天極按
近日,美國網絡空間日光浴委員會(CSC)2.0發布了其最新報告《網絡安全勞動力發展》。這次迭代再次確認了在網絡安全方面需要公私合作夥伴關係,包括開發共享資源和增加對網絡勞動力的投資。此外,該報告還包括對美國國家網絡總監關於教育和發展國家網絡勞動力、擴大網絡職位招聘權限以及為「最需要的職位制定特殊工資率」行動的大量建議。報告提出了包括對國家網絡總監、美國國會和私營部門的七項有益建議,如果這些建議被採納,將有助於提高國家網絡勞動力在公共和私營部門的招聘、人員留存和工作效率。
本報告中建議是由未來的願景驅動的,即美國政府建設一支高技能和合格的網絡勞動力的方法是協調的、優先的和多樣化的。塑造這支未來勞動力的政策將基於明確的數據和一致的衡量標準。但人才短缺仍是現在的突出問題,人員短缺已經並將繼續造成國家安全問題,因此亟待解決。
雖然它們的運作規模還不能滿足當前需求,更不用說未來對網絡人才的需求,但如果給予適當的授權,提供足夠的資金,並對其進行問責,政府內外的許多現有項目都有可能發展到滿足相當一部分的需求。聯邦勞動力發展方面的例子包括
國家網絡安全教育倡議:作為一個與其他政府利益相關者、學術界和工業界合作運作的聯邦辦公室,NICE致力於"激發、促進和協調"網絡安全教育和勞動力發展社區。通過制定網絡安全勞動力框架(NICE框架),該辦公室創建了一個共同的詞彙來描述網絡安全工作以及網絡專業人員必須具備的知識和技能,不僅在聯邦政府,而且在整個私營部門甚至在國際上。
人事管理辦公室的努力:作為負責人力資源職能的聯邦機構,人事管理局在聯邦網絡勞動力發展方面發揮了關鍵作用。最值得注意的是,這包括定義各種資格、分類和要求,使聯邦網絡人事行動結構化,並為各種靈活性制定規則,幫助應對對網絡專業人員的高需求。
聯邦網絡勞動力管理和協調工作組:該工作組作為一個機構間業務協調機構,開發最佳實踐、工具和資源,以應對共同的挑戰,加強勞動力管理能力,並減少孤島。該工作組由《2015年聯邦網絡勞動力管理法》和聯邦政府其他網絡勞動力政策的實際執行者組成。迄今為止,該工作組已經為每個NICE工作角色制定了具體的職業途徑,在國家網絡安全職業和研究倡議(NICCS)網站上為公共和私營部門創建了一個動態工具(稱為"職業途徑和職業路線圖"),並在整個機構間共享有關實施要求的指導和程序的資源。該工作組的多年戰略和實施計劃定於22-24財政年度,旨在以這些成功為基礎,推動高度優先的全聯邦網絡勞動力倡議。
CyberCorps服務獎學金(SFS):SFS計劃通過全國的學院和大學,為網絡領域的學生提供獎學金,以換取政府的服務期限。SFS計劃向大學提供資助,然後由大學直接向學生提供津貼和課程。這種方法使參與機構的數量增加,每個參與機構的學生數量增加,每年畢業的學生總數約為400人。SFS直接支持公共部門的招聘工作,同時也幫助參與機構為所有學生擴大中學後的教育課程。
網絡安全教育和培訓援助計劃(CETAP):CETAP是由CISA授予一個非盈利合作夥伴的贈款,通過開發網絡安全課程和教員培訓來支持K-12教室的網絡安全教育。該計劃已經活躍了十多年,國會在2021財政年度的《國防授權法案》(NDAA)中規定了該計劃。它不僅鼓勵普通民眾更自覺地注意個人安全,而且還提高了對網絡安全職業機會的認識,幫助未來的網絡專業人員走上職業道路。
區域聯盟和多利益攸關方夥伴關係:21財年NDAA第9401(f)條要求NIST建立區域聯盟和多利益相關者夥伴關係,以刺激(RAMPS)網絡安全教育、培訓和勞動力發展。這些夥伴關係,以前由NICE試行,將確定並努力滿足當地勞動力的需求。RAMPS可以創建一個多樣化和地理分布的項目陣列,所有的共同目標是加強網絡安全的勞動力。
