组织的不同领域工作。
2.把自己推销成万事通
奥斯卡保险公司(Oscar Insurance)的安全主管鲍里斯•斯维尔德利克(Boris Sverdlik)表示:“几乎所有信息安全领域的初级申请者都犯了一个错误,那就是试图成为一刀切的候选人。”他表示:“安全问题涉及许多垂直领域,即使是那些有经验的人,也几乎不可能精通所有方面。”digital Trust, LLC的创始人布莱恩·马丁(Brian Martin)说:“最让人讨厌的应聘者是那种傲慢自大、无所不知的人。我不介意那些是自己赢得的傲慢,但对于一个从未接受过测试的孩子来说,我不介意。”在我们尝试与这类人合作的情况下,结果并不好。”
如果你对信息安全方面的许多技能都感兴趣,那就挑出最能满足组织需求的一对。
3.求职和基本面试都失败了
对于许多首席信息官来说,比如北城医院(Northside Hospital)的IT安全经理马丁•费希尔(Martin Fisher),潜在的求职者经常会因为基本的求职要求不及格而伤害到自己。费舍尔说:“在简历上,如果你拼错HIPAA,我就扔掉这份简历。他还说,他经常会遇到拼写错误、标点错误,以及简历中充斥着与所应聘职位无关的信息。
麦克科恩斯,在谈到面试的基本原则时,他列举了求职者不应该做的事情。“当我在面试快结束时给他们一个机会,让他们问我任何问题时,我要强调‘任何问题’这个词,大多数人会问我一些类似垒球式的问题,比如企业文化或者我为什么喜欢在那里工作。他们失去了机会,”他说。
4.相信证书和学位比实际技能更重要
“许多人认为我更关心他们的学位或证书,而不是实际的技能,”科恩说,而其他人则错误地认为学位或证书等于工作。它不喜欢。”
同样,许多入门级求职者认为技术是一把锤子,可以粉碎所有安全风险。“太多的人认为大多数问题的解决方案是技术控制,而不是人和过程,”Eric Cowperthwaite说,他是普罗维登斯健康和服务的前首席信息技术官,目前是核心安全公司的高级安全和战略副总裁。
Nettitude Group的高级eGRC顾问、前CISO本•罗斯克(Ben Rothke)对此表示赞同。“他们拥有的技术工具是实现信息安全的决定性技术。并不是所有的安全问题都可以通过防火墙或IDS解决。
5.拉伸真相
这当然不是信息安全所独有的,但试图在有经验的安全专业人员身上实现这一点是特别愚蠢的,因为他们往往是一群生性多疑的人。“你会发现,为了给招聘经理留下深刻印象,他们倾向于夸大自己的经历;有些是轻微的谎言,有些则是彻头彻尾的谎言。”
卡恩对此表示赞同:“很多人试图夸大或美化自己的简历,说他们认识某个人,并通过领英(LinkedIn)建立了联系。但当我向他们施压时,因为我实际上了解这个人,他们几乎立刻就屈服了。”
6.不明白信息安全的高度人际关系
许多入门级应用程序来自小企业的员工,他们没有准备或似乎不了解大企业是如何运作的。这很好,也是新专业人士学习过程的一部分——但在大型企业中实践信息安全时,要保持开放和学习的心态。“很多人表达了在大企业根本行不通的做生意方式。通常情况下,这个人会非常直接地针对那些想要安全策略异常的人,避免协作,避免发现这个人想要异常的原因,只是命令他们的行为。
“他们常常没有意识到,他们对所有信息安全的兴奋,有时甚至是非理性的兴奋,并没有被组织中的大多数人分享,”Rothke说。
最后,也许最重要的是做自己。展示您对安全的热情,无论是检查日志、执行代码审查或风险评估,还是管理安全设备。如果你擅长批判性思维,并且有良好的技术背景,学习其他内容就很容易了。”
这篇题为“入门级网络安全求职者的六个失败”的文章最初发表于方案 .