Temmuz 2021’de Enterprise Strategy Group (ESG) ve Information Systems Security Association’ın (ISSA) ortak araştırması, BT becerilerinde en büyük eksikliğin olduğu alanın bulut bilgi işlem güvenliği olduğunu buldu.
489 siber güvenlik uzmanıyla yapılan anket, beceri eksikliğinin ana sonuçlarının siber güvenlik ekibi için artan iş yükü (%62), yerine getirilmeyen iş talepleri (%38) ve personel arasında yüksek tükenmişlik (%38) olduğunu ortaya koydu.
Endişe verici bir şekilde, ankete katılanların %95’i siber güvenlik becerileri eksikliğinin ve bununla ilişkili etkilerin son birkaç yılda iyileşmediğine inandığını ve %44’ünün durumun kötüleştiğini düşündüğünü bildirdi.
Yine de ciddi bir siber güvenlik uzmanı sıkıntısı olsa bile, yetenekli adaylar bir siber güvenlik kariyerine başlamanın çok zor olabileceğini söylüyor. Siber güvenliğe başlamayla ilgili öneriler sorulduğunda, yanıt verenlerin yaklaşık yarısı (%49) temel bir siber güvenlik sertifikası almayı, %42’si profesyonel bir endüstri kuruluşuna katılmayı ve %36’sı becerilerini geliştirmeye yardımcı olmaya istekli bir akıl hocası bulmayı önerdi. ve kariyer planları.
Daha fazla işletme genel bulut ve hibrit hizmetleri benimserken, bulut yapılandırmalarını nasıl güvenli hale getireceğini bilen ve DevSecOps deneyimine sahip kişilere yönelik talep de artıyor. Burası, güvenliğin “sola kaydırıldığı” ve yeni yazılım özellikli ürün ve özelliklerin tanıtılması için sürekli entegrasyon ve sürekli teslimat (CI/CD) yazılım geliştirme boru hattına gömülü hale geldiği yerdir.
Bu beceriler, bulutta yerel bir dijitalleştirme stratejisi sunan CIO’lar ve CISO’lar için ön koşullardır. ESG’de kıdemli bir analist olan Melinda Marks, bulutta yerel güvenliği tartışan bir blog gönderisinde şunları yazdı: “Zaman ve personel tasarrufunu göz önünde bulundurmak ve verimliliği artıran ve personel tükenmişliğini azaltan ürünlere yatırım yapmak önemlidir.”
Endüstri tarafından tanınan sertifika, bu araç setinin bir parçasıdır. İnsanların kariyer basamaklarını yükseltmelerine yardımcı olmakla kalmaz, aynı zamanda onlara kazançlarını artırmanın bir yolunu sunar. BT lideri bakış açısıyla, sertifikasyon programları personelin elde tutulmasını iyileştirir. Eğitimleri için işverenleri tarafından para ödenen kişilerin başka bir yerde iş arama eğilimi çok daha düşüktür.
Skillsoft’un 17. baskısı BT becerileri ve maaş raporu 2022 ankete katılan 7.952 BT uzmanının %91’inin en az bir sertifikaya sahip olduğunu buldu. Anket, katılımcıların kendi alanlarında ortalama dört sertifikaya sahip olduğunu bildirdi. Yarıdan fazlası (%56) sertifikanın işlerini geliştirmelerine yardımcı olduğunu söylerken, %41’i bunun onları işleriyle daha çok meşgul ettiğini söyledi.
Anket, profesyonel, endüstri tarafından tanınan sertifikalar ile çalışanların elde edebileceği maaş seviyesi arasında bir ilişki buldu. Sertifikalı Bilgi Sistemleri Güvenlik Uzmanı (CISSP) sertifikalarına sahip kişilerin en çok kazananlar olduğunu tespit etti. Skillsoft’a göre, EMEA bölgesindeki CISSP sertifikalı BT uzmanları yaklaşık 104.863 dolar kazanırken, Sertifikalı Bilgi Güvenliği Yöneticisi (CISM) sertifikalarına sahip olanlar ortalama 97.304 dolar kazanıyor.
Skillsoft, ankete katılanlar arasında en iyi siber güvenlik sertifika programlarına baktığında, Microsoft’un birinci olduğunu, ardından ISACA, CompTIA, Cisco ve (ISC) olduğunu gördü.2. Genellikle bir Windows sistem yöneticisi olmanın ön koşulu olan Microsoft profesyonel eğitiminin baskınlığı göz önüne alındığında, bu şaşırtıcı gelmemelidir.
Microsoft ayrıca Skillsoft tarafından ankete katılan BT uzmanları tarafından takip edilen ilk beş güvenlik, yönetişim, uyumluluk ve/veya gizlilikle ilgili sertifikaya öncülük etti. Bunu (ISC) takip etti2Amazon Web Hizmetleri (AWS), CompTIA ve Cisco.
Kurumsal genel bulut dağıtımlarındaki büyüme göz önüne alındığında, Microsoft ve AWS’nin güvenlik, yönetişim ve uyumluluk sertifikasyonunda ilk beşe girmesi şaşırtıcı değil.