國家網絡安全學術卓越中心(NCAE-C):該項目自1999年開始運作,旨在促進全國高校的高質量網絡教育。在過去的五年中,NCAE-C的學術和學生發展要求已經轉變為強調機構之間的合作,基於能力的教育,以及培養準備從事網絡安全職業的畢業生。過去三年的額外資金加速了項目的發展,並幫助NCAE-C項目利用與夥伴機構的合作來實現全國社區的勞動力目標,並培養教師和教員教授網絡安全。這筆資金還允許NCAE-C創建課程庫,策劃全國範圍內的網絡安全課程的質量,創建一個從中學到中學後教育到勞動力的職業途徑,並開始九個基於社區的倡議,以發展當地的網絡安全教育和經濟發展。
在所有這些倡議中,投資的資金水平決定了工作的廣度和影響。因此,額外的資金可以擴大這些舉措的規模,以支持網絡安全教育這一重要驅動力的持續增長和創新。值得注意的是,目前還沒有為NCAE-C項目授權的立法,儘管國會可以解決這個問題,以確保該計劃的連續性。圖1中概述了其他的亮點。
圖1:聯邦網絡勞動力倡議的選擇
NCD職位和相關辦公室是由2021財年NDAA設立的,目的是"作為總統在網絡安全和政策及戰略方面的主要顧問",包括聯邦部門和機構的人事和管理方案。國會打算讓NCD在解決網絡勞動力挑戰方面發揮領導作用。以下部分提供了一些建議,以幫助NCD為聯邦政府應對網絡勞動力發展的挑戰,並協調聯邦在全國範圍內勞動力發展的作用。
在最大程度上,NCD與聯邦部門和機構的負責人和招聘經理合作,同時必須努力在職業分類、工作要求和其他衡量勞動力的手段方面達到一致的標準。要做到這一點,就需要對所收集的數據進行持續的審查,並對進行審查的部門和機構提供集中的、容易獲得的支持。OPM過去一直扮演着這一角色,但國家發展委員會可以幫助加強資源,以確保OPM有必要的人員來迅速滿足各部門和機構的支持或信息要求。
1.2 與聯邦部門及機構負責人合作,以確保對數據任務的問責隨着各部門和機構繼續開展和改進數據收集工作,國家發展委員會可以確保高層關註解決可能出現的挑戰,解決導致數據延遲提供的障礙,並改善整個政府的問責制。特別是,NCD可以與OPM、各部門及機構合作,確保勞動力評估包括計算達到人員配置目標所需的網絡專業人員的數量,以及計算開放的崗位(空缺)和關鍵需求的工作角色。
1.3 與OPM合作,共享聯邦網絡勞動力的數據關於聯邦網絡勞動力趨勢的高層次的綜合數據應該被公開,以使教育的合作夥伴、政府的利益相關者和求職者能夠確定最需要的領域。一個互動的聯邦網絡勞動力儀錶板將為招聘經理提供基線,以評估當前勞動力發展努力的有效性,並為新的招聘和勞動力發展舉措提供數據驅動的洞察力。數字儀錶板也可以與報告平台相結合,以協助OPM從聯邦部門和機構收集網絡勞動力的數據。NCD可以與OPM合作,擴大現有優勢,提升招聘效率。
1.4 與NSF合作,增加關於國家網絡勞動力的數據與聯邦政府情況相同,在整個國家網絡勞動力中,關於勞動力組成和動態的數據較少。美國國家科學基金會是國家科學和工程統計中心(NCSES)的所在地,該中心的任務是提供科學和工程勞動力的統計信息。此外,國家發展委員會應與國家科學基金會合作,確保NCSES有必要的人員來提供國家網絡勞動力的統計信息,以確保提供贈款,以便對網絡勞動力的驅動力和動態進行學術研究。在這些舉措中,一個關鍵的優先事項應該是確保所收集的數據在最大程度上與NICE框架保持一致,並與現有的NIST資助的CyberSeek工作相輔相成。
如上圖1所示,聯邦政府已經建立了許多網絡教育和勞動力發展計劃。但各部門的分工努力是分散的。為了最大限度地利用現有資源,並為更有效的機構間協調鋪平道路,國家發展委員會應該為聯邦網絡勞動力發展工作建立領導和協調結構。為了提供高水平的工作協調,同時仍然允許當前倡議的創新生態系統蓬勃發展,新的結構需要提供一個權威的指導能力和一個促進透明度和參與的論壇。正如2020年9月的網絡空間Solarium委員會白皮書所建議的,題為"發展更強大的聯邦網絡勞動力",並與國家公共管理學院2022年1月關於加強領導的建議相一致,國家發展委員會應建立一個由兩部分組成的結構來提供領導和協調。
