ISACA, ISC2 ve hatta Biden yönetiminin soruna yönelik yeni yayınlar yayınlamasıyla siber güvenlikteki yetenek açığına ilişkin konuşmalar devam ediyor. Gerçekten de, yalnızca ABD neredeyse yarım milyon açık siber güvenlik pozisyonuVe ISC2 4,8 milyonluk bir açık tahmin ediyor Dünyanın bilgi işlem kaynaklarını güvence altına almak için profesyonellere ihtiyaç vardı.
Ancak anketlerin ve çalışmaların bize söylediği tek şey, siber güvenlik sektörünün personel sayısının yetersiz olduğu, şirketlerin işe alım aradığı veya pozisyonları dolduracak kimsenin olmadığı değil. Şirketler ve adaylar arasında maaş ve gerekli sertifikaların yanı sıra kuruluşlar içindeki bütçeleme sorunları gibi konularda da bir kopukluk var.
Yakın zamanda yayınlanan “ISC2 2024 Siber Güvenlik İşgücü Çalışması”, şirketlerin içindeki bütçe sorununu ölçüyor. Raporda, “2024 yılında ankete katılanların %25’i, siber güvenlik departmanlarında 2023’e göre %3 artışla işten çıkarmalar bildirdi; %37’si ise 2023’e göre %7 artışla bütçe kesintileriyle karşı karşıya kaldı.” Bu, daha az iş olanağı ve açılan pozisyonları doldurmak için daha az para anlamına gelir.
Nitelikli adaylardan oluşan bir deniz arasında iş arayanlar, işe alım uzmanları ve işe alım yöneticileri karşısında nasıl öne çıkacaklarını bulmakta zorlanıyor.
Direktör düzeyinde ve CISO rollerinde 30 yıldan fazla deneyime sahip iş arayan Xavier Ashe, “Çok sayıda ağ kuruyorum” diyor. “Bu bana çok sayıda röportaj yapma fırsatı verdi, ancak rekabet zorlu. Herkes bakıyor ve rekabet ettiğim birçok harika insan var.”
İşe Alma Beklentileri Yanlış Hizalanmış
Bu yılki Dark Reading makalesinde “Amerika için Hizmet” siber güvenlik hamlesiRunSafe Security’nin CTO’su Shane Fry, istihdam açığını büyük kuruluşların üniversite mezunu yüksek vasıflı siber çalışanları tercih etme eğiliminden sorumlu tuttu.
Fry, “Bu, bazı harika adayların ortaya çıkmasına yol açabilir, ancak aynı zamanda siber konusunda çok tutkulu olan ve becerileri kendi başlarına edinen ve özgeçmiş hazırlayacak diplomaları olmayan büyük bir grup insanı da dışlıyor” diye yazdı. “İşletmelerin, insanları siber güvenliğin uç noktalarından siber güvenlik alanına çekmek için iş başında eğitim ve harici eğitim kursları sunabileceği tonlarca fırsat var.”
Teknoloji sertifikasyon kuruluşu CompTIA, işgücü piyasası analisti Lightcast ve ABD federal siber güvenlik programı NICE arasındaki ortak proje olan CyberSeek, dış eğitimin iş arayanlar ve işe alım kuruluşları arasında daha iyi uyum gerektirebileceğini gösteriyor. Siber güvenlik kariyeri ısı haritası karşılaştırılıyor Sahip olunan sertifikalar ve talep edilen sertifikalar. CompTIA+ ve Sertifikalı Bilgi Sistemleri Güvenliği Uzmanı (CISSP) gibi bazı sertifikalar işe alım havuzunda fazlasıyla temsil edilirken, Sertifikalı Bilgi Sistemleri Denetçisi (CISA) ve Sertifikalı Bilgi Güvenliği Yöneticisi (CISM) gibi diğer sertifikaların işe alım için yeterli sertifika sahibi yoktur. işveren talebini karşılamak.
CyberSeek, kendi yaklaşımındaki başka bir yanlış hizalamayı da göstermektedir. Kariyer Yolu Açık iş sayısıyla orantılı olarak boyutlandırılmış dairelerle giriş seviyesi, orta seviye ve ileri seviye pozisyonları temsil eden grafik. Giriş seviyesi iş türlerinin tümü ve orta seviye iş türlerinden biri hariç tümü, ABD’de ülke çapında 7.000’den az işi temsil eden küçük noktalardır; 24.000 iş ilanının kuzeyini temsil eden büyük çevreler, kariyer değişikliği yapan veya yeni başlayan kişilerin erişiminin dışındadır.
Alanın kariyerinin başındaki iş arayanlardan nasıl uzaklaştığının yanı sıra, üst düzey adaylar farklı bir sorunla karşı karşıya kalıyor: deneyim düzeylerine göre bekledikleri ücret ile iş ilanlarının sundukları arasındaki eşitsizlik. Bütçe kesintileri işe alım ortamını etkiliyorgöre işten çıkarmalara bile yol açabiliyor ISC2’nin çalışması. ISC2, “2023’te yetenek ve beceri boşluklarının en önemli nedenleri, başarılı olmak için ihtiyaç duydukları yetenek veya becerileri bulamamaktı.” dedi. “Fakat bugün mesele arz değil, mesele işe alım için sınırlı kaynaklar.”
