Все мы уже знаем, что в целом специалистов по ИТ-безопасности не хватает, но на какие должности труднее всего заполнить? И где эта нехватка наиболее распространена? Чтобы ответить на эти вопросы, компания CyberEdge Croup в партнёрстве Micro Focus провели исследование среди 410 специалистов из США, Великобритании, Германии, Индии и Японии. Осенью они выпустили отчёт «Состояние безопасности в 2020 году», в котором описали ситуацию.
Каких специалистов не хватает?
«Дефицит примерно одинаков для всех ролей. Почти половина организаций испытывает нехватку архитекторов/инженеров ИТ-безопасности (46,3%), аналитиков/операторов/специалистов по ИТ-безопасности (45,8%) и администраторов ИТ-безопасности (44,0%). Немного менее остро ощущается нехватка аудиторов ИТ-безопасности/соответствия требованиям (37,5%)», — говорится в исследовании.
Согласно отчёту, в среднем каждая организация испытывает нехватку более чем в одной роли в сфере ИТ-безопасности. В целом же, 90,5% организаций испытывают нехватку персонала по ИТ-безопасности хотя бы в одной из ролей. Дефицит широко распространен во всех обследованных странах, при этом в Индии самый высокий процент организаций с дефицитом (98,7%), а в Великобритании — самый низкий (84,9%).
«Если мы посмотрим на ответы по отраслям, то дефицит станет более разнообразным. Дефицит испытывает каждое опрошенное учебное заведение. Между тем, в некоторых из наиболее регулируемых отраслей — финансах, здравоохранении и правительстве — самый низкий процент организаций с дефицитом (78,0% для финансов, 85,7% для здравоохранения, 86,7% для правительства)», — сказано в документе.
А навыки-то нужны специальные?
Кроме того, исследователи изучили, в каких областях операций по обеспечению ИТ-безопасности больше всего выиграет дополнительный квалифицированный персонал. Но стоит отметить, что это не обязательно соответствует нехватке персонала. Например, организация может получить значительную выгоду от найма высококвалифицированного специалиста вне зависимости от того, есть ли в этой должности дефицит.
«Большинство организаций (93,1%) заявили, что они выиграют от увеличения квалифицированного персонала. Обнаружение и анализ атак — это область, которая принесет наибольшую пользу: 63,4% организаций включили ее в свою тройку лидеров», — говорится в отчёте.
Согласно исследованию, организации выбирали следующие три области — реагирование на инциденты (57,3%), обучение осведомленности о безопасности (56,8%) и оценка уязвимостей и установка исправлений (57,5%). Реже всего выбиралась область отчетности о соответствии. Это был единственный вариант, выбранный менее чем половиной организаций (44,2%).
