4月2日消息,迈克菲(McAfee)系统工程总监Sahba Idelkhani说:“如果缺乏,它将推高价格。” 而DevSecOps人才是稀缺的,也是昂贵的。对国际旅行的限制正在对一些国家的移民产生影响,尤其是澳大利亚。但实际上雇主对此无能为力。
但是,所谓的技能短缺的某些方面,在一定程度上是自己造成的。其中一个例子是,招聘广告中注明 "需要5年以上的工作经验"(或类似的内容),而这种经验水平只是一个理想的特征。
这种做法不仅限制了该特定空缺的候选人领域,还使入门级职位难以找到。如果应聘者无法踏入职场,他们又如何能获得雇主所说的经验呢?
DevSecOps变革势在必行
Idelkhani建议,组织需要改变他们的招聘做法,并把更多的精力放在对现有员工的再培训上。
特别是,如果你正在寻找DevSecOps人员,他建议,教给开发人员有关安全的知识,比让安全专家(他们也很缺乏)加快开发速度更好。其结果是减少返工,降低风险,缩短开发时间。
然而,安全专家会告诉开发人员他们做错了什么,这是有风险的。主动对开发人员进行安全教育是一种更有效的方法。
云学院是在线安全培训课程的众多来源之一,包括实践实验室,有时涉及犯罪分子用来破坏安全的相同工具。Idelkhani提供的其他提示包括采用 "构建安全 "的思维方式,以减少系统创建后所需的安全工作。
类似的观点也可以应用于入门级职位。
Idelkhani已经雇用了新的毕业生,尽管需要努力引导和培训他们,使其达到生产的目的。
他甚至对没有安全背景的有经验的人也采用了这种方法,包括前CTO和移动开发人员以及售前工程师。
修改工作描述,让更多的人可以申请,Idelkhani敦促说,因为能力和技能比具体的经验更重要,而具体的经验是可以教的。
例如,他建议,与其让一家大型金融服务机构招聘具有云系统事故响应经验的人,不如雇佣一名事故响应者,然后赞助他们进行云培训。
此外,多样性计划增加了候选人的供应,这与它可能带来的其他好处是完全不同的。
DevSecOps培训
雇主有时会说培训是浪费时间和金钱,因为人们只是为了寻求更高的报酬而将新技能带到其他地方。
但Idelkhani报告说,事实上,他的员工流失率在过去三年中有所下降,没有人在接受培训后离开。
他把这归结为在员工和雇主之间建立了一种 "情感联系",至少有一部分原因。
然而,组织确实必须接受在人们掌握新技能的过程中给他们支付价值的需要。但他警告说,标准的人力资源实践并不适合技能发展的情况。
Idelkhani说,人们通常不会为了10%到20%的加薪而离开目前的岗位或公司,但更愿意为了200%到300%的加薪而这样做,因为被认为是一个有成就的工人而不是一个单纯的培训生。
在McAfee,他能够为他的团队争取'按价值付费'的加薪;他说,在大型组织中,这项任务通常比较困难。
"这需要重新思考人力资源的做法,"他补充道。
规划
大幅度的加薪往往需要上级领导的批准,这就需要有明确的加薪理由。他建议,应该从能力建设的角度来考虑,而不是仅仅根据数字来决定。经理们应该审视他们为了实现企业的战略目标和计划所需要的技能,并决定如何最好地获得这些技能。一个预期的DevSecOps空缺可能最好的解决方法是雇佣一个云开发人员并对他们进行必要的安全技能培训,或者重新培训一个已经在薪资单上的有潜力的人。
Idelkhani说:“这是一个长期的过程,不过,这需要大量的管理努力。使用这种方法意味着确定人们的兴趣和技能,使其与公司目标相一致,确定技能差距,然后开发这些所需的技能。这需要一个培训预算,而获得批准意味着要有明确的计划。”
但一旦你展示了这种方法的价值,高级管理层今后就不太会质疑。
但是,所谓的技能短缺的某些方面,在一定程度上是自己造成的。其中一个例子是,招聘广告中注明 "需要5年以上的工作经验"(或类似的内容),而这种经验水平只是一个理想的特征。
这种做法不仅限制了该特定空缺的候选人领域,还使入门级职位难以找到。如果应聘者无法踏入职场,他们又如何能获得雇主所说的经验呢?
DevSecOps变革势在必行
Idelkhani建议,组织需要改变他们的招聘做法,并把更多的精力放在对现有员工的再培训上。
特别是,如果你正在寻找DevSecOps人员,他建议,教给开发人员有关安全的知识,比让安全专家(他们也很缺乏)加快开发速度更好。其结果是减少返工,降低风险,缩短开发时间。
然而,安全专家会告诉开发人员他们做错了什么,这是有风险的。主动对开发人员进行安全教育是一种更有效的方法。
云学院是在线安全培训课程的众多来源之一,包括实践实验室,有时涉及犯罪分子用来破坏安全的相同工具。Idelkhani提供的其他提示包括采用 "构建安全 "的思维方式,以减少系统创建后所需的安全工作。
类似的观点也可以应用于入门级职位。
Idelkhani已经雇用了新的毕业生,尽管需要努力引导和培训他们,使其达到生产的目的。
他甚至对没有安全背景的有经验的人也采用了这种方法,包括前CTO和移动开发人员以及售前工程师。
修改工作描述,让更多的人可以申请,Idelkhani敦促说,因为能力和技能比具体的经验更重要,而具体的经验是可以教的。
例如,他建议,与其让一家大型金融服务机构招聘具有云系统事故响应经验的人,不如雇佣一名事故响应者,然后赞助他们进行云培训。
此外,多样性计划增加了候选人的供应,这与它可能带来的其他好处是完全不同的。
DevSecOps培训
雇主有时会说培训是浪费时间和金钱,因为人们只是为了寻求更高的报酬而将新技能带到其他地方。
但Idelkhani报告说,事实上,他的员工流失率在过去三年中有所下降,没有人在接受培训后离开。
他把这归结为在员工和雇主之间建立了一种 "情感联系",至少有一部分原因。
然而,组织确实必须接受在人们掌握新技能的过程中给他们支付价值的需要。但他警告说,标准的人力资源实践并不适合技能发展的情况。
Idelkhani说,人们通常不会为了10%到20%的加薪而离开目前的岗位或公司,但更愿意为了200%到300%的加薪而这样做,因为被认为是一个有成就的工人而不是一个单纯的培训生。
在McAfee,他能够为他的团队争取'按价值付费'的加薪;他说,在大型组织中,这项任务通常比较困难。
"这需要重新思考人力资源的做法,"他补充道。
规划
大幅度的加薪往往需要上级领导的批准,这就需要有明确的加薪理由。他建议,应该从能力建设的角度来考虑,而不是仅仅根据数字来决定。经理们应该审视他们为了实现企业的战略目标和计划所需要的技能,并决定如何最好地获得这些技能。一个预期的DevSecOps空缺可能最好的解决方法是雇佣一个云开发人员并对他们进行必要的安全技能培训,或者重新培训一个已经在薪资单上的有潜力的人。
Idelkhani说:“这是一个长期的过程,不过,这需要大量的管理努力。使用这种方法意味着确定人们的兴趣和技能,使其与公司目标相一致,确定技能差距,然后开发这些所需的技能。这需要一个培训预算,而获得批准意味着要有明确的计划。”
但一旦你展示了这种方法的价值,高级管理层今后就不太会质疑。