طبق گزارشی که این هفته توسط انجمن صنعت فناوری اطلاعات ISACA منتشر شد، دو سال پس از شروع همهگیری ویروس کرونا، شرکتها بهطور فزایندهای یافتن کارکنان امنیت سایبری را دشوارتر، حفظ آنها سختتر و خواستار امتیازات بیشتری میدانند.
این گزارش که بر اساس نظرسنجی از بیش از 2000 متخصص امنیت سایبری است، نشان میدهد که 60 درصد از شرکتها در حفظ متخصصان امنیت سایبری در سال 2021 با مشکلاتی روبرو بودهاند که از 53 درصد شرکتها در آغاز همهگیری در سال 2020 افزایش یافته است. طبق گزارش ISACA امنیت سایبری 2022، انتظارات کارگران، از جمله اجازه دادن به کار از راه دور بیشتر و زمان برای ادامه تحصیل، یا از دست دادن کارگران به شرکت های دیگر به دلیل انگیزه های مالی ضعیف، فرصت های ترفیع محدود و استرس زیاد.
جاناتان برانت، مدیر شیوههای حرفهای و نوآوری در ISACA، میگوید: بهطور کلی، تقاضا برای هر سطحی از کارکنان امنیت سایبری افزایش یافته است، به ویژه برای متخصصان فنی.
او میگوید: «تمرینهای فنی انفرادی همیشه مورد تقاضا خواهند بود و این سختترین مشکل برای ما خواهد بود. “در حال حاضر، این یک بازی پوسته ای بی پایان برای یافتن مجموعه مهارت های مناسب است که خود را به چالش های خط لوله می رساند، زیرا روش های سنتی پرورش استعداد در مقایسه با سرعت تغییر چشم انداز بسیار طولانی است.”
این نظرسنجی تأکید می کند که مسائل مربوط به بیماری همه گیر احتمالاً شکاف استعدادها را تشدید می کند. بر اساس این گزارش، بهنظر میرسد اکثر شرکتها گروههای امنیت سایبری را کمکار کردهاند، بهطوریکه طبق این گزارش، 62 درصد از متخصصان گروه خود را تا حدودی یا به میزان قابل توجهی کمکار میدانند، علیرغم مطالعه قبلی که نشان میداد در سال گذشته نزدیک به 700000 متخصص امنیت سایبری به نیروی کار جهانی اضافه شدهاند.
گزارش وضعیت امنیت سایبری ایساکا در سال 2022
تقریباً 60 درصد از متخصصان امنیت سایبری، شرکتهای دیگر را که کارمندان خود را شکار میکنند، دلیل بزرگی برای کمبود فعلی کارگران آگاه میدانند، اما مجموعهای از عوامل دیگر نشان میدهند که شرایط کاری بسیاری را متقاعد کرده است که شغل خود را عوض کنند. تقریباً نیمی از آنها بر این باورند که مشاغل فعلی دارای انگیزه های مالی ضعیف (48٪) یا فرصت های محدود برای ترفیع (47٪) هستند، در حالی که 45٪ به سطوح استرس بالا اشاره می کنند. بر اساس این نظرسنجی، بسیاری از کارگران از کارفرمایان می خواهند که فرصت های دورکاری و سیاست های کاری انعطاف پذیر بیشتری را ارائه دهند.
ISACA در این گزارش میگوید: «انتظارات کاری انعطافپذیر به دلیل همهگیری افزایش یافته و زمانی که کارمندان حرکتهای شغلی بالقوه را ارزیابی میکنند، به ملاحظات سنگین تبدیل شدهاند. “در سال 2021، کارمندان از الزامات بازگشت به فضای اداری فیزیکی عقب نشینی کردند و در نتیجه بسیاری از شرکت ها برنامه های خود را برای بازگشت به کار در دفتر بازبینی یا محدود کردند. این موضوع و انتظارات بالای دستمزد منجر به نبرد شدید برای استعدادها شده است.”
بخشی از مشکل این است که تعداد کمی از شرکت ها برنامه های آموزشی برای تبدیل کارکنان فناوری اطلاعات به متخصصان امنیت سایبری دارند. برانت از ISACA می گوید، اکثر شرکت ها امیدوارند که کارشناسان فنی را استخدام کنند که آماده کار باشند، بدون توجه به این واقعیت که هر شرکت و هر صنعتی دارای فناوری ها، خطرات و مناظر تهدید متفاوت است.
