想找最合适的安全人才？注意发布招聘的六技巧与六大坑

网络安全对企业机构而言，已经前所未有地位于相当重要的地位。也正因如此，各个领域对安全专业人员的需求量日趋增大。

那么，企业发布安全岗位招聘信息的时候，应该怎样确保能够招聘到合适的安全人员，如何确保职位发布达到目的，什么样的安全招聘启事最为吸引眼球呢？

毕竟，如果你没有一个很好的招聘文案，可能也很难吸引到那些优秀的安全人才前来应聘，无形之中也是企业的一种损失。

MongoDB首席信息安全官Lena Smart在招募安全人员的时候，她首先希望给潜在员工留下一个好印象，“我认为人们忘记了向求职者做公司介绍，第一印象很重要”。所以她在招聘时会注意自己发布公告中的内容。

事实上，越来越多的人意识到，考虑到整个劳动力市场的动向，更确切的说，网络安全人才的竞争更加激烈，写好招聘启事可能比以往任何时候都更加重要。

当然，写一篇引人注目的招聘启事并不是一门严谨的科学，但Smart在这方面有诀窍。即使在这个以员工为导向的市场中，她最近的一个空缺职位也吸引了大约1000人的申请。

那么Smart的诀窍是什么呢？以下是发布她招聘启事的写作技巧和注意事项。

Smart说，在招聘启事中避免发表模棱两可的评论和笼统的陈述，而应该详细说明每个空缺职位的责任。

“我们比其他公司更深入地研究了更多的细节。我们投入了期望，没有什么含糊不清的。”

托管服务提供商Thrive的首席技术官Michael Gray表示，他列举了该职位日常作示例，并指出如果求职者“无法完成它们，我们无论如何都不想要它们”。

Strata Identity的人才招聘主管Jason Baum也有类似的观点。

“没有足够的信息则吸引不了相应优秀人才的关注。既然你有特定的需求，就不要让引导求职者产生混淆的概念，或者使用与竞争对手完全相同的职位描述。正确的职位描述将允许你从合格求职者列表中缩小完美求职者的范围。错误的职位描述会让你感到困惑，以至于让具有不同经验水平和水准的求职者，都决定把自己的简历投递过来，势必会增加大量复杂的筛选工作，费时费力，还可能遗漏了真正合适的人才。”

02

对一个人能做多少事情持现实态度

许多资深安全领导人表示，他们经常看到在招聘中列出了在工作时间内没有人能完成或处理好的任务。

NeuEon的首席信息安全官兼国际IS专业协会ISSA主席Candy Alexander认为：“求职者受到挑战和过度劳累是有区别的，所以要现实地明确工作职责。”

Alexander建议招聘经理首先审查他们是否对职位本身拥有合适而理性的期望，并确保他们已经正确调整了岗位的职责；他们需要事先做好这些工作，才可以对外发布招聘公告，向求职者列出招聘岗位的期望和责任。

找到一个职位的最佳人选，意味着要确定他会喜欢这份工作，并且拥有能够处理这个职位的特质——无论是重复性、脚本化的例行公事，还是每天未知的挑战。

格雷说，招聘信息最好添加一个关于特征和偏好的指示，这些特征和偏好在吸引合格的候选者时有很重要的作用。这可能意味着在招聘启事中写下一些问题，比如你喜欢解决问题吗？或者你擅长研究吗？或者你自己想出解决方案吗？

“它们类似于我们在采访中提出的问题”，格雷补充道。

格雷解释说，他不得不在高度结构化的环境中雇用人员来担任招聘职位。“每个细节都需要解决，他们所要做的就是完成他们面前的任务”，格雷说，在为该职位做招聘时，要说明这一点有助于确保公司和求职者的良好匹配。

