2023 年 1 月 20 日星期五，谷歌宣布將裁員 12,000 人。亞馬遜和微軟共裁員 28,000 人；據報道，推特已經失去了 5200 人；Meta（Facebook 等）正在裁員 11,000 人……這只是科技巨頭，根據定義，幾乎所有尋找新職位的員工都是精通技術的——其中一些將是網絡安全專業人士。

裁員不僅限于科技巨頭。較小的網絡安全供應商公司也受到影響。OneTrust 解雇了 950 名員工（占員工總數的 25%）；Sophos 已裁員450 人（10%）；花邊(300, 20%)；Cybereason (200, 17%)；OwnBackup (170, 17%)；OneTrust (950, 25%) 等等。

SecurityWeek研究了裁員導致的經驗豐富的專業人士涌入求職者市場如何影響或可能影響網絡安全領域的技能差距和招聘。

技能差距

技能差距是勞動力可用技能與雇主所需技能之間的不匹配。隨著新技術和業務轉型，所需技能不斷發展。人們可以學習如何使用計算機，目前正在裁員的許多員工已經這樣做了。但是學習如何使用計算機比學習計算機如何工作要容易得多。正是在后一個領域，技能差距成為網絡安全的人才缺口。

因此，第一個觀察結果是，當前的大規模裁員可能會略微縮小計算機使用水平的技能差距，但可能對網絡安全特定人才差距影響不大，因為就業需要了解計算機的工作原理。人才缺口太大，這些領域的裁員很可能很容易被新的安全初創公司和擴張中的公司吸收。許多涉及網絡安全裁員的公司幾乎肯定需要在明年或不久之后重新雇用。

Pinpoint Search Group 的管理合伙人兼高管招聘人員 Mark Sasson 對此表示贊同。“對于組織來說，招聘可能會更容易一些，因為你正在將大量經驗涌入市場。但是，我認為這不能解決人才缺口問題——它不會產生中長期明顯的影響。擁有當今組織所需技能的人太少了。因此，人們會被挖走，我們仍然會遇到同樣的人才缺口情況。”

網絡威脅仍在增加，對網絡防御者的需求也在增長。犯罪分子是在招兵買馬，而不是簽約。 

減少網絡安全人才缺口更有可能取決于雇主態度的轉變，而不是增加被解雇人員的數量。你幾乎可以說網絡安全人才缺口是一種自殘：雇主想要經驗加認證再加上新的大學學位——這在現實世界中很少存在。

Hitch Partners 招聘公司的執行合伙人兼聯合創始人 Michael Piacente 持類似觀點。“關于范圍和目標的內部定義通常差異很大，導致輪班、時間延遲，并且經常使職位‘無法填補’，”他告訴SecurityWeek。“也許是時候停止過分關注簡歷和職位描述了。我們認為這些工具已經過時，而且經常被用作拐杖，導致不良習慣和行為不一致——而且它們對經驗不足或多元化的候選人來說非常不公平。”

他將這一點發揮到了極致，從未向候選人提供簡歷。“相反，我們建立了一個關于候選人的故事板，該故事板是通過多次會議、互動和后臺渠道創建的，以便專注于候選人的旅程、人物性格元素以及他們與特定角色的匹配和差距。” 簡而言之，與尋求將不切實際的需求與現有工作庫相匹配相比，重新定義人才差距更有可能縮小人才缺口。

Bugcrowd 首席執行官戴夫·格里 (Dave Gerry) 根據多元化候選人提出了具體建議。他認為組織需要對多樣性池更加開放——包括神經多樣性（參見在網絡安全團隊中利用神經多樣性）。“組織，”他說，“需要繼續擴大招聘范圍，解決目前網絡招聘中可能存在的偏見，并通過學徒制、實習和在職培訓提供深入培訓，以幫助創造下一代網絡人才。”

