Найм специалистов по кибербезопасности: как преодолеть нехватку талантов и пробелы в навыках
12 сентября 2024 г.В недавнем отчете и панельной дискуссии Международного консорциума по сертификации безопасности информационных систем сделан вывод о том, что технологической отрасли срочно требуется больше специалистов по кибербезопасности, однако сохраняются значительные препятствия.
Исследование ISC2 Cybersecurity Workforce Study 2024, включающее ответы 15 852 специалистов и лиц, принимающих решения в области кибербезопасности по всему миру, показало, что 90% респондентов сталкиваются с нехваткой навыков в своих организациях, особенно в таких областях, как ИИ, облачные вычисления, безопасность и реализация концепции нулевого доверия.
Некоторые из этих дефицитов могут быть вызваны несоответствиями между тем, чего хотят соискатели, и тем, что предлагают потенциальные работодатели. Распространенная шутка о «начальных должностях с пятилетним опытом» может оказаться реальностью, сказал Брэндон Данлэп, старший исполнительный партнер Gartner по безопасности и управлению рисками, во время панельной дискуссии «Преодоление разрыва: проблемы кибер-работников» 10 сентября.
По данным ISC2, в глобальном масштабе дефицит рабочей силы в сфере кибербезопасности составляет 4,8 млн человек. Это 19%-ный дефицит между ролями, которые необходимы организациям для защиты своих систем, и специалистами, которые могут их заполнить. Однако в некоторых странах, таких как Канада, Бразилия, Мексика, Нидерланды и Испания, этот разрыв сократился. (ISC2 отмечает, что это число не обязательно соответствует количеству открытых вакансий.)
HR не всегда знает, как определить кибербезопасность
Эти проблемы могут помешать компаниям заполнить открытые вакансии или затруднить соискателям поиск подходящих ролей. Определение должностей в сфере кибербезопасности может быть особенно сложным для HR-команд. Ссылаться на «кибербезопасность» как на общий термин — это то же самое, что говорить «лекарство» без указания типа врача, сказал Саймон Салмон, инструктор ISC2 и руководитель ИТ в городском совете Ноттингема.
«Вам необходимо провести действительно глубокие беседы с вашими рекрутерами и специалистами по подбору персонала о том, что на самом деле требуется для найма нужных талантов», — сказал Дэн Хаузер, председатель совета директоров ISC2.
Тенденции показывают ужесточение бюджетов и небольшой рост увольнений
Многие организации сосредоточены на найме сотрудников среднего и продвинутого уровня, что отражает отсутствие развития основных навыков. Из опрошенных организаций:
- 39% назвали недостаточный бюджет главной причиной кибердефицита. В прошлом году главной причиной была нехватка талантов.
Увольнения выросли на 3% по сравнению с прошлым годом, достигнув 28%.
Более трети (37%) компаний столкнулись с сокращением бюджета — на 7% больше, чем в прошлом году.
Заморозка найма выросла на 6%, и 38% организаций ее внедрили.
Также существует проблема, связанная с тем, что компании не могут предложить конкурентоспособную зарплату, отметил Хаузер. Работа в сфере кибербезопасности, как правило, предполагает более высокую зарплату по сравнению с другими ИТ-должностями, но некоторые отделы кадров не учитывают эти ожидания в своих объявлениях. В частности, государственные должности часто не могут сравниться с зарплатой в частном секторе.
«Часть проблемы, которую мы наблюдаем, заключается не в отсутствии рабочей силы, а в доступности рабочей силы по разумной ставке», — пояснил Хаузер.
По словам Лизы Янг, заместителя председателя совета директоров ISC2, для привлечения талантливых специалистов в области кибербезопасности компании должны предлагать справедливую компенсацию, способствовать созданию уважительной и совместной рабочей среды, а также гарантировать, что сотрудники чувствуют, что их ценят и могут вносить значимый вклад.
Когда она спросила: «Сколько раз компании говорят спасибо за то, что мы делаем?» Это особенно проблема в кибербезопасности, потому что «одним из показателей успеха является то, что не произошло ничего плохого», — сказала она. «Если мы хорошо выполняем свою работу, она часто прозрачна».
Как содействовать начинающим работникам
Как только специалисты повышаются в должности, удовлетворенность работой обычно остается высокой, что помогает их удерживать. Однако почти треть участвующих организаций сообщили, что у них нет ни одного начинающего специалиста по кибербезопасности.
Крупные компании, скорее всего, предложат начальные и младшие должности (1-3 года опыта), но большинство организаций по-прежнему сосредоточены на найме ролей среднего и продвинутого уровня. Такой подход может способствовать возникновению пробелов в навыках, поскольку не удается создать резерв работников, которые в конечном итоге могут занять старшие должности, поскольку более опытные работники уходят на пенсию или иным образом покидают организацию.
СМОТРИТЕ: Почему вашему бизнесу необходимо обучение по вопросам кибербезопасности (TechRepublic Premium)
Данлэп отметил, что к другим факторам, которые могут способствовать росту числа рабочих мест в сфере кибербезопасности, относятся:
- Создание программ киберобучения.
Компенсация труда работников на основе обучения.
Запуск внутренних программ наставничества, особенно с наставниками, которые соответствуют личностям сотрудников.
Непрерывное профессиональное развитие имеет решающее значение, поскольку сфера технологий развивается стремительно, сказал Янг. Непрерывное обучение может помочь профессионалам приобрести навыки, необходимые для устранения технических пробелов, выявленных ISC2, включая AI/ML, безопасность облачных вычислений, реализацию нулевого доверия, цифровую криминалистику и безопасность приложений, которые находятся в верхней части списка.
Напротив, в отчете подчеркивается несоответствие между предполагаемыми и желаемыми навыками в области ИИ: 23% специалистов по кибербезопасности считают, что навыки в области ИИ/МО востребованы, в то время как 12% менеджеров по найму ищут такие навыки для должностей в сфере кибербезопасности.
Ранний набор или набор нетрадиционными путями
Данлоп отметил, что профессиональные училища и общественные колледжи могут стать богатым источником подготовки специалистов по кибербезопасности.
Салмон работает над программой, которая выявляет подростков с необходимыми для кибербезопасности навыками — «способностью к обучению, хорошими навыками общения с клиентами, обаянием и умением располагать к себе» — и обучает их техническим навыкам.
«Мы очень быстро обнаружили, что среди тех, кто остался позади, были люди с нейроотличными диагнозами или люди с дислексией, и что нас поразило, так это то, что именно они преуспели», — сказал Салмон.
«Вы можете решить проблему дефицита, если будете действовать инклюзивно», — сказал Салмон.
Оригинал