MongoDB在其网站上发布了一个明确阐述的使命：“MongoDB通过释放软件和数据的力量，使创新者能够创建、转型和颠覆行业。

该公司还在网上列出了其核心价值观：大处着眼，走得更远；共同建设；拥抱差异的力量；让它变得重要；在智力上诚实；并热爱你所做的事情。

Smart说，她也喜欢在招聘启事中引用这些内容，“你付出努力将会成为其中一部分的人”。

她说，她还增加了有关公司文化的信息，例如周三不开会，以及该政策如何确保员工至少有一天能够不间断地进行埋头工作。“这类信息有助于确保求职者在文化上契合”。

KLC Consulting总裁兼首席信息安全官Kyle Lai，该公司为美国国防承包商提供网络安全建议和vCISO服务。

Kyle Lai说：“展示我们努力实现的目标和正在做的事情是什么”。他认为，传达公司愿景的招聘启事，更有可能吸引那些认为他们可以为组织做出贡献并帮助组织实现目标的求职者。

Kyle Lai还补充道：“如果他们不相信你的愿景和使命，那么他们就不会选择向你投递简历。”

人才争夺以及专业网络安全人才的短缺，都是广为人知的事实。然而，网络安全公司HackerOne的联合创始人兼首席技术官亚历克斯·赖斯（Alex Rice）表示，一些管理人员尚未认识到这个事实。

Alex Rice说：“很多时候，人们没有意识到安全领域存在很大的供需失衡。有能力的网络安全专业人员可以选择工作，对于你发布任何职位，他们都有能力和资格入选。但是有大多数人以一种非常偏向雇主的方式写工作描述。我在这些招聘中没有看到任何内容说明 ‘求职者’为什么应该申请这份工作。”

Alex Rice还补充说：“你必须在你的每一个安全职位描述中置身于销售模式去思考。不要以为有人想为你工作。这对许多人来说是一件很难解决的问题。”

Alex Rice认为，招聘经理应该强调他们能提供什么，并在招聘启事中利用这些来吸引求职者。

“如果你是一家大型科技公司，你可以支付优厚的薪资福利；如果你不能，想想你能提供什么，这可能是你的使命，你投资于职业发展，你的企业文化。如果你想有合格的求职者填补某个职位，你需要这样做。如果你不知道能提供什么，那么你就不应该把这个工作的招聘信息发布出去，因为任何求职者都会在面试过程中询问这个问题。”

鲍姆说，招聘启事放置的位置与招聘内容对招聘成功的影响一样大。

“职位描述是公司人才品牌的一部分，所以描述方式和刷新频率往往至关重要。可以使用联合平台，战略性地将招聘启事分发到尽可能多的位置，以提高曝光率。在周五发布工作，以便周末潜在求职者正在寻找新工作机会时排名更高。也可以利用行业内具有影响力或特定领域的网站、博客或团体，也可以将招聘启事扩散至更具有指向性的求职者群体。

Alex Rice认为：“如果你起草一份概括性而非详细描述的招聘启事，你可能不会得到你要找的人，更糟糕的是，你可能会向求职者发出信号，表明你不知道自己想要什么样的人或者需要什么样的人。它可能会暴露出你网络安全部门中更深层次的功能障碍，而你却通过招聘启事向全世界传播这一缺点。”

Kyle Lai表示：“如果这是一个入门级职位，你不应该要求多年的经验”。事实上，他质疑是否有必要列出特定数量的经验。“例如，你真的需要八年的渗透测试经验吗？或者你会接受五年，或者四年吗？或者你能和求职者一起做一个练习，看看他们是否有资格担任这个角色吗？”

“通过要求一定层级的教育水平，你反而可能会限制自己太多”，Kyle Lai说。

网络安全是典型的新兴离散型人才市场，很多优秀人才也许并没有网络安全甚至计算机科学学历，列出所需的技能（或认证）、经验而不是特定的大学学位，可能会更快地吸引合适的求职者。

Smart说，将专业工作贴上“初级”的标签可能会令人反感，特别是如果你正在寻找具有任何经验水平的人，例如分析师，而不是初级分析师，只需介绍分析师职位要求，而不必刻意贴上初级的标签，然后可以设置企业中更需经验的职位招聘高级分析师。

