网络安全行业正面临前所未有的挑战：在不断扩大的威胁形势和严重的技能短缺中留住熟练的专业人员。组织发现自己在吸引和留住网络安全人才方面处于激烈的竞争中，如果不这样做，可能会产生可怕的后果。

根据 Forrester 最近的研究，忽视员工留住工作会导致缺勤率增加、工作环境有毒，并最终导致更大的安全风险。与拥有健康工作文化的安全团队相比，经历高度倦怠和脱离敬业度的安全团队报告的内部违规数量几乎是其三倍。此外，当团队成员担心因提出影响组织风险状况的担忧而遭到报复并且缺乏心理安全感时，内部事件的风险就会飙升至全球平均水平的三倍半。

为了应对这些挑战，组织需要实施战略措施，包括创造一个培养弹性和工作满意度的环境，以留住网络安全专业人员。

根据 Tenable 的 CSO 兼研究主管 Robert Huber 的说法，在管理网络安全专业人员需要完成的工作和他们如何完成工作之间取得平衡是关键。他解释说，尽管网络安全专业人员面临不断增长的需求，但预算往往无法跟上。因此，CISO 必须有效地确定网络风险的优先级，以防止团队被大量的威胁压得喘不过气来，帮助缓解压力，并防止倦怠。

“作为领导者，您最容易做的事情就是帮助他们确定优先级并专注于对您的组织重要的事情，”Huber 说。“如果您提供服务，哪些因素会影响您提供的服务？如果您产生收入，哪些会影响您产生的收入？你的工作是告诉人们应该把注意力集中在什么地方，因为这种缺乏注意力只会把人们推向地面。你可以无限期地消耗这些资源，但要解决每一个漏洞和每一个风险，我们已经知道这是不可能的。

在网络泄露期间注意心理健康

留住人才的另一个关键方面是心理健康。Huber 强调了经常签到和确保团队成员休息的重要性，尤其是在高压时期。

“当网络安全事件发生时，很容易连续 24 小时和连续工作很多天，甚至整个周末，因为你觉得自己拥有它，你想要解决它，你想降低风险，”他说。“但作为领导者，你的工作是靠拢并确保人们至少退后一步，休息一下，休息一下，或者至少在精神上休息一下。”

他举了一个例子，当时 CrowdStrike 向帮助其 2024 年 7 月发生 IT 中断的合作伙伴和团队提供 10 美元的 Uber Eats 优食礼品卡。“不管这是否合适，至少有人想，'嘿，我们知道团队连续工作了好几天，工作时间又长又辛苦;让我们提供咖啡、食物或休假。你必须作为领导者介入，并确保你照顾好你的员工。

Forrester 副总裁首席分析师 Jinan Budge 也赞同这些观点，强调需要通过关注三个关键领域来解决倦怠问题以留住团队：期望、资源和感知。

她说，CISO 根据团队的能力设定切合实际的期望非常重要。她还指出，资源配置不仅涉及工具和人员，还涉及健康计划，例如 CyberMinds 等组织提供的冥想计划和复原力研讨会。“那些举办研讨会或任何改善团队福祉的事情在留住人才策略中变得非常重要，”Budge 说。

除了能够帮助网络安全专业人员确定其工作负载的优先级外，Huber 还强调了让网络安全专业人员自由试验和探索感兴趣领域（例如 AI 或其他新兴技术）的重要性。他相信它可以带来一些好处，例如从日常工作中解脱出来，并帮助这些专业人员继续参与新技术，其中一些技术有可能成为攻击面。

“您希望人们觉得他们有能力花时间去探索他们感兴趣的主题。告诉他们，'嘿，如果你每周或每月抽出这么多小时来研究这些新主题或参加培训，我没关系'，“他说。

投资于技能并留出增长空间

技能提升仍然是一个强大的留住人才的工具。正如 Huber 所指出的，Tenable 投资于对整个团队进行新兴技术和能力的培训，确保员工感到有能力和受到重视。

同样，毕马威实施了有针对性的计划，以支持网络安全领域的多元化和职业发展。例如，该公司的 Cyber Women Leads 计划侧重于培训中层管理人员女性网络安全专业人员，以正式掌握她们的领导技能。

