Araştırmaya göre, mevcut siber yetenek açığını kapatmak için küresel siber güvenlik iş gücünün %87 oranında artması gerekiyor.
ISC2’nin 2024’ü Siber güvenlik işgücü çalışması Siber güvenlik alanında şu anda yaklaşık 5,5 milyon kişinin çalıştığını ve firmaların tam güvenliğini sağlamak için gereken küresel 10,2 milyon siber profesyonele ulaşmak için 4,8 milyon kişiye daha ihtiyaç duyulduğunu tespit etti.
Teknolojinin iş ve yaşamın giderek daha önemli bir parçası haline gelmesiyle birlikte siber yeteneklere olan ihtiyaç da arttı. ISC2’ye göre siber güvenlik iş gücü açığı geçen yıla kıyasla %19 arttı. Bunun nedeni, ihtiyaç duyulan çalışan sayısı ile bu alanda çalışan çalışan sayısı arasındaki farkın giderek artması ve karşılanmadığı takdirde kuruluşları savunmasız bırakabilecek bir ihtiyaç olmasıdır.
ISC2 Kurumsal İşler İcra Başkan Yardımcısı Andy Woolnough şunları söyledi: “ISC2 Siber güvenlik işgücü çalışması siber güvenlik profesyonelleri arasında endişe verici bir algıyı vurguluyor. İşe alım ve profesyonel gelişim fırsatlarına yapılan yatırımın iki yıl boyunca azalmasının ardından, kuruluşlar artık önemli beceri ve personel eksiklikleriyle karşı karşıya kalıyor – profesyonellerin genel riski artırdığı konusunda uyardığı bir sorun.
Dünya genelinde siber güvenlik çalışanlarının sayısı son bir yılda 5,5 milyon civarında kalırken, bölgesel olarak dalgalanmalar yaşandı; bazı ülkelerde siber güvenlik çalışanlarının sayısında artış, bazılarında ise düşüş görüldü.
Siber çalışanların sayısının bir önceki yıla göre azaldığı bölgelerden biri de İngiltere oldu; 2023’te 367.300 olan sayı, 2024’te 349.360’a düştü; %4,9’luk bir düşüş yaşandı.
Ancak eksik olan tek şey çalışanlar değil, özellikle Avrupa’da siber güvenlik becerileri en eksik olanlardan bazıları. Computer Weekly’nin kendi araştırması, şirketlerin %37’sinin siber güvenlik yeteneğine düşük erişimin büyük bir sorun oluşturduğunu iddia ettiğini buldu.
İşçi sıkıntısı
Küresel siber beceri açıklarına gelince, ISC2’nin yaptığı araştırmaya göre, soru sorulanların %90’ı firmalarında beceri açığı olduğunu söylerken, %35’i ise firmalarında hem çalışan hem de beceri açığı olduğunu söyledi.
Ancak sorulanların %60’tan fazlası, siber ekiplerindeki beceri eksikliğinin, yeterli sayıda siber çalışan olmamasından daha kötü olduğunu iddia etti.
Ne yazık ki, şirketlerin siber profesyonelleri işe alırken aradıkları beceriler ile siber rollerde çalışanların geliştirilmesinin en önemli olduğunu düşündükleri beceriler arasında bir farklılık var ve bu da ekiplerde mevcut olan bu beceri açıklarını kapatmayı daha da zorlaştırıyor.
Örneğin, işe alım yöneticilerinin en büyük önceliği adayların problem çözme becerisine sahip olmasıdır. Yöneticilerin %31’i bu beceriyi isterken, siber profesyonellerin yalnızca %28’i bu becerinin talep gören beceriler listesinde üst sıralarda olduğunu düşünüyor.
Öte yandan, siber profesyonellerin firmaların kendilerinde görmeyi istediği en önemli becerinin iletişim becerileri olduğu düşünülüyor. Bu, sektörde çalışanların %31’inin benimsediği bir inanç olmasına rağmen, işe alım yöneticilerinin yalnızca dörtte biri için asıl ilgi odağı iletişim becerileri.
