所以你需要雇佣一个网络安全专家,但是你对如何找到一个好的候选人有信心吗?除去猜测,然后使用特定于角色的工作模拟.
根据Gartner最近的一项调查,安全与风险管理、应用和集成策略以及基础设施和运营是最受欢迎的中型企业的三大优先技术在2022年。
Gartner副总裁分析师Mike Cisek表示:“中小企业正在转移投资,甚至增加预算,以资助他们最优先的技术项目。“然而,安全、基础设施、应用程序和云生态系统的加速变化使新工具的选择复杂化。”
通俗地说,如果企业领导人在不久的将来不优先考虑网络安全问题,客户基础、声誉,是的,还有财务都将处于危险之中。在今天的数字环境中,你很难找到一个能够负担得起的组织不重视网络安全。
网络安全的五个C是对所有类型和规模的公司都非常重要的五个领域:变化、合规、成本、连续性和覆盖范围。抓住吗?优先考虑网络安全几乎肯定意味着在您的团队中增加该领域的专家。
正如苹果最近发现的那样例如,外包将您的业务连接到第三方,这可能会带来意想不到的安全和隐私风险。不幸的是,到目前为止,IT招聘解决方案在验证顶级网络安全人才的技能方面还有很多不足之处。
有效的网络安全技能评估应包括哪些内容?
你不应该为了雇佣网络安全专家而成为网络安全专家。防火墙、HTML和SSL证书等术语对招聘人员或招聘经理来说可能毫无意义,但在网络安全领域却是必不可少的。
正是出于这个原因,越来越多的组织正在重新考虑招聘过程,将其作为一种通过使用工作模拟来吸引顶尖人才的手段。并不是每个人都有能力为该工作确定合适的网络安全专业人员,但使用沉浸式体验可以验证和验证候选人的经验和职位的适用性,并提供明确的结果。
那么,什么样的人适合网络安全?网络安全技能评估应该涵盖哪些内容?最明显的答案是一个批判性思考者,对细节有敏锐的洞察力,并且擅长使用电脑。实际上,工作内容非常广泛,理想的候选人通常会根据公司的需求和日常任务而有所不同。
无论所需的工作水平如何,好消息是,几乎每个行业专业人员都应该具备一些基本的网络安全标准核心技能。
基本的网络安全技术技能验证
值得记住的是,网络安全所需的具体技能因职业不同而有所不同,特别是因为有许多不同类型的网络安全职位。一般来说,网络安全技术技能应该包括:
- 理解操作系统是如何构建和管理的
- 对基本原理的坚定理解计算机网络还有云计算
- 建立和评估网络架构的能力,
- 熟练使用Java、Python和c++等编程语言
- 熟悉MySQL数据库平台
- 了解用于检测和防止防火墙破坏的协议
- 了解基本的防病毒原理、vpn和防火墙
- 掌握安全审计
幸运的是,工作模拟可以帮你解决这个问题。通过评估申请人的技能模拟现实生活设置的模拟这些技能与网络安全直接相关,招聘经理可以放心地知道这些基本技能已经得到验证,但软技能呢?
网络安全专业人士不太常见的软技能
如上所述,硬技能是一种技术技能,使工人能够在特定的掌握水平上完成某些任务,产生特定的、可衡量的结果。相比之下,软技能是一个人带到工作场所的个人技能,但它们不受任何特定工作的限制。更复杂的是,后者通常是更难衡量的指标。
根据世界经济论坛的数据,技能的平均半衰期只有四年.如果网络安全专家想要长期保持他们的技术技能水平,那么他们还需要有一个持续学习的软技能.
