网络安全招聘的“六要”和“六不要”

持续多年的网络安全人才荒仍在继续，企业对优秀网络安全人才的争夺也空前激烈。如何完善和提高网络安全职位招聘工作，吸引更多安全人才成为企业安全团队和人力资源关注的热门话题。近日MongoDB的首席信息安全官Lena Smart分享了她的招聘经验，归纳为“六要”和“六不要”：

安全职位招聘的“六要”

一、 职位描述（要求）要明确具体

避免在招聘信息中出现模棱两可或笼统的描述，应该详细准确地说明每个空缺职位的职责。

要想在招聘环节胜出，企业就需要比其他公司更深入地研究网络安全职位的工作内容和要求，这也是吸引合适候选人的重要策略。

托管服务提供商Thrive的首席技术官Michael Gray表示，他甚至列出了该职位日常工作的具体示例，如果候选人“做不了的就不予考虑”。

Strata Identity的人才招聘负责人Jason Baum也有类似的看法：“缺乏足够的职位描述信息不会吸引到真正有价值的人才，反而会吸引太多没有所需经验的人，”他说：“既然你有特定的需求，就不要用与同行雷同的职位描述来误导求职者，正确的职位描述将帮助你缩小完美候选人的范围。而错误的职位描述只会让应聘者感到困惑，导致很多不具备相关经验的人才也向你胡乱投出简历，增加双方的时间成本。”

二、职位描述要实事求是，不要花里胡哨

一位资深安全负责人表示，他们看到太多网络安全招聘广告也许是为了显示招聘方的专业性，罗列一大堆技能和经验，很多都超出了一个岗位的个人能力范围。NeuEon首席信息安全官兼国际IS专业协会ISSA主席Candy Alexander说，真正有才华的安全人才会敏锐地察觉到注意到此类招聘广告透露出的危险信号。

Alexander指出：“应聘者知道接受挑战和过度劳累是有区别的，所以企业对于职责描述最好是实事求是。”

Alexander建议招聘经理首先审查他们是否对职位本身有适当的期望，并确保他们已经正确调整了职位的职责；一旦他们完成了这项工作，他们就可以发布一份包含期望和责任清单的工作。总的原则是：让你雇用的那个人取得成功！

三、注明不同岗位所需的成功特质

不同的网络安全岗位有着不同的成功特质，例如威胁猎人和渗透测试人员需要有每天面对未知挑战的兴趣和勇气，以及创造性解决问题的能力，而重复性工作较多的安全运营和分析岗位更看重细致和耐心，在高度结构化和流程化的工作环境中按部就班、兢兢业业。

在职位招聘广告中说明这一点有助于确保公司和应聘者有着较高的匹配度。

四、清楚你的文化和使命

MongoDB在其网站上发布了一个明确的使命：“MongoDB通过释放软件和数据的力量，让创新者能够创造、改造和颠覆行业。”

该公司也在网上列出了其核心价值观：“Think Big，Go Far；共建；拥抱差异的力量；理智诚实；并拥有你所做的一切。”

Smart说她也喜欢在安全岗位招聘信息中引用这些内容。此外还添加了有关企业文化的信息，例如周三不开会，确保员工至少有一天不间断的时间埋头工作。

为美国国防承包商提供网络安全建议和CISO服务的KLC Consulting总裁兼首席信息安全官Kyle Lai对此表示赞同，他补充说：传达公司愿景的招聘经理更有可能吸引那些认同企业价值观和文化、愿景和使命的应聘者，双方也更容易产生化学反应。

五、以销售的心态撰写招聘广告

网络安全人才是供需严重失衡的市场，人才争夺战以及网络安全专业人才短缺都是广为人知的事实。网络安全公司HackerOne的联合创始人兼首席技术官亚历克斯·赖斯（Alex Rice）表示，一些人力资源经理显然没有搞清楚形势。

“很多时候，招聘者没有意识到安全领域的供需失衡的严重程度。才华横溢的网络安全专业人士往往有很多职业选择，能够吸引这类人投简历是企业的荣幸，而不是应聘者的荣幸。但是太多招聘者在撰写招聘广告和职位描述的时候还是一种以企业为中心的居高临下的方式和语气。很多招聘广告中甚至完全没有提及或说明为什么（应聘者）应该申请这份工作。”赖斯说道。

他补充说：“招聘者应该用撰写营销文案的心态去撰写每一个安全职位描述。不要假设任何人才都想为你工作。”

赖斯说，招聘经理应该强调可以为人才提供什么待遇和机遇，并在发布时使用它来吸引候选人。

“如果你是一家大型科技公司，或者你可以支付巨额福利，那就靠它吧。如果你不是，那就挖空心思想想还有什么底牌来吸引合适的人才，例如企业的使命，诱人的企业文化、或者对员工职业发展的投入？如果这个问题没有想清楚，你甚至不该发布招聘广告。”

六、招聘广告投放侧重垂直渠道

安全招聘广告投放的渠道选择、频次与其内容同样重要。

职位描述是公司人才品牌的一部分，但广告的发布位置和更新频率也起着至关重要的作用，使用联合平台将招聘广告战略性地分发到尽可能多的位置以提高知名度。

选择合适的时间点，例如在周五发布广告，以便在潜在求职者正在寻找新机会的周末排名更高，也会提高点击率。投放渠道方面，网络安全行业或专业网站、博客自媒体或社交媒体群组里有着更为集中的潜在应聘群者。

六不要

一、不要将招聘广告当成购物清单

如果企业的招聘广告看上去像是超市购物清单那么简单草率，那么给应聘者传递的信号就是企业根本不知道自己需要什么。同时，这也表明企业的网络安全部门存在更深层次的功能障碍，通过招聘广告暴露给全世界。

二、不要要求过多的经验

如果企业准备招聘的是一个入门级职位，就不应该要求多年的经验。事实上，有专家质疑是否有必要列出具体的经验年限。“例如，你真的需要八年的渗透测试经验吗？或者你会接受五年还是四年？或者你真的可以和候选人一起做一个练习，看看他们是否有资格担任这个角色吗？”

三、不要过度要求教育背景

网络安全是典型的新兴离散型人才市场，很多优秀人才也许并没有网络安全甚至计算机科学学历，列出所需的技能（或认证）、经验而不是特定的大学学位可能会更快地吸引合适的候选人。

四、职位名称中不要降级职位（没有小杯,只有中杯、大杯和超大杯）

职位名称中出现“初级”的字样可能会令人反感——尤其是如果你正在寻找具有一定经验水平的人。重命名职位，例如，不要写初级分析师，而是与分析师归为一类，然后让企业中更有经验的职位成为高级分析师。

五、不要使用流行语或模糊的标语

使用网络流行语或模糊的标语只会让真正的人才对企业的真诚度和专业性产生怀疑。

六、不要将撰写招聘信息的工作外包（要CISO亲自写）

专家们一致认为，招聘经理（通常也是首席信息安全官）应该大量参与撰写职位发布，以确保它准确反映其部门需求并与他们级别的安全专业人员交谈。“招聘经理最了解他们对该职位的需求，因此也知道该职位所需的准确技能和内容。”