亞馬遜安全主管持續關注人才招聘與留任——《華爾街日報》

上個月在拉斯維加斯舉行的AWS re:Invent大會上，與會者在黑板上書寫。圖片來源：Belle Lin/《華爾街日報》亞馬遜公司(Amazon.com Inc.)首席安全官斯蒂芬·施密特(Stephen Schmidt)表示，該公司正通過內部培訓和積極招聘相結合的方式來應對全球網絡安全人才短缺的問題。

網絡安全專業人才市場競爭激烈。根據專業組織(ISC)²的數據，過去一年，全球網絡安全人才缺口擴大了26.2%，達到約340萬個空缺職位。

更廣泛的經濟環境加劇了這種壓力。亞馬遜最近宣佈了全公司範圍內的招聘凍結，並預計將裁員多達1萬名員工，但施密特表示，他計劃擴大亞馬遜的安全團隊。“我們整個行業缺少數十萬名安全專業人員，即使在這個非常緊張的招聘環境下，我們今年仍在亞馬遜招聘安全專業人員，”他説。

施密特曾是美國聯邦調查局(FBI)的高級主管，在亞馬遜工作了十多年。他表示，他在1月份被提升為亞馬遜的最高安全職位，部分原因是為了擴大安全團隊並解決人員保留問題。他負責監督信息安全、人員安全和實體安全，此前曾擔任亞馬遜雲部門Amazon Web Services的首席信息安全官。

施密特先生填補網絡安全人才管道的一種方式是從亞馬遜內部挖掘。

亞馬遜客户服務部門是網絡安全人才的"重要輸送源"，施密特表示，因為該部門員工已具備解決客户需求的核心能力。他指出，這種思維模式同樣適用於與軟件開發人員合作構建安全產品。

公司內部培訓計劃始於應用程序和軟件安全等團隊的輪崗，隨後是待命輪班制，員工通過輪班確保全天候事件響應。施密特未透露亞馬遜安全團隊具體規模，但估計其中25%成員是通過內部培訓轉崗的。

然而，並非所有網絡安全技能都能在短期內掌握。

施密特指出最難招聘的網絡安全崗位包括：密碼學安全（需要深厚數學背景）、“紅隊"工程師（模擬黑客測試公司安全系統），以及精通亞馬遜開發人員使用的17種編程語言中任意組合的安全工程師。

身份認證與授權管理（即員工數字身份及其可訪問企業數據系統的管理）在亞馬遜規模下同樣難以保障，需要特殊技能組合。“管理單個計算機系統尚可掌控，但當系統規模達數百萬台時，這就突然變成了一個大型分佈式系統難題。“他解釋道。

在網絡安全人才市場緊張的情況下，即便是亞馬遜這樣的大型科技公司也必須更加努力才能吸引到安全人員。弗雷斯特研究公司的分析師艾莉·梅倫表示，加上經濟前景惡化，企業安全預算面臨壓力——這使得留住人才對網絡安全團隊更為關鍵。

“當經歷經濟危機或衰退時，最不希望發生的事情就是失去那些瞭解公司一切、熟悉安全實踐和網絡的人員，”梅倫女士説道。

亞馬遜安全主管施密特表示，公司還為安全團隊提供跨業務部門調動的機會，以保持員工工作積極性並提高留任率。

他解釋説，其安全部門能獲得如此大的自主權，部分原因在於施密特直接向高度重視安全的亞馬遜CEO安迪·賈西彙報。“這確實讓我的工作更輕鬆，”施密特説，“凡是我認為工作必需的事項，安迪從未拒絕過。”

據施密特透露，亞馬遜目前正在應用程序和衞星系統等關鍵領域招聘安全專家，這些崗位的網絡安全審核具有一票否決權。這些專家需確保亞馬遜軟件在交付客户前的安全性，並滿足聯邦通信委員會許可證要求的發射時間表。“不安全的項目絕不能上線，”施密特強調。

聯繫作者貝爾·林請致郵[email protected]