او میگوید: «برای شرکتها بسیار غیرمنطقی است که انتظار استخدام کلید در دست داشته باشند. “هیچ اندازه ای برای همه وجود ندارد.”
او میگوید، در هر صورت، فناوری امنیتی به سرعت به همان چیزی که در اوایل دهه 2000 بود باز میگردد، زمانی که تقریباً همه چیز مبتنی بر فروشندگان بود و متخصصان امنیتی باید یاد میگرفتند که خطوط تولید فروشندگان خاص را اداره کنند.
من میتوانم از نرمافزار منبع باز برای آموزش مفاهیم و کمک به شما در اتصال نقاط استفاده کنم، اما اگر هر شرکتی محصولات فروشندگان خود را داشته باشد، این انتظار وجود دارد که کارکنان امنیت سایبری نیز مجبور شوند از آن خط لوله فروشنده عبور کنند. “
مشکل خط لوله
این مطالعه فقدان یک خط لوله موثر برای به خدمت گرفتن متخصصان جوان امنیت سایبری را نشان می دهد: تقریباً دو سوم از کارشناسان امنیت سایبری بین 35 تا 54 سال سن دارند که تنها حدود 11 درصد از کارگران زیر 35 سال دارند. کارکنان امنیت سایبری که از برنامه های دانشگاه خارج می شوند نسبتاً غیر معمول؛ بسیاری دیگر از برنامههای غیرفنی یا یافتن راههایی برای آموزش امنیت سایبری در آینده میآیند.
برانت می گوید، نتایج نشان می دهد که متخصصان امنیت سایبری لزوماً به پیشینه فنی نیاز ندارند.
او می گوید: «اگر به یک مهندس امنیت یا یک معمار امنیتی نگاه کنید، آنها به پیشینه فناوری اطلاعات نیاز دارند. اما اگر در مورد تحلیلگران صحبت می کنید، دلیلی وجود دارد که ما داستان افرادی را می شنویم که از پیشینه هنرهای لیبرال می آیند و در جنبه های تحقیقاتی واقعاً خوب عمل می کنند.
شرکتها نیز در مسیر خود قرار میگیرند، زیرا منابع انسانی به طور موثر با گروههای امنیتی برای پر کردن جای خالی خود کار نمیکنند. بر اساس گزارش ISACA، در حال حاضر، شرکتها برای پر کردن یک موقعیت امنیتی سایبری با یک نامزد واجد شرایط، سه تا شش ماه زمان نیاز دارند. مهمترین ویژگیهای یک نامزد خوب، تجربه عملی قبلی، مدارک تحصیلی و آموزش عملی است که ارتباط خوب و رهبری در همه نامزدها مهم است و مهارتهای امنیت ابری بیشترین مهارت فنی مورد تقاضا است.
به طور کلی، بخش منابع انسانی فقط «گاهی» الزامات امنیت سایبری را برای بررسی مناسب نامزدها درک می کند.
برندی میگوید، این مسائل، همراه با بوت کمپ و برنامههای جایگزین که مهارتهای آماده کار را آموزش نمیدهند، به این معنی است که بین بسیاری از نامزدها و آنچه شرکتها فکر میکنند میخواهند، ناهماهنگی وجود دارد.
او میگوید: «من فکر میکنم که پول وجود دارد، حتی اگر بودجهها به خط ثابت ادامه دهند… اما در بخش منابع، مردم، سرمایه انسانی، کارهای بسیار بیشتری برای انجام دادن داریم». ما افراد زیادی داریم که پول و دلارهای زیادی را خرج میکنند که به سختی به دست آوردهاند و برنامههای خط لوله را پشت سر میگذارند و پول زیادی را صرف میکنند و برای کسب مهارتها کار میکنند و بعد نمیتوانند شغلی پیدا کنند، و ما باید از این بابت شرمنده باشیم. “
این داستان ابتدا در Dark Reading، یک نشریه خواهر Data Center Knowledge منتشر شد.