Od początku XXI wieku badam i piszę o globalnym niedoborze umiejętności w zakresie cyberbezpieczeństwa. Być może w oczach świata byłem wciąż niedoświadczonym szkrabem, widziałem wtedy, że było więcej miejsc pracy niż ludzi, a wielu zatrudnionym specjalistom ds. bezpieczeństwa brakowało zaawansowanych i coraz bardziej niezbędnych zestawów umiejętności. Ponieważ wszyscy polegamy na wykwalifikowanych pracownikach zajmujących się cyberbezpieczeństwem, aby chronić nasze dane, pomyślałem wtedy, że warto bić na alarm.

Jak powiedział kiedyś Yogi Berra, „to znowu deja-vu”. Nowe badania przeprowadzone przez Enterprise Strategy Group (ESG) i Information Systems Security Association (ISSA) wskazują, że nie widać końca. W tym roku 71% specjalistów ds. bezpieczeństwa twierdzi, że na ich organizację wpłynął globalny niedobór umiejętności w zakresie cyberbezpieczeństwa - w porównaniu z 57% w 2021 roku. Jakiego rodzaju wpływ? Spośród tych, którzy zgłosili, że miało to wpływ na ich organizację:

• Sześćdziesiąt jeden procent twierdzi, że niedobór umiejętności doprowadził do zwiększenia obciążenia pracą obecnych pracowników. To dobry pomysł: Poprosić przepracowanych pracowników, by robili jeszcze więcej. Co może pójść nie tak?

Zobacz również:

• Duże zwolnienia w Apple - ponad 600 osób opuszcza pokład

• Czterdzieści dziewięć procent twierdzi, że niedobór wykwalifikowanych pracowników powoduje, że nowe miejsca pracy pozostają otwarte przez tygodnie lub miesiące. Uważam, że jest to szczególnie prawdziwe w mniejszych organizacjach, tych w odległych obszarach i tych w sektorze publicznym, ale nawet duże i dobrze wyposażone organizacje zgłaszają trudności w obsadzaniu stanowisk.

• Czterdzieści trzy procent twierdzi, że niedobór umiejętności doprowadził do wysokiego wskaźnika wypalenia zawodowego i/lub odejść wśród pracowników zajmujących się cyberbezpieczeństwem. Niedobór umiejętności jest swego rodzaju samospełniającą się przepowiednią. Organizacje mają braki kadrowe lub brakuje im zaawansowanych umiejętności. Zmuszają więc swoich pracowników do robienia więcej za mniej. Pracownicy wypalają się i szukają zielonych pastwisk, tworząc nowe miejsca pracy, które pozostają nieobsadzone i prowadzą do większej ilości pracy dla obecnych pracowników.

Nie jest dobrze.

Trzydzieści dziewięć procent twierdzi, że niedobór umiejętności doprowadził do niemożności uczenia się lub korzystania z technologii bezpieczeństwa w pełnym zakresie. Nazywam to zjawiskiem „Microsoft Word”. Wszyscy używamy Worda (lub czegoś podobnego), ale większość z nas wykorzystuje mniej niż 10% jego funkcjonalności. Dlaczego? Ponieważ nigdy nie mamy czasu, aby dowiedzieć się więcej. W porządku, radzimy sobie z Wordem, ale takie minimalistyczne zachowanie jest niedopuszczalne, gdy organizacje wydają tysiące na techniczne kontrole bezpieczeństwa, tylko po to, aby nauczyć się podstaw i pozostać zagrożonym. CISO powinni uznać tę sytuację za całkowicie niedopuszczalną.

Trzydzieści procent twierdzi, że niedobór umiejętności doprowadził ich organizacje do zatrudniania i szkolenia młodszych pracowników zamiast doświadczonych kandydatów. Ta strategia jest w porządku, jeśli mądrze inwestuje się w staże, mentoring i programy szkoleniowe w celu stworzenia centrum doskonałości w dziedzinie cyberbezpieczeństwa. W rzeczywistości organizacjom, które to zrobią, znacznie łatwiej będzie rekrutować i zatrudniać, ponieważ wieści o tych progresywnych programach rozchodzą się w diasporze cyberbezpieczeństwa. Jeśli szkolenie jest tandetne, młodsi pracownicy zostaną szybko przytłoczeni.

Badania wyraźnie wskazują, że jesteśmy dalecy od zajęcia się niedoborem umiejętności w zakresie cyberbezpieczeństwa w jakikolwiek znaczący sposób, pomimo lat, w których ludzie tacy jak ja wskazywali, że niebo spada. Co niepokojące, wydaje się nawet, że nie robimy żadnych postępów - 54% ankietowanych specjalistów ds. cyberbezpieczeństwa twierdzi, że niedobór umiejętności pogorszył się w ciągu ostatnich dwóch lat, podczas gdy 41% twierdzi, że jest mniej więcej taki sam. Niestety, tylko 5% uważa, że sytuacja uległa poprawie.

Być może jest to oczywisty punkt, ale CISO nie mogą zatrudnić pracowników, aby wyjść z tej sytuacji. Co można zrobić? Specjaliści ds. bezpieczeństwa mają kilka sugestii dla swoich organizacji, które omówię później. Tymczasem cały raport badawczy ESG/ISSA, The Life and Times of Cybersecurity Professionals v6, jest dostępny jako bezpłatny ebook. Oprócz niedoboru umiejętności w zakresie cyberbezpieczeństwa, obejmuje on rozwój kariery zawodowej w dziedzinie cyberbezpieczeństwa, satysfakcję z pracy oraz wydajność i przywództwo CISO.

Źródło: CSO