斯马特说：“如果我是一个潜在的求职者，我看到流行语，它告诉我你没有考虑你需要什么或者不知道你在说什么。”

使用网络流行语或模糊的标语只会让真正的人才对企业的真诚度和专业性产生怀疑。

Alexander称，许多安全专家们一致认为，招聘经理（通常也是首席信息安全官）应该积极参与撰写招聘启事，因为他们最了解该岗位所需要的技能和内容，以确保能准确地反映他们的需求，并与他们的安全专业人员交谈。

根据 (ISC) 2的最新数据显示，全球网络安全技能人员短缺已连续两年下降，并且劳动力规模比所需规模低65% 。该非营利性认证机构的2021 (ISC) 2网络安全劳动力研究是针对 4,753 名网络安全专业人员和IT工作者的采访汇总而来，结果显示这些人每天至少将25%的时间用于安全任务。

此外，通过划分招聘企业的核心业务所属的网络安全细分领域，数据显示，越是热门的领域，对人才的需求也越旺盛，数据安全、工业网络安全、高级威胁检测与响应、软件开发安全、安全管理、API安全、零信任、移动安全、物联网安全领域的企业贡献了高达75%的招聘需求。

所以，了解安全的热门趋势与发展动态，也是招募安全人才的必备知识点。

目前，美国仍有近60万个网络安全职位空缺，换句话说，约占所有网络职位的46%。在全球范围内，短缺量约为270万。更重要的是，问题正在加速。

这种人才短缺对现实世界产生了影响。它使有效使用工具和技术变得更加困难，但它也使现有员工负担过重，并导致保护缺口增加风险。然而，吸引网络安全人才是一项越来越艰巨的任务。

所以，安全领导者必须以更广泛和更深入的方式处理人员配备。如今，仅仅依靠那些拥有学位、证书和经验的人还远远不够。通过将劳动力扩大到那些自学成才或具有网络安全经验的人——并培训他们担任特定角色——求职者的范围将呈指数级增长。

许多企业在 LinkedIn 和传统求职网站上发布岗位列表，或者在公司网站上发布职位招聘信息，或者使用计算机程序扫描简历并通过搜索关键字来寻找人才。

事实上，Gartner和其他咨询公司指出，安全领导者和人力资源部门习惯性地通过撰写包含过于狭窄或过于模糊的资格的招聘信息来扰乱招聘工作。毫不奇怪，繁重或不明确的要求会恐吓和吓跑合格的求职者。流行语只会使事情复杂化——尤其是在算法进行大部分初始筛选时。

当然，吸引人才只是招聘工作的一部分，还需要避免其他公司挖走员工。虽然薪水是所有工作的起点，但重要的是要超越平时认为金钱是赢得人才大战的主要因素的想法。 

实际上，成功的企业都在努力营造一种敬业的文化，并努力建立一个人们完全相互信任的框架。这意味着创造有意义的工作并提供在组织和领域内取得进步的机会。毫不奇怪，许多年轻员工，尤其是00后，让他们有机会不断学习、进步和享受乐趣的环境中茁壮成长。

因为，网络安全行业的职位常常因高薪、工作安全和职业前景而被高估和吹捧。尽管这些因素的确极具吸引力，然而，实际上，有研究表明对大多数人来说，他们更看重的是工作的意义。据研究数据表明，当人们感觉到自己在做一件重要或有意义的事时，就倾向于继续做下去。

当组织采用更广泛但更集中的网络安全人员配置框架时，他们可能会在劳动力市场获得明显竞争优势的位置。他们可以有机地吸引新的求职者，而非不断地争夺人才。

我们的“在Z”栏目，每周末都会发布来自国内外各大安全甲乙方的招聘内容，各家招聘信息撰写都各有所长，感兴趣者不妨研究了解。