这是因为网络安全是一个不断发展的领域,需要保持警惕,保持合规,并了解变化的发展。任何进入该领域的人都必须致力于学习新的网络安全技能,以跟上技术的变化——即使这意味着在你的职业生涯中不断学习一系列全新的技能。网络安全专家不能依赖他们已经知道的信息。
与大多数技术工作一样,网络安全职位通常涉及团队工作,这通常需要具备以下属性较强的沟通软技能.这些角色还需要与没有相同技术专业知识水平的人互动,因此能够解释哪种解决方案可能最适合任何给定的问题是必须的。
网络软技能是网络安全领域发展的另一项重要技能。能够与志同道合的人分享想法和理论是进一步提高自己在行业技能的好方法,也可以应用于解决问题。虽然网络安全软技能可能不像技术人员那么受关注,但对于找到合适的员工来说,网络安全软技能仍然很重要。
测试网络安全技能的6个关键工作模拟
现在你知道了在招聘网络安全专家时需要寻找的硬技能和软技能,下一步是确保你有正确的招聘协议。传统的招聘方法,如简历筛选和心理测试,在识别顶级人才时几乎无关紧要,因为他们根本缺乏评估和验证技能的能力。
在Vervoe,我们推出了自己的网络安全技能评估,重点是针对这些类型的高技能角色的六种工作模拟。我们的技术允许招聘人员和招聘经理将应聘者放置在活动终端中,以完成一系列特定于工作的任务,例如配置防火墙系统、修补漏洞、加固操作系统和调查入侵。
经过多年的酝酿,我们的网络安全工作模拟都是从零开始建造的吗确保只评估最相关的技能,以便公司在雇用内部网络安全专家时能够做出数据驱动的决策。简单来说,我们已经完成了工作,所以你不必再做了。
该模拟器通过他们在工作中面临的常见场景测试一系列与网络安全成功相关的技能,如对细节的关注、解决问题的能力、沟通能力和风险管理。
虽然我们知道没有两个网络安全角色是完全相同的,但模拟器使您能够放心地聘请专家-那么您有什么选择呢?
1.检查Sudo
此工作模拟适用于初级角色,允许候选人检查哪些用户和/或程序可以作为Sudo的根用户运行。评估的技能包括基本的Linux技能、识别可以使用特权升级的用户的能力,以及识别可以使用提升的特权运行的程序的能力。这是一项基本的网络安全技能评估,预计完成时间仅为5分钟。
2.失败的登录
作为初级或入门级网络安全职位的另一个理想的工作模拟,在这个工作模拟中,候选人必须识别失败的登录以及他们与哪些用户相关联。在评估基本Linux技能的同时,它还测试了Linux日志文件的知识以及在哪里可以找到它们,以及候选人查看日志文件并提取所需信息的能力。
3.配置防火墙
对于一个稍微难一点的评估网络安全技术技能的入门级工作模拟,候选人必须重新配置Linux防火墙的默认配置,并且通过默认/活动防火墙配置文件只允许ssh和http服务在联网接口上。配置必须基于已经可用的预定义服务配置,并且必须在重新启动期间保持不变。
4.使用Apache托管HTML内容
非常适合中等权重的角色,在这个工作模拟中,候选人必须确保通过利用web主机上可用的web服务器提供的web内容,同时确保该内容由最不受特权的可用内容拥有,并具有适当的权限。难度为3/5,候选人可以同时展示他们在Linux和Apache上的技能。
5.网页重定向
对于稍微难一点的网络安全技能评估,考生要创建SSL证书并加强Apache。考生必须确保目前使用http提供的内容,现在应该在https下可用,以及任何试图通过http访问内容的用户被永久重定向到https。在此过程中,候选人需要创建一个自签名证书并适当地保护它。
6.SSH守护
作为防止暴力登录攻击的关键工具,该工作模拟的难度为4/5。在估计的15分钟内,候选人必须设置ssh-guard,能够使用bastion主机,并在内部可见的ssh-host上设置ssh-guard,同时确保其系统日志在bastion主机上远程可见。通过使用活动终端,这是考生展示其Linux知识的好方法。
凭借我们智能的评分系统和丰富的候选人档案,招聘经理可以真正了解候选人的总体得分,而无需花费数小时来评估,使用工作模拟进行有效的网络安全招聘无疑是未来的方式.
与网络安全和IT招聘解决方案专家会面
Vervoe是一个端到端的解决方案这无疑是一场招聘过程的革命。Vervoe允许公司根据职位的具体要求量身定制评估,通过展示每个候选人的才能的工作模拟来预测表现。
通过技能评估来评估申请人履行职位的能力,我们的工作模拟关注的是工作,而不是人。为了在人们得到工作之前看到他们做的工作,要求工作模拟测试的例子或预订演示让我们经验丰富的团队为您介绍Vervoe的全套现成和量身定制的解决方案。