2.1 建立並主持網絡勞動力指導委員會指導委員會將提供領導層面的戰略指導,同時"協調各機構間的作用和責任"。委員會還將就資源的分配提供建議,並確保對戰略優先事項的問責和進展。委員會將由一個固定的成員組成,代表來自國家發展委員會(主席)、監察部、總理辦公室、國家技術研究所(NICE)、國土安全部(CISA)、國家科學基金會、國防部、教育部和勞工部。
2.2 建立網絡勞動力協調工作組該工作組將負責確保網絡勞動力的發展工作相互配合,利用合作機會,在可能的情況下分享信息和資源,並確定潛在的新工作路線。該工作組還將負責確保指導委員會對所有新的網絡勞動力發展計劃進行指導,並確保所有工作與指導委員會的戰略指導保持一致,並根據其在整體戰略中的作用獲得適當的資源(如建議4所述)。指導委員會將任命工作組的主席,他們將輪流任職,工作組的成員將向所有聯邦部門和機構開放。工作組已經有了一個強有力的模式。近年來,聯邦網絡勞動力管理和協調工作組一直在吸取整個機構的意見,以解決共同的問題,。在建立擬議的網絡勞動力協調工作組時,國家發展委員會應與現有的小組合作,以確保連續性和順利過渡到本建議所述的結構。
根據法律,NCD負責"監測和評估網絡政策實施的有效性,包括成本效益",還負責"審查相關聯邦部門和機構的年度預算提案"。此外,NCD負責聯邦網絡安全的副總還擔任聯邦首席信息安全官,駐在OMB。這種"雙重身份"的安排使該官員在"審查各機構的網絡安全預算和建議改變,以調整整個聯邦政府的支出計劃"時能夠利用他們的專業知識。國家發展委員會應與OMB合作,確保動態變化,使戰略,而不是可用性,成為資源分配的主要驅動力。此外,如上文建議1所述,在最大程度上,證據和數據應該為國家發展委員會評估戰略上一致和有影響力的項目提供信息。
3.1 與OMB合作,NCD應該審查網絡勞動力項目的預算NCD應該與OMB合作,通過徹底審查網絡勞動力計劃的項目預算,突出並解決戰略目標、成果和當前支出之間的不一致。此外,通過提供一個更清晰的資金和戰略目標之間的整體聯繫。OMB和國會撥款委員會必須平衡許多相互競爭的優先事項,而NCD提供的關於網絡風險的全面洞察力對於確定和倡導對網絡勞動力的適當投資水平至關重要。
國家發展委員會可以通過為聯邦政府制定網絡勞動力戰略來幫助提供這種清晰度,該戰略在許多工作領域中確定優先事項,在國會授權的角色重疊或匯合時改善不同部門之間的責任領域問題,建立和執行各部門的要求和共同做法,並提出有關資源分配的建議。
4.1 為聯邦政府建立一個網絡勞動力發展戰略與OMB、國會和指導委員會合作,並與建議2.1和2.2中提出的工作小組協商,NCD應該制定一個新的戰略,至少應:
確定聯邦網絡勞動力發展工作的優先次序,包括促進聯邦網絡勞動力多樣性的努力;
明確各聯邦部門和機構的角色和責任;
設定要求和時間表,概述對網絡勞動力發展工作的期望,以推動各部門和機構內部的問責制,並確保在現有資源下的可行性;
概述長期投資,以建立教育能力和加強網絡職業意識;
確定可能正在制定相鄰戰略的外部利益相關者團體,如州、地方、部落和領土政府,並提供一個參與和協調這些努力的計劃;
突出強調網絡勞動力發展方法潛在創新的優先領域;
確定支持該戰略的資源需求。
NCD、OMB和OPM應該合作,並與部門和機構領導人不斷協商,實施以下三個選項之一,以提高聯邦網絡僱傭的靈活性和敏捷性,必要時與國會合作。
擴大現有的政府範圍內的網絡直接雇用權力的覆蓋面,以包括所有至少有一個NICE框架網絡安全工作角色的職位,從而將權力擴大到2210,0854,1550和0855職業系列以外。在國家發展委員會以及部門和機構領導人的支持下,OPM將需要大幅擴大對招聘和人力資源經理的宣傳,以確保經驗、行業認證和其他指標被積極用於幫助沒有學士學位的申請人達到2210網絡職位和相關直接雇用權限的資格標準。由此產生的系統還需要為最需要的角色增加特殊的薪酬標準;
為網絡工作創建一個全新的職業分類體系。新的分類將包括在其他現有分類中從事網絡工作的職位,並應在最大程度上與這些領域的NICE框架一致。因此,建立一個新的職業系列,將眾多的網絡角色組合在一起,需要非常仔細的設計和靈活的要求。同樣,非網絡分類系列中的相鄰角色也可能需要調整,以適應這種增加的靈活性;