除了以多元化为重点的举措外，毕马威还采用了创造性的招聘策略来解决网络安全人才缺口问题。通过挖掘相邻的技能组合，并为那些寻求第二职业或父母重返工作岗位的人提供交叉培训机会，该公司已经能够扩大其人才库。

对于像 KPMG Australia 网络人类风险合伙人兼解决方案负责人 Dominika Zerbe-Anders 这样的网络安全专业人士来说，成长机会有助于她维持自己在网络安全领域的长期职业生涯。在毕马威，她每隔几年就有机会接受新的挑战，为她的职业发展和工作满意度做出贡献。

“这就是让我保持兴趣的原因。感觉就像每三四年我在毕马威的职业生涯就不同，“Zerbe-Anders 说。“三年前，我们与我共事过的最了不起的领导者之一一起发现，我们在网络安全的人类风险领域没有做很多事情。因此，我能够申请并获得种子资金，在人类风险管理领域引入一项全新的服务。然后它走向了全球......现在它在市场上已经非常成功。那是我看到我们在这个领域什么都没做的机会之一，我举起手说，'我想领导这个项目'，公司真的很高兴投资和支持我。

“去年也是如此，我采取了略有不同的方法。我调了个部门，试图帮助发展和扩大这里的一个网络团队。所以，这实际上是关于能够不断改变方向、继续成长并引入新人，而不是总是一遍又一遍地做同样的事情。

经济利益并不总是答案

有趣的是，Budge 指出，虽然薪酬似乎自然而然地是一种典型的留住人才的策略，并且它是年轻员工的激励因素，但它并不能作为激励因素维持下去。相反，她强调需要以目标为导向的工作来保持参与度。

“安全团队成员寻求目标和动力。我们是否对组织、业务价值和底线产生了影响？从行动的角度来看，我们如何将团队正在产生的改变传达给高管，也传达给团队？

“如果你是一名领导者，你在团队中花费的时间是否与你与高管相处的时间一样多？你必须去战壕，因为他们的动机是目标和动力。如果他们不是，那么你可以远离它。但现实是，安全与目标有关。我们大多数人来到这里，因为我们相信我们正在更广泛地保护我们的组织、企业和社会。

认可和企业支持的价值

Huber 建议，将网络安全人员嵌入到业务的不同领域是另一种有效的策略。他认为，通过与各个部门密切合作，安全专业人员可以更好地了解业务运营，获得主人翁意识，并更有效地为组织目标做出贡献。

Huber 补充说，领导层的参与对于加强组织内网络安全的重要性至关重要。他建议高管通过参与讨论并强调网络安全计划的价值，积极与网络安全团队合作。他说，当 CEO 和高级管理人员倡导安全时，它表明了它对组织整体使命的重要性。

“如果你得到领导层的企业支持，它可以帮助其他团队制定目标。我认为这大有帮助，因为人们了解这个角色的重要性，“Huber 说。

认识到它不是一刀切的

然而，Budge 指出，激励和领导风格可能因地区而异。例如，在澳大利亚，很大一部分网络安全专业人员来自非 STEM 背景，这导致了更多样化的领导风格。

相比之下，她解释说，印度等地区更加重视 STEM 资格，导致职业发展途径不同。此外，文化因素会影响人们对网络安全问题的看法和解决方式，与新兴监管框架的国家相比，拥有长期数据保护法规的国家/地区表现出更成熟的方法。

Huber 总结道，归根结底，留住网络安全人才需要一种多方面的方法，以平衡工作量、优先考虑心理健康、培养归属感文化并提供有意义的职业发展。

“这真的取决于个人。你必须有领导者，他们的工作是了解是什么激励每个员工，“他说。“有些人可能真的想要得到认可;其他人想要金钱奖励。有些人想要额外的培训，而另一些人则希望抽出时间与家人和朋友共度时光。你必须弄清楚是什么激励了整个组织的人，这对任何领导者来说都是一个挑战。