Siber güvenlik disiplini kaotik bir anla karşı karşıya: Şirketler siber güvenlik çalışanlarının yetersizliğinden ve daha sıkı güvenlik bütçelerinden muzdarip. Bu kombinasyon, siber güvenlik uzmanlarının aşırı çalışma ve stres altında olma eğiliminde olduğu anlamına geliyor.
Bu iki güç, ön saflardaki siber güvenlik çalışanları için oldukça farklı ortamlara yol açtı. Kuzey Amerika’da 1,5 milyon siber güvenlik uzmanı çalışıyor olsa da, 31 Ekim’de yayınlanan 2023 ISC2 Siber Güvenlik İşgücü Araştırması’na göre 522.000 çalışan açığı mevcut. Ancak ekonomik belirsizlik nedeniyle şirketler, gerekli siber güvenlik rollerini doldurmaya öncelik vermiyor. Şirketlerin %47’si işe alımların dondurulması, bütçe kesintileri veya işten çıkarmalar uyguluyor.
İşgücü açığı siber güvenlik uzmanları üzerinde daha fazla baskı oluşmasına neden oldu. Raporda, işten çıkarılmış veya işten çıkarılmayı bekleyen güvenlik ekiplerinin, işten çıkarma yapmamış veya çıkarmayı beklemeyenlere kıyasla çok daha düşük düzeyde iş tatminine sahip olduğu belirtiliyor.
Bir eğitim ve sertifikasyon kuruluşu olan ISC2’nin CISO’su Jon France, bunun sonucunda siber güvenlik personelinin daha fazla iş görmesi, işletmelerin siber güvenlik ürünlerini satın almayı geciktirme olasılığının daha yüksek olması ve güvenlik ekiplerinin gelecekteki tehditlere karşı daha az hazırlık yapabilmesi olduğunu söylüyor.
“Küresel ekonomik koşullar yardımcı olmuyor, bu nedenle orada becerilere ve becerilere erişime yönelik tanımlanmış bir ihtiyaç olsa da, onları ekonomik olarak işe alma yeteneği mevcut değil” diyor. “Makroekonomik ortamın bütçeler üzerinde baskı oluşturduğunu görüyoruz.”
Siber güvenlik uzmanlarının iş güvenliği konusundaki endişeleri, devam eden iş gücü sıkıntısının ortasında, bu yılın başlarında teknik olmayan 1000 iş liderinin katılımıyla yapılan bir ankette yalnızca %10’unun siber güvenlik personelini azaltmayı planladığını ortaya çıkardığından farklı bir durum. En son ISC2 iş gücü raporunda, yanıt verenlerin beşte birinden fazlası (%22) siber güvenlik gruplarının son 12 ayda işten çıkarılmalar yaşadığını iddia etti.
Bilgi Sistemleri Güvenliği ile ortaklaşa kendi siber iş gücü çalışmasını yayınlayan bir danışmanlık şirketi olan Kurumsal Strateji Grubunun seçkin analisti Jon Oltsik, bütçe kısıtlı siber güvenliğe çözüm aramak için CISO’ların her şeye yaklaşımlarındaki beceri eksikliğini dikkate almasını gerektirdiğini söylüyor. Derneği (ISSA), bu yılın başlarında.
“Hem personel sayısını hem de gelişmiş becerileri etkileyen beceri eksikliğinden kurtulmanın yolunu işe alamazsınız” diyor. “Yapabilecekleri bazı eylemler arasında daha fazla süreç otomasyonu, daha akıllı çözümler satın alma (yapay zeka ve gelişmiş analitiği düşünün) ve bazı görevlerin veya süreçlerin yönetilen hizmet sağlayıcılara devredilmesi yer alıyor; bunların tümü kurumsal güvenlik stratejisinin parçası olmalıdır.”