然而，即使下崗經驗的涌入對技能缺口的宏觀整體或持久影響不大，但它幾乎肯定會對網絡安全人才缺口微觀的招聘產生立竿見影的影響。

網絡安全招聘

網絡安全也不能幸免于當前一輪的人員裁員——它包括安全領導者和安全工程師。歸根結底，這是一項削減成本的工作；組織可以通過裁掉一名領導者的職位來節省與裁掉兩名工程師一樣多的錢。Sasson 解釋說：“組織正在問自己，他們是否可以在讓一個人離開的情況下幸存下來，但仍能與剩下的團隊一起完成工作。” “如果答案是肯定的，甚至是可能的，他們就會傾向于解雇高薪和高技能的人，因為他們認為也許他們可以用更少的錢做更多的事。”

這是一種自上而下的裁員方法，但同樣的論點也適用于自下而上的方法。Joseph Thomssen 是 NinjaJobs（一個由信息安全專業人員開發的社區運營工作平臺）的高級網絡安全招聘人員。“一家不以安全為重點的公司可能會覺得他們可以依靠高級員工來承擔較低級別的責任，”他說，“這可能對安全團隊不利。”

總體結果是，我們現在解雇了正在尋找新工作的網絡安全工程師，我們聘請了網絡安全領導者尋找替代和更安全的職位。Thomssen 補充說：“網絡安全領域的許多裁員似乎都是為了節省資金而進行的短期嘗試，”但他擔心這可能會適得其反，讓公司裁員。期望更少的員工承擔更多的責任可能會產生不利影響——它可能會導致倦怠。“我稱之為裁員/辭職組合，”他說。

Piacente 還指出，裁員不僅僅是為了淘汰表現不佳的員工。“有很多優秀的候選人因為在錯誤的時間出現在錯誤的地點而受到影響；我們看到這個行業很廣泛。”

當然，也有很多網絡安全專家認為這是一種錯誤和危險的做法，網絡安全是一種必須擴大而不是削減的必需品。但這是每個業務部門在經濟壓力時期提出的論點。

網絡安全裁員以及隨之而來的有經驗求職者人數增加的一個影響是，招聘市場正在從候選人市場轉向招聘市場——就像購房根據供應在買方市場和賣方市場之間波動一樣（可用的屬性）和需求（購買的錢）。多年來，經驗豐富的網絡安全工程師一直能夠挑選雇主，并要求略微膨脹的薪水和條件；但情況已不再如此。 

這在所提供的薪水中開始顯現出來。“他們正在趨于平穩，”Sasson 說，“甚至可能會下降。但這需要在候選人驅動的市場中從幾個季度前的急劇增長的背景下考慮。” 薩森當時認為這些是不可持續的。但現在，“那些正在尋找一年前的巨額薪酬方案的人將不得不調整他們的期望。”

Optomi 的高級網絡安全招聘人員 Sam Del Toro 也看到了薪酬預期與實現之間類似的日益嚴重的失調——尤其是在更高級別的職位上。由于裁員，現在有更多的中高級候選人在尋找新的機會。 

“另一方面，”他說，“在過去的幾年里，我們看到網絡安全薪酬顯著上升。現在，隨著組織正在收緊預算并提高財務意識，很難使候選人和客戶的薪酬保持一致。”

Thomssen 看到了不斷發展的租用者市場的另一種不同的影響。“我看到安保人員的招聘從直接聘用轉變為基于短期項目合同的角色。在過去，你不會看到安全專業人員接受此類合同，但安全人員招聘格局已經發生了變化。”

目前尚不清楚這是否會發展成為一種常見的網絡安全招聘長期方法，或者僅僅是應對經濟不確定性的短期解決方案。零工經濟會涉及網絡安全嗎？它在許多其他就業領域一直在增長，也許當前的經濟氣候會推動現有趨勢，就像 Covid-19 推動遠程工作一樣。

