过去三年，信息安全组织异常艰难：威胁不断升级，IT环境变得越来越复杂，而解决这些问题的可用资源未能跟上需求的步伐。但值得庆幸的是，好消息正在出现。 Forrester研究公司见证了早期的趋势：在行业上的增加（比如制药和石化行业）、信息安全支出的增加。在组织将投资的三个主要领域（人员配备、技能和技术）中，对于安全领导人来说，人员配备的挑战最大。

　　在整个IT行业，尽管经济不景气，失业率也在增加，但在过去三年里，为信息安全团队寻找合适的人选已经变得越来越困难。这是一个令人担忧的趋势，这个趋势可能会随着紧缩消退而加剧，并增加对高素质员工的需求。

　　建立有效的信息安全团队需要无数的角色和技能，并且在技术和业务的理解、威胁洞察力和风险专业知识方面有一个科学上的精确平衡。这种平衡需要仔细的选择和个人的发展，加上相当数量的战略策划和创意。

　　在Forrester的安全和风险手册中，我们建议安全领导人在寻找和选拔人才时，注意以下七点。

　　1．考虑更多招聘渠道以提高胜算

　　在充满挑战的市场中，想要吸引人才并建立一个有效的团队，首席信息安全官（CISO）需要站在自身角度之外去思考。一位CISO招募本地网络安全竞赛中的赢家，而另一位CISO与当地一所大学促成一项协议，为优秀的候选人提供实习机会。您应该向其他渠道广开言路，并与您的人力资源（HR）部门合作，以构建有创造力和吸引力的招聘计划。

　　2．在这个过程的每一步中，确保审查关键的标准

　　一旦收到简历，CISO迅速审查它们以识别与组织的需求最匹配的候选人，这是至关重要的。这是一个具有挑战性的过程，CISO们应该为迭代过程做好准备，在每个周期中剔除最不合适的人选。每个审查步骤都非常关键，在理想情况下，应当以一种特定的顺序去完成它们。为了最大化您选择正确候选人的机会，调整您的招聘流程以适应以下步骤：1）审查简历；2）执行预选任务以及3）进行面试。

　　3．通过证书洞察候选人的志向

　　Forrester对安全市场的研究显示了一个明显的趋势：对于想成为只涉及技术的安全专家的机会正在减少，大多数安全工作，甚至面向技术的安全工作，现在都要求候选人有能力参与业务。必要的软技能，如建立关系和沟通，通常比技术上的技能更难教，因此，许多组织都倾向于雇佣在技术上没有什么经验的申请者，同时了解培训的需要。

　　在安全团队中，硬技能几乎就是指证书。这些证书开始是作为一个不成熟的行业的最好意向，但现在很多培训机构也纷纷加入以盈利为目的行列中。无论您是相信证书是人才的一个真正的指标，还是某个营销摇钱树，都是无关紧要的——证书留下来了，并且证书的选择的确说明了关于申请人的某些东西。

　　4．合适的人选要的不止是钱

　　任何工作的面试都是一个双向的选择。让候选人清楚地用语言表达他们的责任、挑战和他们追求的奖励回报是非常重要的，因为这些信息将帮助您制定一个报价，并最终形成一个让候选人无法抗拒的经历。

　　在竞争激烈的市场中，补偿方案需要有创意，并且确保候选人知道这个报价是专门为他们而做出的。考虑提供独特的优势，这直接吸引到他或她的主要动机。

　　5．留住比招聘更好

　　需要雇用信息安全团队去解决的攻击和威胁不会暂停以适应职位空缺和“培训日”，所以留住人比招聘总是更好的。从财务角度来看，更换一名员工的成本总是很大的，而留用现有的员工可能是更节俭的选择。但是，必须权衡可用的技能和新思维的价值。不要被这个财务差额所蒙蔽；Forrester公司了解到在一家全球性组织，为了替换一位将要离开的CISO，高管们对于他们将要支付的薪金水平感到惊讶。他们决定，他们负担不了一个直接的、对等的更换，而采取内部调用。

　　6．与员工建立友好关系以提高忠诚度并留住人才

　　不要骗自己：在这个市场中，您的每一位好员工定期会接到来自招聘人员和潜在雇主的电话，询问他们是否对其他角色感兴趣。在未来18个月内，随着市场的不断升温，他们将收到更加诱人的报价。如果您不培养忠诚度，他们会选择离开。思考您的保留策略和计划，以留住而不是更换好的人才。

　　7．扩展您有尊严的告别网络

　　天下无不散的宴席。作为一位安全领导者，您的角色是要挑战和发展您的员工成为最好的，并希望他们对您的支持回报以好的业绩和忠诚度。然而，有时候，组织将无法满足员工增长的需要，员工将需要继续流动以找到下一个合适的挑战。努力确保您的前员工是您最大的支持者，因为在您的职业生涯中，他们的联系和影响力将回报您很多次。