23
Пн, дек

Пробел в навыках кибербезопасности влияет примерно на три четверти организаций и продолжает ухудшаться

cyber hackers2Исследование, проведенное Enterprise Strategy Group (ESG) и профессионалами Ассоциации безопасности информационных систем (ISSA), показывает, что навыки кибербезопасности продолжают ухудшаться четвертый год подряд.

Эта ситуация затронула более 70% организаций, подвергающих свою деятельность риску. Последствия нехватки навыков кибербезопасности включают увеличение рабочих нагрузок, неспособность заполнять открытые объявления о вакансиях и неспособность организаций эффективно использовать инструменты кибербезопасности.

В исследовании, которое продолжается уже десять лет, говорится, что за последние четыре года не было никакого прогресса в решении проблемы спроса и предложения профессионалов в области кибербезопасности. В ходе исследования было опрошено 327 специалистов по кибербезопасности и членов ISSA из Северной Америки (92%), Европы (4%), Азии (3%) и около 1% из Центральной и Южной Америки.

Основные выводы исследования недостатка навыков в области кибербезопасности

Исследование показало, что отсутствие четко определенного карьерного пути для профессионалов в области кибербезопасности является причиной дефицита навыков в области кибербезопасности. Около 68% опрошенных профессионалов не имели определенного карьерного пути. Кроме того, исторические решения, реализованные для решения проблемы, только усугубили ее.

Нехватка навыков в области кибербезопасности также объяснялась необходимостью практического опыта для профессионалов, чтобы присоединиться к индустрии кибербезопасности. Однако получение этого опыта потребовало от работников в первую очередь работы в сфере кибербезопасности. Это требование не позволяло новым специалистам в области кибербезопасности добиться успеха в отрасли. Соответственно, на вопрос о том, что было более важным для их карьерного роста, 52% респондентов выбрали практический опыт, а 44% выбрали как опыт, так и сертификацию по кибербезопасности.

Исследование также связывало разрыв в навыках кибербезопасности с количеством лет, необходимых для повышения квалификации. 39% респондентов заявили, что для достижения компетенции потребовалось от 3 до 5 лет, в то время как 22% ответили, что этот срок составляет от 2 до 3 лет. Около пятой части (18%) респондентов сказали, что на это ушло бы более пяти лет.

Организации также виноваты в нехватке навыков кибербезопасности. Большинство респондентов (64%) заявили, что их организации не инвестируют в профессионалов в области кибербезопасности. Более трети (36%) заявили, что их организации должны проводить «немного больше» тренингов по кибербезопасности, в то время как 29% считают, что их компании должны проводить «значительно больше» тренингов для своих сотрудников по кибербезопасности. 28% заявили, что их организации не проводят достаточного обучения нетехнического персонала.

Подавляющее большинство респондентов считают, что поставщики кибербезопасности должны делать «немного или намного больше» (68%), а 71% заявили, что сообщество кибербезопасности должно делать то же самое.

Ухудшение проблемы

Джон Олцик, старший главный аналитик и научный сотрудник ESG, сказал, что одни и те же проблемы «нехватки навыков, недостаточно подготовленных сотрудников, а также стресса и напряжения, вызванного карьерой в области кибербезопасности» повторяются каждый год. Он сказал, что руководители предприятий должны больше беспокоиться об этих проблемах, особенно когда киберпреступники наращивают свои усилия по проведению кибератак.

Олцик считает, что нехватка профессионалов в области кибербезопасности существенно повлияла на команды по кибербезопасности, увеличив их рабочую нагрузку. Ситуация также заставляет нанимать больше работников начального уровня вместо того, чтобы проводить больше обучения для опытных специалистов. Новым сотрудникам требуются годы, чтобы учиться, они не могут улучшить свои навыки и не могут полностью раскрыть свой потенциал из-за отсутствия у организаций навыков кибербезопасности. Следовательно, организации вкладывают деньги, не получая прибыли от своих вложений.

Кэнди Александер, президент правления ISSA International, сказала, что заполнение штата компаний новыми людьми не решит проблему нехватки навыков кибербезопасности. Она сказала, что для решения проблемы нехватки навыков кибербезопасности необходим целостный подход, включающий образование, развитие карьеры, планирование и картирование.

На вопрос, почему десятилетиями не было прогресса в решении этой проблемы, Александер отвечает:

«При более глубоком изучении данных становится ясно, что профессионалы заявляют, что они не получают возможности быть в курсе новых тенденций в своей области, потому что рабочие нагрузки настолько велики, что времени на обучение не остается. Это уловка 22. При внимательном рассмотрении данных также становится ясно, что проблема выходит за рамки технологий и должна рассматриваться комплексно как проблема бизнеса.

Например, предприятия инвестируют в технологии для защиты своих данных, но те тратят деньги на развитие персонала. При этом если ситуация не улучшается, то они могут или не очень хорошо могут понимать, в чем состоит проблема и делают вывод, что это проблема технологии. Но на самом деле бизнес должен лучше коммуницировать и понимать, почему инвестиции в обучение так же важны для защиты, как и вложения в технологии.

Это все равно, что покупать первоклассные реактивные истребители, но просить пилота коммерческой авиалинии управлять им. Конечно, они могут заставить его взлететь, остаться в воздухе и приземлиться. Но могут ли они использовать реактивный истребитель в полной мере - и по опыту знают ли методы, позволяющие использовать реактивный истребитель в полной мере. Нет, потому что пилоту коммерческих авиалиний нужно пройти обучение.

Проблема только усугубляется тем фактом, что многие ИТ-директора являются выходцами из технического сообщества. Когда вы смотрите на должностные инструкции - то реально видите в чем заинтересован бизнес. Но давайте посмотрим правде в глаза, технологи не всегда формулируют, КАК их стратегия безопасности будет поддерживать стратегию организации. Поэтому руководители в области безопасности, должны иметь возможность согласовывать свои программы для прямой поддержки таких вещей, как получение доходов, что сложно, когда безопасность рассматривается как центр затрат».

Подготовлено порталом Allinsurance.kz