Bu Ashe’in iş arama deneyimine uyuyor. “Büyük şirketler yönetici maaşlarını düşük tutuyor” diyor. “Almak zorunda kalacağım maaş kesintisi nedeniyle bu yaz bir teklifi geri çevirdim.”
ISC2 çalışması, küresel siber güvenlik çalışanlarının sayısında 2024 yılında 2023’e göre %0,1’lik bir artış tespit etti. 2023’te 2022’ye kıyasla %8,7’lik artışla karşılaştırıldığında, çalışma “Bu yılın rakamları işe alımların 2023-2024 için yavaşladığını gösteriyor” sonucuna varıyor.
İşe Alamıyorsanız Teknolojiyi Geliştirin
Peki, hiç kimse başlangıç düzeyindeki kişileri işe almıyorsa ve hiç kimse maaş gereksinimleri nedeniyle daha üst düzeydeki profesyonelleri işe alamıyorsa, bir kuruluş siber güvenlik ekibini nasıl koruyabilir? Exabeam’in baş ürün sorumlusu Steve Wilson, mevcut çalışanların gemiden atlamasını önleyerek, diyor.
Wilson, daha iyi bir çalışma ortamı yaratmanın bir yolunun, daha fazla otomasyon sağlayarak iş yükünü daha az ezici hale getirmek olduğunu söylüyor. Makine öğrenimi algoritmaları, ham verileri ağ üzerinden akarken analiz eder, sürekli olarak normal davranış kalıplarını öğrenir ve anormallikleri belirler. Şüpheli bir vaka ortaya çıktığında olağandışı aktivitenin izleri özetlenip doğal dilde sunulur; böylece analistlerin yoğun günlükleri incelemeden verileri yorumlaması kolaylaştırılır. Bu yaklaşım zamandan tasarruf sağlar ve güvenlik profesyonellerinin çabalarını en çok önem verdikleri yere odaklamalarına olanak tanır.
Wilson, “Bu, neyin anormal ve endişe verici olduğunu tespit edebileceğimiz ve daha sonra bunu bir insan analistin önüne harekete geçmesini sağlayabileceğimiz bir noktaya ulaşmakla ilgili” diyor. “İşte asıl iş burada başlıyor ve tasarruf edilen zaman çok değerli hale geliyor.”
Wilson, yeni başlayan analistlerin bu tür araçların, işaretlenen bir sorunla ilgili tam olarak neyin şüpheli olduğunu anlamalarına olanak tanıdığını ve bu süreçte teknik noktaları anlamayı öğrendiklerini söylüyor. Bu, 1. Kademe analistlere sorunu 3. Kademe analistlere iletmek yerine sorunu kendileri çözme şansı verir. İlerletmelerin azaltılmasıyla Seviye 3 analistlerinin iş yükü hafifletilir ve LLM’yi daha zorlu sorunlar için belirsiz veri noktalarını aramak için kullanabilirler.
Wilson, “Bu, gençlerin becerilerini geliştiriyor çünkü kendilerini ifşa ediyormuş gibi hissetmeden aptalca soruyu sorabiliyorlar” diyor. “Ve sonra bu, kıdemlilerin gerçekten çetrefilli sorunları çözmeleri için zaman kazandırıyor.”
Trace3’ün CISO’su ve kıdemli başkan yardımcısı Bryan Kissinger şunu belirtiyor: “İnsanlar sevmedikleri bir işi yaptıklarında ya da etraflarındaki ekip iş/yaşam dengesini desteklemediğinde tükeniyor” diyor. “Daha fazla tekrarlayan ve sıradan faaliyetler… bunların çoğu, araçlar ve otomasyon tarafından gerçekleştirilebilir.”
Doğru İnsanları Elinizde Tutabilirseniz
Siber güvenlik yeteneklerinin işten ayrılmasının nedeni olarak maaşların düşük olması 2023’teki %54’ten 2024’te %50’ye düşerken, iş stresi seviyeleri bu yıl personelin %46’sını (2023’teki %43’ten) siber güvenlik işlerini bırakmaya itti. Buna göre ISACA’nın “Küresel Siber Güvenlik Durumu 2024” Ayrıca insanların işten ayrılma nedenleri olarak yönetimin desteğinin olmayışı (%34), kötü çalışma kültürü (%32) ve ofise dönüş girişimleri (%32) gösterildi.
Kissinger, Trace3’ün elde tutulmasının önemli olduğunu ekliyor. “Bazen birisinin tükendiğini söylemek çok zordur” diyor. “[An employee was] Tükendikleri için ayrılmaya hazırdılar ve ben de ‘Bunu ilk kez duydum’ dedim. İş yükünü hafifletmemize yardımcı olacak bazı yüklenicileri işe alabilir miyiz?’ İnsanlar sesini çıkarmadığı sürece kendinize gerçekten kötülük yapıyorsunuz.”
Wilson şunu ekliyor: “Bazen bu otomasyon ürünleri, ister siber güvenlik ister pazarlama olsun, personelinizde daha az insan bulundurabileceğinizi söyleyen bir değer teklifi vardır. ‘Çok fazla harcıyorum’ diyen birinin olduğunu sanmıyorum. SOC ekibimde — otomasyonu getirerek bunu azaltacağım.’ Söyledikleri şu: ‘SOC ekibim bunalmış durumda ve insanlar tükendikleri için işi bırakıyorlar.'”