與國會授權者合作,為網絡特殊服務職位創建一個總體計劃,將雇用和薪酬與教育和在職時間要求脫鈎。從本質上講,這個方案將採用支持CTMS和CES的權力,並將其擴大到整個聯邦政府。第一種解決方案通過減輕聯邦招聘經理的主要挑戰來改善現有的系統,但並沒有從根本上改變該系統的結構性挑戰。第二個方案將通過更新現有的系統來緩解這些挑戰。這兩個方案都是重要的,但也是部分的解決方法。第三種解決方案,雖然最初是最難頒布的,但將提供有用和持久的結果。
在上述任何一種調整政策、工具和靈活性的途徑中,各部門和機構的聯邦人力資源專家都需要對新系統有透徹的了解,以使其發揮最佳效果。因此,NCD和OPM應該擴大努力,在政府範圍內建立一支人力資源專家隊伍,負責用網絡人才填補職位,並為這些職位提供人力資源支持。
5.3 與OPM、OMB和撥款委員會合作,確保資源充足在建議5.1中提出的三個方案中的任意一個,OPM都需要國會撥款人的支持,以資助創建這些新結構所需的額外人員和資源。在努力協調聯邦政府傳統的招聘方式與各部門和機構在其網絡人才管理中所需要的靈活性之間的差異時,OPM還需要NCD作為其支持者。建議5.2將是確保新結構有效實施的關鍵,但也將增加OPM門口堆積的人員需求。
雖然本報告主要側重於對國家數據中心的建議,但行政部門的運作不能沒有國會的授權和撥款。歷史上,國會在網絡勞動力發展的特定領域發揮了核心作用。國會在建立和繼續現有項目方面的記錄是強大的;然而,在為聯邦政府的網絡勞動力活動提供監督、改進和增長方面,國會可以採取更多措施。
6.1 修訂《2015年聯邦網絡安全勞動力評估法》
如建議1所討論的,對FCWAA的修改將大大改善聯邦網絡勞動力的數據質量。作為首要任務,國會應將今年即將日落的FCWAA延長到至少2027年。然後,國會應要求各部門和機構,除了目前要求的關於關鍵需求的工作角色的信息外,還要包括對達到人員配置目標(有資金和無資金)所需的網絡專業人員數量的估計,以及空缺的網絡職位數量。這種估計達到目標人員配置水平所需的人員數量的要求將有助於改善長期的勞動力規劃工作。
6.2 增加對CyberCorps:SFS支持
為了推進這一關鍵計劃,國會可以採取幾個單獨的行動:
適合長期增長。扣除通貨膨脹因素,SFS項目從12財年到22財年的總預算增加了581萬美元,這說明該計劃的結構具有良好的擴展性。2022年美國競爭法案,概述了一個撥款計劃,到26財年將達到9000萬美元。網絡空間日光浴委員會以前建議一個更雄心勃勃的增長,在一年內而不是五年內將該計劃的預算增加2000萬美元。
擴大而不是複製。作為SFS成功的證明,已經出現了在相鄰研究領域複製這一理念的提案。與其建立多餘的核心結構,冒着分割已經稀缺的資源的風險,NSF應該將其他新興技術領域納入現有的SFS項目。事實上,SFS已經增加了納入這些主題的新項目。
數據來源:國家科學基金會
專注於分布式而非集中式的教育。SFS以培養聯邦網絡人才而聞名,但它也有一個次要功能。通過SFS,贈款被授予機構,而這些機構可以使用一小部分贈款來建立其網絡項目。其餘的必須用於為參與的學生提供獎學金。雖然項目建設的部分可能比獎學金小,但當它被用來建立在參與機構現有的基礎設施上時,可以大大改善國家網絡教育能力。利用這種分布式模式在其所有受資助者中進行能力建設,SFS計劃為全國各地的學生和社區提供了好處。
6.3 提供激勵措施,將初級人才培養成中級人才
雖然網絡勞動力發展的許多因素帶來了持續的挑戰,但最棘手的問題之一是僱主不願意雇用和培養初級人才,而是把注意力放在有經驗的專業人士的短缺上。這種對中級人才的偏愛在行業調查中可以看到,相對於其他求職者的素質,他們更傾向於實際操作的經驗。為了增加中級人才的供應,僱主必須投資於雇用和發展初級雇員,直到這些雇員成為中級人才。國會可以激勵僱主雇用和投資早期雇員,以此來增加未來的中期專業人才庫。
