https://www.informationsecurity.com.tw/seminar/2024_OT/
https://www.informationsecurity.com.tw/seminar/2024_OT/

觀點

尋找優秀資安人 請將經歷放在學歷前面

2013 / 06 / 10
廖珮君
尋找優秀資安人  請將經歷放在學歷前面

 
人才是企業成長的關鍵,奇異(GE)前總裁傑克威爾許(Jack Welch)便曾經描述自己,在GE工作期間把60~70%時間都用在尋找好人才身上,顯見人才之於企業的重要性,而資安領域由於專業度高,好的資安人才更是可遇而不可求。

過去一年來,《資安人科技網》經常接到企業HR打來的詢問電話,希望能透過資安人網站發佈職缺訊息,尋找優秀資安人才,由此看來資安人力市場上的需求非常熱絡,不過吊詭的是,在採訪過程中遇到的資安工作者總是感嘆企業不重視資安,沒有一個可以盡情發揮的工作環境。

HR獵才3大盲點
究竟,資安人才的供需之間出了什麼問題?為什麼好的資安人才感概無用武之地,而大企業HR卻又苦惱找不到好的資安人才?簡單來說,企業HR在尋找資安人才時經常陷入以下3大盲點,導致無法吸引優秀人才為企業效力。

盲點1、薪資給付不合理
台資企業低估員工薪資水準已是眾所皆知的事情,就連資安領域亦不例外,以目前市場行情來看,相同工作內容與位階的資安職缺,台資企業所願意給付的月薪比外商企業低了約2,000美金(以1:30的匯率來計算,就是少了新台幣6萬元),甚至某些比台灣資安水準低的國家,遇到優秀的資安人才還是願意給付高薪,惟獨台資企業普遍不願意在資安人才上多做投資。

造成這種現象的原因很多,不單單只是企業主不肯提高薪資水準,台資企業薪資結構複雜,也是其中一個原因,有些HR認為員工本薪太高會增加公司成本,因此在提列員工薪資時,本薪可能只有薪資總額的60%,剩下40%再用獎金、車馬費、餐費…等各種名目去填補。如果單以本薪來做比較,一位資安管理者在外商企業工作,每月的薪資可達到新台幣15萬元以上,本薪與薪資總額的差異可能只有5%,但在台資企業每個月的本薪可能就只有6萬元。

另外,某些企業還有一個不成文的規定,就是用HR能為公司節省多少薪資作為KPI指標,因此經常出現的狀況是,資安部門主管面試並確認錄用某一個人,到了HR談薪水這一關卻不停砍價,最後自然無法找到理想人選。

當然,HR砍價也可能是因為不了解外部行情,直接用內部員工薪資水準去開價,假設找的是經理級工作職缺,就以內部經理級職位薪資為基準,開一個差不多的價碼,又或者以該員上一份工作的薪資水準為開價基礎,而這似乎已成台資企業的通病,在評定面試者的薪資水準時,總是以上一份工作的薪水為基礎,再往上加一點點數字,外商企業卻非如此,其看的卻是個人工作能力,依據能力高低來決定錄用薪資,並不會以上一份工作的薪水為基礎,相較之下,後者的作法自然比較合理。

盲點2、重學歷而非經歷
資安工作高度需求專業與技術,越是身經百戰的人,在規劃防禦機制、處理資安事件或採購設備上的成效也會比較好,因此,學歷並不是人才優秀與否的關鍵,熱情與經歷才是,許多資安工作者並非資訊相關科系畢業,單純憑藉一股熱情不斷自修而投入資安領域,然而在HR「學歷至上」的用人哲學中,這樣的人並不吃香。

一位擁有10年以上工作經驗的資安人便表示,在轉職過程中經常遇到類似狀況,他曾經同時在人力銀行網站上應徵5家不同公司的資安職缺,卻沒有接到一通通知面試的電話,因為HR在過濾面試人選給資安部門主管時,一看到非本科系畢業(或是非研究所或國立大學畢業)的應徵者,就直接刷掉,就算有1、2家通知去面試,對方開口第一句話就是:你是企管系畢業的,可以做資安嗎?這種忽略經歷的作法,自然找不到優秀的資安人才。

盲點3、不清楚要找哪一類型的資安人才?
資安工作複雜且多元化,不同部門或功能的資安職缺,對人才的技術要求也就不一樣,舉例來說,如果工作內容與事件處理有關,就需要具備數位鑑識、分析Log、緊急應變處理…等能力的人,如果是資安管理類的工作職缺,具備ISO 27001主導稽核員、CISSP…等證照的應徵者會比較適合。

然而,HR往往不知其中差異,進而發生要找資安事件處理人員,卻要求面試者需具備CISSP證照的詭異情境,很多時候HR在找人之前會要求一堆證照如CISSP、CEI、CEH…等,但在進來後的工作內容卻與之無關,因此,HR必須釐清自身要找的是哪一種資安人才?亦或只是需要一個會操作資安設備的人?根據需求再去撰寫相對應的工作說明書(JD),很多時候HR開出的JD,只是列出一串不同廠牌的資安設備,希望面試者了解這些設備,似乎要找的只是一個會操作設備的人,而不是做資安的人,在JD不明確的情況下,又怎能期望找到適合人選。

 

2013薪資大調查4大發現

看完HR在尋找資安人才上的盲點後,我們想了解一下目前台灣資安工作的現況,因此,《資安人科技網》在今(2013)年初進行了線上問卷《2013資安人薪資大調查》,希望能了解目前資安人在市場上的工作現況。先就受訪者任職單位來分類,有60%的受訪者任職於企業端(user site),40%任職於供應商(vendor site),接下來則逐一介紹在本次調查中的4大重點發現。

