Поскольку нехватка кадров в области кибербезопасности сохраняется, пришло время оценить, что работает, а что нет в кадровой практике.
С 1967 года ISACA предоставляет централизованный источник информации и рекомендаций в области управления и контроля ИТ. Отчет ISACA «Состояние кибербезопасности 2021, часть 1» содержит обновленную информацию организаций об их усилиях по развитию персонала. ISACA проводит опрос своих членов уже седьмой год. Отчет основан на ответах более 3600 респондентов из 120 стран, при этом более половины из них заявили, что их основная работа связана непосредственно с работой «в поле».
Несмотря на пандемию Covid-19, общие расходы на кибербезопасность снизились, что кажется нелогичным, но продолжает оставаться тенденцией, которую ISACA документирует в течение нескольких лет.
Категория программ кибербезопасности со «значительным недофинансированием» продолжает снижаться и теперь составляет 14% от числа опрошенных в последнем исследовании. Опрос также показал, что «65% респондентов, чьи команды по кибербезопасности значительно недоукомплектованы, говорят, что они испытывали трудности с удержанием квалифицированных специалистов по кибербезопасности — вероятно, из-за выгорания».
Тем не менее, есть небольшое количество хороших новостей. «Хотя индустрия кибербезопасности продолжает оставаться рынком сбыта, глобальная пандемия, по-видимому, положительно повлияла на усилия по удержанию персонала в области кибербезопасности», — говорится в отчете.
К сожалению, факт остается фактом: компании с серьезным дефицитом кадров видят некоторые свидетельства выгорания и потери людей. Отчасти проблема заключается в том, что более половины опрошенных все еще имеют незаполненные должности в сфере кибербезопасности.
«Самый большой пробел в навыках профессионалов в области кибербезопасности — это soft skills, включая коммуникативные навыки, лидерство, критическое мышление, командную работу, трудовую этику и позитивное отношение. Эту категорию выбрали более половины респондентов», — говорится в отчете. Опрос показал, что такая концентрация все еще отсутствует у недавних выпускников колледжей по вопросам кибербезопасности, что не является хорошим признаком того, что эти программы имеют правильную направленность для рабочей силы.
Реформирование кадровых требований к кибербезопасности
Резюме отчета ISACA ставит следующие очень важные вопросы: «Для тех, кто уже работает, можно предположить, что ответственность ложится на работодателя, но какая функциональная область — если таковая имеется — финансирует ее? И если не работодатель, можем ли мы потребовать от существующих сотрудников устранить проблему, которая, вероятно, никогда не была указана в описании должности?»
Одно из решений может заключаться в том, как мы обучаем новых выпускников колледжей программам кибербезопасности. Некоторые руководители корпораций, например, в недавнем панельном обсуждении Wall Street Journal, предложили отказаться от ученой степени в качестве обязательного условия для получения работы в сфере кибербезопасности. В отчете говорится: «Становится все более очевидным, что отрасль требует перекалибровки, когда дело касается кадрового обеспечения».
Лорел Нельсон-Роу — бывший редактор ISACA. Я спросил ее, почему это продолжает оставаться проблемой. «Проблема в том, что у сотрудников нет диплома о высшем образовании, но по-прежнему существует острая потребность в кибер-ноу-хау. Это означает, что вы должны учитывать деловой опыт кандидатов, прикладные навыки и любые другие документы, которые они имеют и могут принести на работу. К сожалению, эта потребность не исчезнет в ближайшее время». Она предлагает более широко предлагать бесплатное кибер-обучение как вариант поощрения кандидатов.
В отчете также цитируется исполнительный директор CyberUp Тони Брайан, который проводит большую программу обучения недалеко от Сент-Луиса. Он говорит: «Самым большим препятствием является представление о том, что отрасль сталкивается с нехваткой навыков, а не с проблемой конвейера талантов. Работодатели по-прежнему используют 20-летнюю практику приема на работу, такую как стажировки и совместная работа, и должны переосмыслить процесс найма. Такие направления, как ученичество, предлагают недорогой, безопасный и быстрый способ подготовить рабочую силу. Нехватка рабочей силы в сфере кибербезопасности сохраняется и, вероятно, будет продолжаться до тех пор, пока не будет проведен честный анализ того, что работает, а что нет. Несмотря на годы усилий правительства, промышленности и научных кругов, и несмотря на трату огромных сумм долларов налогоплательщиков, мало что изменилось».
