欧洲引领从网络安全 “员工数量缺口” 转向基于技能的招聘

根据 Sans Institute 的研究显示，近 50% 的欧洲组织报告称，监管指令如今直接影响其网络安全招聘实践，这使得该地区在解决网络安全人才挑战方面领先于全球步伐。

发布于 RSA Conference 的 2025 网络安全劳动力研究报告标志着该行业的一个转折点：全球首次有更多组织（52%）将“缺乏合适的人才”作为主要担忧，而非“人员不足”（48%）。

“我个人认为，网络安全领域实际上并不存在人才短缺的问题，” Cisco 的网络安全负责人 Helen Patton 表示。“真正的问题在于了解各类岗位所需的技能组合，并找到具备这些技能的人才。”

这一范式转变在欧洲尤为明显，监管框架（例如 NIS II 和 Dora）正在加速采用基于能力的劳动力战略。“在欧洲，指令和法规更多，” Sans 认证机构 Global Information Assurance Certification (Giac) 业务拓展总监 Brian Correia 说道。“欧洲一直走在这方面的前沿 —— 就拿 GDPR（通用数据保护条例）来说，它已经成为全球的标准。”

更广泛的人才库

研究的一项关键发现表明，组织可以通过关注个性特质和成长潜力，而不仅仅是技术背景，从而显著扩展招聘范围。“我们招聘看重的是特质；其余的我们可以培训，” United Airlines 网络防御董事总经理 Sean Mason 说道。当被问及哪些特质最为重要时，他指出“首先是工作态度，其次是能力和知识好奇心。”

这种侧重于适应性而非单一技术专长的策略，在实践中证明是有效的。Mason 指出，United Airlines 在人才保留方面取得了显著成效，部分原因在于它优先考虑这些基本特质，并辅以丰富的培训机会。“技术不断变化，没有人天生就懂得业务运作，必须先学习。如果你招聘到具备正确特质——即能力和工作态度的人，我们就可以教会他们其他一切。”

这在实践中意味着，组织不必专门招聘计算机科学或技术专业的毕业生。来自行为科学到商业领域的多元背景人才，只要具备正确的个性特质，都能在网络安全岗位上表现出色。

技能验证变得至关重要

研究发现中最引人注目的一点是，技能验证的重要性不断提高。在欧洲，65% 的组织现在要求在面对客户时必须出示认证，而 58% 的组织在内部招聘和晋升决策中依赖正式认证。“认证为个人的知识水平提供了信心或设定了预期，” EY 网络安全负责人 Anthony Switzer 表示。这种双重验证方式将技能文档工作从简单的合规性措施转变为组织人才战略的基石。

欧洲网络安全局（Enisa）的 Hans De Vries 强调了欧洲技能挑战的严峻程度：“我们在欧洲至少有 300,000 个明确的网络安全职位空缺，70% 的公司在寻找具备技能的劳动力上遇到困难，50% 的公司希望能招聘更多人才。”为了解决这一缺口，Enisa 开发了欧洲网络安全技能框架（ECSF），以补充美国的 Nice 框架。“目前已有 16 个成员国在采用 ECSF，无论是作为国家标准、公共部门招聘、国家劳动力评估，甚至是认证，” De Vries 说道。

定义正确的技能

研究还揭示了组织评估网络安全人才方式的根本性变化。技术能力已成为组织在候选人中最看重的标准，取代了过去主导招聘优先级的工作经验。认证验证现已成为第二重要的资质。这些发现挑战了传统的招聘方法。“我们需要关注的是基于能力的招聘，而不仅仅是基于技能的招聘，因为不仅仅是技能——还有知识以及所有软技能，”美国国防部代表 Matthew Isnor 在 Sans 劳动力峰会上表示。

这一观点也得到了 MBC Group 首席信息安全官 Aus Alzubaidi 的呼应，他已经彻底转变了自己的招聘方法。“几年前，是 70% 的技术专长对 30% 的态度与文化匹配；而今天，我们的比例接近 25%：75%，其中 75% 的考虑因素总是关于态度。”研究还突显了一个必须解决的重要断层，那就是 HR 团队与网络安全团队之间的脱节。尽管这两个团队普遍认为各自团队表现良好——65% 的受访者表示他们达到了或超过了目标——但他们对招聘决策权和资质的看法却大相径庭。仅有 8% 的网络安全经理认为 HR 是招聘的主要决策者，而 23% 的 HR 专业人士则认为他们掌握这一权限。

“10 年前，招聘是一个僵化的流程：IT 编写职位描述，交给 HR，再等待候选人，” Alzubaidi 说道。“那种方式已经行不通了。”他所在的组织通过为招聘人员提供网络安全培训，帮助他们了解现代技术栈和安全框架，从而改变了这种关系。最成功的组织正努力使这两个职能部门实现更深层次的整合。Airbus 的首席信息安全官 Joao Moita 描述了他们的做法：“我们的 HR 业务合作伙伴是部门的一部分，每天与团队共事，并参加我们的每周会议。这不是一个偶尔交流的 HR，而是真正成为了安全团队的一员。”这种整合使 HR 能够深入了解网络安全运作，从而实现更有效的招聘。“当我告诉 HR 业务合作伙伴我们需要一位架构师时，他们完全明白架构师的职责，他们理解我们期望的人才画像、思维方式、接口以及该人才对业务所应具备的理解。”这种从技术专长转变为注重个性特质和文化契合度的招聘优先级的巨大转变，代表了组织在应对网络安全技能挑战时的一种根本性改变。前瞻性的组织不再为有限的技术符合条件候选人竞争，而是致力于发现那些具备正确能力和心态的多元背景人才。

高层责任担当

在所有这些变化中，Nice 的 Karen Wetzel 就网络安全劳动力发展的未来提供了一个关键视角。“网络安全不能再被视为事后考虑或孤立的部门，”她表示，“它必须成为每个组织核心战略和文化的重要组成部分。”欧洲的监管现正将网络安全责任推向董事会层面，Enisa 的 De Vries 说道：“关键基础设施公司现在必须为所有高管提供强制性的网络安全培训，并且这些高管必须在年终报告中汇报他们的网络安全战略。” 这代表了责任追究的一种根本性转变。“当发生安全漏洞时，不应由 IT 总监承担后果——应由未能将安全置于优先位置的 CEO 承担责任，” De Vries 说道。“当医院遭受攻击、患者数据泄露时，实际生命面临威胁，这责任最终落在领导层，他们必须真正了解其中的风险。”