1. 40% 的企業有專職資安團隊或人力
任職企業端的受訪者中有65%表示,公司沒有專職資安團隊的編製,而在這65%受訪者中,只有7%的企業設有1名專職資安人力,其餘皆為兼職資安工作,若再加計原先35%有專職資安團隊的受訪者,平均40%的企業設有專職資安團隊或人力。

2. 42% 的資安人每月平均薪資為新台幣4~6萬元
我們將薪資水準分成7個級距,從新台幣3萬元一直到10萬元,每9,999元為一個級距,根據統計結果來看,每月薪資在新台幣40,000-49,999、50,000-59,999元的比率最高,兩者皆為21%,至於第3名則是30,000-39,999元,約有18%的受訪者(如下圖)。



如果進一步將受訪者身份來看薪資差異,Vendor端工作者每月平均薪最高的前3名依序是:40,000-49,000元(25%)、70,000-89,000元(19%)、100,000元以上(17%),至於企業端的前3名則是,50,000-59,000(26%)、30,000-39,999(24%)、40,000-49,000(19%)。我們進一步將受訪者回答繪製成橫條圖(如下圖)來做比較,可以很明顯的看出,Vendor受訪者的薪資水準大多散佈在比較高的級距上,而企業端受訪者則集中在比較低的薪資級距上,由此看來,在Vendor端工作的薪資普遍優於企業端。



 

3. 52% 資安人每週平均工作時數為41~50小時
如果以每天工作8小時、一週工作5天(即一週工作40個小時)為基準,18%受訪者每週平均工作40小時,52%受訪者每週工作50個小時,平均每天加班1~2個小時,若進一步從Vendor、User端來比較,Vendor受訪者約有63%每週工作時數為40-50小時,而User端的比例則為74%,兩者差異並沒有上述薪資水準那麼大。

4.資安工作年資M型化發展
最後則是了解受訪者的工作年資,18%的受訪者工作年資在3年以下、11%為3~5年、7%為5~7年、20%為7~9年、44%為10年以上(圖4),這邊出現一個有趣的現象,受訪者工作年資不是3年以下(資淺)、就是7年以上(資深),為什麼3~7年間會出現斷層(只有16%)?



 

某名資安部門主管指出,資安是一個高度需要熱情的工作,如果工作者沒有熱情很快就會離開這個領域,就他個人經驗來看,經常花了1~2年時間來訓練新人,等到新人可以獨當一面的時候,往往有極高的比例要轉換跑道,剩下會繼續留在資安圈的人,大概這一輩子就不會想再轉換到其他領域了,所以才會出現這種不是資深就是資淺的M型化現象。 

 

(ISC)2調查:美洲資安工作的年薪較其他區域高

此外,(ISC)2也在2013年初發表一份調查報告The 2013 (ISC)2 Global Information Security Workforce Study,當中也有一些關於資安工作年薪的統計結果。

份調查報告的受訪者平均年薪為美金92,835元(以1:30的匯率計算,約新台幣278萬元),C-Level受訪者(即CISO、CIO...等)年薪則為106,151。若進一步從地理區域來比較,位於美洲的發展中或已發展國家,資安工作者的薪資水準皆較其他區域來得高,而泛亞太區(APAC)的薪資水準則較低,從表1中可看出,美洲的已發展國家,資安工作者年薪超過美金8萬元以上的比例最高(79%),而位於泛亞太區的發展中國家,資安工作者年薪在美金4萬元以下的比例最高(67%),至於影響資安工作者薪資高低的原因,(ISC)2認為有很多因素,包括職稱、企業所在位置、證照、經歷...等。

1、各區域資安薪資水準統計

 

區域

已發展國家

發展中國家

年薪在美金8萬元()以上的比例

美洲       

79%

18%

歐洲/中東/非洲(EMEA)

54%

21%

泛亞太區(APAC)

49%

12%

年薪在美金4萬元()以下的比例

美洲       

2%

46%

歐洲/中東/非洲(EMEA)

6%

50%

泛亞太區(APAC)

15%

          67%        

資料來源:(ISC)2,資安人整理,2013/6

 

資安工作者若想要提升自身的工作能力與薪資,究竟該怎麼做?以下是受訪者認為,一個成功的資安工作者所應具備的條件,其中,銀行、金融、保險對第一點要求較其他產業高,資訊科技業和政府則重視在技術方面的專業能力,醫療業則強調溝通技巧的重要,這樣的差異也反應出產業的不同需求,資安工作者應視自身所任職的產業來加強相關能力。
1. 廣泛了解各種資安領域:92%
2. 具備溝通技巧:91%
3. 技術面的專業能力:88%
4. 知道且了解最新的資安趨勢:86%
5. 能夠規劃且落實資安政策(policy):75%
6. 具備領導技巧:68%
7. 具備業務管理技巧:57%
8. 具備專案管理能力:55%
9. 具備法律知識:42%

最後,還有46%的受訪者指出,任職單位要求他們需具備證照,而政府是最重視資安人員有沒有證照的組織,其次則是資訊科技業,要求證照的原因不外乎下列幾點:
1. 證明員工能力:68%
2. 工作特性:53%
3. 管理上的要求:48%
4. 公司形象或商譽:43%
5. 公司政策:40%
6. 客戶要求:40%
7. 持續進修的要求:35%

總結來看,台灣的資安工作環境的確不如外國企業,但是具備熱情與專業能力的資安工作者卻比比皆是,惟有企業主體認到資安工作的重要,HR撇開傳統只看學歷、壓低薪資的刻板印象,真正重視資安工作者的能力與經驗,才能讓企業資安環境變成正向循環,不僅HR找到優秀人才,資安工作者也能發揮所長,創造彼此雙贏的局面。