6.4 明確網絡勞動力發展的角色和責任
如上所述,NCD在網絡勞動力發展方面面臨的主要挑戰之一是不同的聯邦部門和機構各自的角色不明確。通過明確的戰略和領導結構,國家數據中心可以解決大部分問題。網絡空間Solarium委員會建議設立眾議院網絡安全常設特別委員會和參議院特別委員會。國會可以努力建立各委員會對不同部門和機構正在進行的現有網絡勞動力發展措施有更深入的了解。
6.5 對每個部門和機構的聯邦網絡勞動力發展進行監督
在沒有一個單一的國會網絡安全授權委員會的情況下,國會對聯邦網絡勞動力發展的關注往往落在對網絡安全各方面有重要監督作用的一系列委員會身上。然而,這些並不是唯一負責網絡勞動力監督的委員會。每個聯邦部門和機構都在網絡安全方面發揮着作用,因此每個部門都應該考慮其在網絡勞動力發展方面的資源。在較大的聯邦機構中,這種作用可能會發展到包括數百甚至數千名專門的網絡雇員。此外,作為部門風險管理機構(SRMAs)支持國家關鍵基礎設施網絡安全的部門需要特定的內部網絡人才來管理公共和私人合作。SRMAs包括農業部、環境保護局和總務管理局等各種組織。在執行其監督作用時,國會應該詢問每個聯邦部門和機構關於其網絡勞動力的能力和資源要求。國會可以通過行使其監督作用來鼓勵跨機構的勞動力實踐、意識、合作和創新,從而進一步支持NCD。
6.6 在政府範圍內建立網絡例外服務正如建議5中所討論的,OPM對網絡安全工作的職業指定的結構大大限制了現有的直接僱傭授權的效用。最有利的方案,即創建一個政府範圍內的網絡例外服務,如果沒有國會新的授權立法,就無法做到。當最大限度地與NICE框架保持一致時,這個系統也將緩解衡量和規劃網絡勞動力的挑戰。雖然這種選擇有其自身的缺點,但考慮到網絡招聘挑戰的嚴重性和緊迫性,最終的靈活性掩蓋了其缺點。
6.7 擴大對網絡勞動力發展現有工作的撥款雖然創新和建立新的聯邦勞動力計劃是至關重要的,但國會也應重點支持已經授權的計劃。國會已經授權其他幾個非常有前途的項目,但許多現有項目仍然缺乏足夠的資金。例如,在2020年,網絡空間日光浴委員會建議國會將CETAP編入CISA。在一系列努力下,在21財年國防授權法案第1719條中做出了回應,並在22財年綜合法案中恢復了該計劃的預算。然而,如上所述,該計劃的資金經常出現問題。正如國家公共管理學院所建議的,DHS、CISA和OMB"應該在總統的預算要求中保持對CETAP的資助。"
網絡勞動力發展方面的進展不能在政府的孤島上推進。公共部門的網絡勞動力是更大的國家勞動力的一個子集,因此,NCD必須成為聯邦部門和機構社區的一部分,與私營部門的合作夥伴一起解決國家網絡勞動力的挑戰。
7.1 增加網絡勞動力投資如果沒有私營部門積極主動的投資夥伴,國家發展委員會無法解決網絡專業人員的短缺問題。一些模範的公司已經在迎接這一挑戰。
例如,微軟已經承諾為追求社區學院學位和行業認證的學生提供財政援助。該公司還將為社區學院的教師提供培訓,並為他們提供免費的網絡安全課程和材料。這一努力的最終目標是到2025年招募25萬人加入勞動力大軍。微軟慈善機構的技術教育和學校掃盲計劃開創了另一個寶貴的先例,每年為500多所高中提供計算機科學教育資源;
網絡人才計劃是埃森哲、萬事達、微軟和Workday的合作項目,是一個公私聯盟,提供學費援助和在公共和私營部門工作場所的工作經驗;
作為其全球大學計劃的一部分,IBM已經為歷史上的黑人學院和大學的超過247名教員提供了與技術相關的主題培訓,包括網絡安全。
僱主降低投資於自己的勞動力,特別是投資於早期人才的成本的最佳方式之一是相互合作。許多只需要小型網絡專業人員團隊的小公司可能沒有時間或金錢投資於定製的內部培訓計劃。但是,當這種負擔由幾個具有共同地域、行業或人員需求的類似組織來分擔時,基於聯盟的網絡勞動力投資就變得更加可行。
推薦閱讀
網安智庫平台長期招聘兼職研究員
歡迎加入「安全內參熱點討論群」
文章來源:天極智庫
留言列表