Büyüyen Boşluk
Bilgi güvenliği sertifikasyon dernekleri yıllardır siber güvenlik çalışanı sıkıntısı sorununu gündeme getiriyor. Örneğin 2021’de ISC2 açığı 2,7 milyon olarak belirledi. İşgücü raporuna göre bugün boşluk 4 milyon siber güvenlik çalışanına ihtiyaç duyuyor. ISC2’ye göre şu anda ABD’de yaklaşık 1,3 milyon, Kuzey Amerika’da yaklaşık 1,5 milyon ve dünya çapında 5,5 milyon kişi siber güvenlik alanında çalışıyor.
Şirketler, ihtiyaç duyduklarını düşündükleri siber güvenlik bilgisine sahip çalışanları arama eğilimindedir; ancak kamu ve özel kuruluşların, giriş seviyesinde daha fazla çalışanı işe almaları ve daha sonra uzun vadedeki beceri açığını çözmek için eğitim yoluyla becerilerini geliştirmeyi taahhüt etmeleri gerekmektedir. terim, diyor ISC2’den Fransa.
“Eğer aradığınız tek şey bir tek boynuzlu atsa, onlar çok nadir görülen bir canavardır ve mücadele edeceksiniz” diyor. “Biraz daha kıdemsiz birini aramanız ve ardından onun becerilerini eğitme ve geliştirme konusunda kararlı olmanız daha iyi olur. [Companies] iştahlarını değiştirmeye çalışmalıyız.”
Mesele sadece işe almak değil; işçileri elde tutmak birçok şirket için zorlu bir iştir. ESG’den Oltsik’e göre siber güvenlik uzmanlarının yarısı bu yıl işlerinden ayrılma ihtimalinin oldukça yüksek olduğunu tahmin ediyor.
“Çoğu başka bir yere gidiyor ve kendilerine daha fazla maaş veren ve daha iyi bir siber güvenlik kültürüne sahip bir iş buluyor” diyor. “Yeterli maaş alırlarsa, güçlü siber güvenliğe sahip bir kuruluşta çalışırlarsa, kariyer geliştirme ve eğitim fırsatlarına sahip olurlarsa ve yetenekli bir ekiple çalışırlarsa kalma eğilimindedirler.”
İşten Çıkarmalar, Kesintiler ve Bütçe Kesintileri
Rapora göre, işe alma ve işte tutma sorunlarına rağmen siber güvenlik sektörü istikrarlı bir istihdam ortamı değil. Şirketlerin yaklaşık yarısı (%47) siber güvenliği etkileyen bir tür bütçe kesintisi yaşadı. 2023 araştırmasına göre siber güvenlik ekiplerinin üçte biri (%32) işe alımları dondurdu, %30’u bütçe kesintileriyle karşı karşıya kaldı, dörtte biri (%26) terfi veya zamlardan vazgeçmek zorunda kalacak ve %22’si işten çıkarmalarla karşı karşıya.
En fazla işten çıkarmanın görüldüğü sektörler arasında eğlence ve medya (%33), inşaat (%31) ve güvenlik yazılımı ve donanım üreticileri (%31) yer alıyor.
ISC2’den Fransa, bütçe kaygıları ile önemli ihtiyaçlar arasındaki gerilim göz önüne alındığında, istihdam boşluklarını doldurmanın muhtemelen geleneksel olmayan nüfuslara ulaşmayı, BT çalışanlarını güvenliğe geçme konusunda eğitmenin ötesine geçmeyi ve bunun yerine doğru eleştirel düşünme becerilerine ve öğrenme zihniyetine sahip insanlara odaklanmayı gerektireceğini söylüyor. .
“Kapıları açmamız ve siber güvenlik için üniversite diplomasına ihtiyacınız olduğuna dair bazı mitlerden kurtulmamız gerekiyor” diyor. “Daha önce, demografik veya deneyim açısından çok dar bir gruba bakma eğilimindeydik ve geleneksel olmayan yerlere ve geleneksel olmayan insanlara bakmalıyız; bunlar masaya çok şey katıyor.”