Birçok kişi, kuruluşlarındaki siber ekiplerde bilgi eksikliği olduğunu, en yaygın eksikliğin ise sorulanların %34’ü tarafından yapay zeka (YZ) ve makine öğrenimi (YÖ) alanlarındaki beceri eksikliği olduğunu belirtti.
Bulut bilişim güvenliği, sıfır güven uygulaması, dijital adli bilişim ve olay müdahalesi ile uygulama güvenliği ise mevcut siber ekiplerde en çok eksik olan beş beceri arasında yer alıyor.
Mevcut ekonomik iklim, birçok kuruluşu maliyetleri azaltmaya yöneltti ve siber profesyonellerin sayısı yıl bazında aynı kalsa da, ISC2’nin araştırmasına göre maliyet endişelerinin bu alandaki işe alımları ve büyümeyi engellemesi mümkün.
Sorulanların yaklaşık %40’ı, siber çalışan açığının temel nedeninin finansman eksikliği olduğunu söylerken, dörtte biri geçen yıla göre %3 artışla işten çıkarmalar yaşandığını, %37’si ise geçen yıl bütçe kesintileri yapıldığını söyledi.
LinkedIn iş ilanlarına bakan ISC2, dünya genelinde siber güvenlik alanında yayınlanan iş ilanlarının sayısının geçen yıla göre azaldığını veya aynı kaldığını, yalnızca İspanya ve Meksika’da geçen yıla göre siber iş ilanlarında önemli bir büyüme görüldüğünü, sırasıyla %5,5 ve %6,8’lik artışlar olduğunu tespit etti.
Çalışanların yaklaşık %60’ı, siber personel eksikliğinin şirketlerini siber saldırılara karşı daha fazla riske soktuğunu söylerken, özellikle %74’ü tehdit ortamının son beş yılın en kötüsü olduğunu söylüyor.
Woolnough, “Küresel istikrarsızlık ve yapay zeka gibi yeni teknolojilerin tehdit manzarasını hızla artırdığı bir zamanda, beceri geliştirmeye ve siber iş gücünün yeni nesline yatırım yapmak her zamankinden daha önemli” dedi. “Bu, siber güvenlik uzmanlarının bu zorluklarla başa çıkmasını ve kritik varlıklarımızı güvende tutmasını sağlayacak.”
Refah üzerindeki etkisi
Siber rollerdeki bu eksiklik yalnızca işletmeler için bir risk oluşturmakla kalmıyor: aynı zamanda çalışanların iş yerindeki refahını da etkiliyor; siber çalışanlar arasında iş memnuniyeti, muhtemelen artan iş yükü sonucunda, yıllık bazda %4 azaldı.
Şu anda ISC2 tarafından sorulanların %31’i ekiplerinde giriş seviyesinde üye olmadığını ve %15’inin ise junior pozisyonunda çalışanı olmadığını söylüyor. Bu durum, siber kariyerde olanlar için doğal bir ilerleme eksikliğinin yanı sıra bazı firmaların ihtiyaç duydukları yetenekleri bulmakta zorluk çekmelerinin olası nedenini de gösteriyor.
İşe alım engellerinin azaltılması, siber çalışanların sayısının artırılmasına yardımcı olabileceği gibi, işe alınanların oryantasyon sürecinin bir parçası olarak işlerine uygun becerilere sahip olmalarını sağlayarak beceri açığını da daraltabilir.
ISC2, şirketlerin siber güvenlik sektöründeki yetersiz beceri açığını ve siber güvenlik çalışanlarının eksikliğini gidermek için uygulayabileceği üç yöntemi vurguladı: Tüm seviyelerde beceri geliştirmeye devam etmek, iş beklentileri ve en çok talep gören beceriler konusunda daha fazla şeffaflık sağlamak ve siber güvenlik sektörüne yeni kişiler kazandırmak.