一個明顯的跡象可能是虛擬 CISO (vCISO) 的雇傭增加。這將保留獲得高水平專業知識的途徑，同時降低成本。另一個可能是增加對托管安全服務提供商 (MSSP) 的使用。“我們看到越來越多的安全運營外包給顧問和承包商，或者外包給 vCISO 和全球 CISO，或者任何你喜歡的稱呼，”Hoxhunt 的聯合創始人兼首席執行官 Mika Aalto 評論道。但他補充說，“這可以適用于較小的公司，但存在風險。安全應該被視為一種競爭優勢和一種增長戰略，而不是一種奢侈。”

Piacente 的公司發現新候選人流量增加了 20%。雖然主要原因是經濟，但很難找出具體原因。網絡安全一直經歷著快速流失，各級員工定期跳槽到新公司以獲得晉升或提高薪酬。這種流失仍在繼續，但由于就業人員四處張望而變得復雜——不是因為他們正在被解雇，而是以防萬一他們被解雇。

與此同時，一些通常會尋找更好機會的人正在選擇保留他們擁有的東西，直到更穩定的情況恢復。“在這些周期中的另一個觀察結果，”Piacente 補充道，“屬于多元化類別的候選人往往更不愿意做出改變。由于這一類別的候選人已經少得多，這使得公司更難以實現創建更多樣化的組織或計劃的目標。這是公司真正需要將關心、關注和現實納入其變革計劃的時候。”

Bugcrowd 是一家積極尋求從“多元化”人才庫中招募人才的公司。“雇主需要采取更積極的方式從非傳統背景中招聘，這反過來會顯著擴大候選人范圍，從那些擁有正式學位的人到個人，這些人經過適當的培訓，具有難以置信的高潛力，”格里評論。

可以預料，隨著一些公司裁掉經驗豐富的員工，而另一些公司則根本不雇用新員工，為新的、沒有經驗的或多樣化的人打入網絡安全領域將變得更加困難。畢竟，為了省錢而減少員工人數的公司不太可能花錢對沒有經驗的新員工進行內部培訓。

德爾托羅并不這么認為——這幾乎是不可能的。他說：“我認為 [有經驗的] 候選人涌入市場不會對新來者尋找機會產生太大影響，因為一般來說入門級網絡安全角色根本就不夠多。” “組織幾乎總是在尋找中層及以上的候選人，而不是引進有能力和興奮的新人，因為后者需要的不僅僅是財政資源。”

招聘進行中

很難確定裁員總數中被解雇的經驗豐富的網絡安全專業人員的實際人數，但很可能是大量的。盡管董事會對安全是業務推動因素的想法變得更加開放，但安全與利潤之間并沒有明顯的界限。然而，安全性和成本之間存在直接聯系。安全問題在裁員中占有重要地位幾乎是理所當然的。但這可能是個糟糕的想法。

對于所有裁員，公司應謹慎行事。當出于經濟原因需要裁減大量員工時，同樣的經濟原因可能會導致裁員迅速甚至殘酷。這些突然失業的人將對公司及其系統有內幕消息；有些人會有報復的念頭。與此同時，該公司可能降低了其網絡安全團隊的效率，以應對來自近期惡意內部人員的新威脅。

“裁員正在影響科技行業的大部分領域，網絡安全也不能幸免，”Vulcan Cyber 的高級技術工程師 Mike Parkin 評論道。“雖然當公司不得不勒緊褲腰帶時，任何部門都不應真正幸免，但失去安全運營技術人員的威脅可能會產生不成比例的影響。”

總的來說，我們在網絡安全招聘方面有一個候選人市場，但我們正在轉向雇主市場。Del Toro 為被解雇并正在尋找新職位的安全人員提供了這樣的建議：“我會告訴求職者要準備好接受更長的面試過程和更長的時間，然后才能延長聘用時間。招聘經理承受著更大的勤奮壓力，因此求職者需要更加了解面試禮儀。最重要的是，確保你的技能保持敏銳——利用你的休息時間尋找有激情的項目并提高你的手藝，這不僅是為了在安全領域保持相關性，也是為了重新熱愛你所做的事情！”