另外,安全行业也在忍受“纸老虎”之痛。那家不愿透露姓名的安全厂商称:“我们聘来的一些人拥有高学位,却完全如同白痴。虽然他们拥有学位和证书,却连组建网络都不会。他们懂得歌词,却不懂得怎么唱歌。”
Maley认同这一观点,他说:“这么多年来,许多人在到处混证书。他们可能拥有五六个头衔……坦率地说,证书行业有不少考试题库网站。一些人还没有什么实际经验,就拿到了证书。”
Maley表示,据他所知,招聘经理们看到那些头衔后觉得眼前一亮,对全面的审查工作也就随它去算了。他说,为了避免招进来的是纸老虎,雇主一定要查看简历,然后回过头去把工作经验与所持证书作一比对。
话虽如此,Maley还是愿意招聘认证信息系统安全专家(CISSP)、认证信息系统审计师(CISA)或者认证信息安全管理员(CISM)――也就是说,前提是他有钱请得起他们。
Maley说:“我好希望说自己在招聘CISSP,但我付不起足够高的薪水给这些人。”至于CISA或者CISM,Maley表示,CISSP通常持有这些证书,这表明了他所说的固有工作经验,即CISSP原本就具有他们的工作经验。他说:“除非对方拥有工作经验,否则还是别招为好。”
Maley提到请不起CISSP时表示,没钱去请条件合格的安全员工向来是自己为州政府负责网络安全工作面临的“最大的挑战之一”。实际上,Maley估计公共部门与私营部门付给安全员工的薪水相差20%到100%之间。
Maley说:“我手下有一名员工后来跑到了私营部门,薪水就翻了一番。如果让我来招安全专家,即便给了对方较高级别的薪水待遇,还是无法接近他们在私营部门所拿的薪水。”Maley也没有想到招进来的员工会长期留在自己身边。
为了避免身边的是没有经验的安全员工,他采取的对策就是招聘“没见过多大世面的人”――他们有时刚从大学毕业,不过又很有潜力。
吸引这些员工的地方在于有机会在大企业环境工作;在这种环境中,安全员工有机会发现露出苗头的网络攻击。举例说,在过去的六个月里,Maley领导的安全团队就发现了“风暴”(Storm)特洛伊木马的三个变种,而其他地方没有发现这三个变种。考虑到赛门铁克公司在4月8日发布的那份安全威胁报告,这不足为怪。该报告提到,针对可能受到最终用户信任的网站(比如社交网络网站或者政府网站)的攻击出现了变化。
Maley说:“我手下的团队有机会与这种木马作斗争,加以分析,而且在与坏人的较量中处在领先位置。”他表示,新进员工获得了重大、“激动人心”的项目方面的实际经验,其中有个项目涉及渗透测试,这种测试采用Core Security公司的技术,实现了局部自动化,应对病毒爆发带来的重复干扰。
Maley还指导招来的新手如何丰富履历。他知道,他们终究会离开公司;但如果他们在职期间能够丰富履历、能够快乐地学习,那么他们呆在公司的时间就会长得多――任何缺少收入的公司都可以充分运用这个方法。