Skillsoft’a göre BT yöneticileri, mevcut beceri eksikliklerini gidermek için personelin becerilerini artırmaya yatırım yapıyor. Aynı alanlarda doldurulması en zor pozisyonları belirtiyorlar: bulut bilgi işlem (%30), analitik/büyük veri/veri bilimi (%28) ve siber güvenlik (%25).
Maureen Lonergan, AWS
Eğitim işverene ve çalışana fayda sağlar
Belgelendirme ayrıca işletme genelinde olumlu bir etkiye sahiptir ve personelin elde tutulmasını artırır. AWS eğitim ve sertifikasyondan sorumlu başkan yardımcısı Maureen Lonergan şöyle diyor: “Kuruluşunuz, çalışanlarınızın sertifika almasına yardımcı olmayı planlıyor veya buna şimdiden yatırım yapıyor olsun ve sektör sertifikalarına sahip adayları olumlu değerlendiriyor olsun, kuruluşunuzun üretkenliğinde bir artış göreceksiniz. inovasyon potansiyeli ve çalışanların elde tutulması.”
Siber güvenlik becerilerinin yüksek talep gördüğü göz önüne alındığında, insanlara yapılan bu tür yatırımlar, CISO’ların güçlü bir ekip oluşturmasına yardımcı olabilir.
“Beceri eğitimi için fırsatlar sunmak, daha yüksek çalışan memnuniyetine ve çalışanların elde tutulmasına yol açabilir. Ayrıca, bir adım daha ileri gidip çalışanlarınızın sertifikasyon sınav ücretlerini finanse ettiğinizde, çalışanların başka bir yerde iş arama olasılığı daha düşük olur,” diye ekliyor Lonergan.
Ancak, sertifikalar güvenlik uzmanları için yararlı, hatta hayati olsa da, Chartered Institute of Information Security (CIISec) direktörü Piers Wilson, sertifikaların bir boşlukta var olmaması gerektiğini söylüyor.
“Bireylerin zamanlarını kağıt üzerinde iyi görünen ancak temel becerilerini geliştirmeyen veya onları gelecekteki rollere hazırlamayan ilgisiz nitelikleri biriktirmek için harcamamalarını sağlamak için resmi akreditasyona ihtiyaçları var. Bu, devam eden siber güvenlik becerileri eksikliği göz önüne alındığında özellikle önemlidir” diyor.
Piers Wilson, CIISec
Nitelikli çalışanlar için bir “satıcı pazarı”, bireysel kariyerler için harika görünse de, Wilson, gerçek bir zorluk olduğunda hem kuruluş hem de çalışan için ciddi sonuçlar doğurabilecek, yeteneklerinin ötesinde birinin atanması veya terfi ettirilmesi riskinin olduğunu söylüyor. geldiğinde. Ayrıca CISO’ları, bir ekibin ihtiyaç duyduğu siber güvenlik eğitiminin seviyesini değerlendirirken teknik becerilerin ötesine bakmaya teşvik ediyor.
“Uzmanların ayrıca, güvenliğin işletmedeki yerini anlamaları ve kuruluşun genel güvenlik duruşunu iyileştirmesine rehberlik etmesi için iş becerilerine ihtiyacı var” diyor. “Daha geniş iş dünyası ve her seviyedeki meslektaşlarla iletişim kurmak ve işletmeye tavsiye, rehberlik ve en iyi uygulamaları sunmak için kişilerarası becerilere sahip olmaları gerekiyor. Ve yeni tehditleri belirlemek ve araştırmak için analitik becerilere ihtiyaçları var.”
Wilson’a göre, bu tür “teknik olmayan” beceriler, tüm organizasyonun daha proaktif bir duruş sergilemesine izin verdiği için BT güvenlik ekiplerine siber saldırganların önünde kalmanın en iyi yolunu sunuyor. “Hem teknik hem de teknik olmayan beceriler için akredite sertifikalar almak, yalnızca güvenlik uzmanlarının risklerin önünde kalmasına yardımcı olmayacak. Ayrıca, örneğin mesleğin sonraki seviyelerinde hangi becerilere ihtiyaç duyduklarını belirleyerek ve bunları önceden kazanarak, kendi kariyerlerini planlamalarına ve güvence altına almalarına yardımcı olacaktır” diye ekliyor.
Düşük maliyetli eğitim
SecAlliance CEO’su ve Crest Birleşik Krallık Konseyi başkanı Rob Dartnall, BT güvenlik uzmanları için bir eğitim planına bakarken, CISO’ların sadece çalışanları için büyük, pahalı kurslara değil, platformlara, akademilere ve hatta ücretsiz aboneliklere bakmaları gerektiğine inanıyor. çevrimiçi öğreticiler ve web yayınları. Tecrübesine göre, eğitim her duruma uyan tek tip bir senaryo olmamalıdır. BT güvenlik liderlerinin, farklı insanların farklı şekillerde öğrendiğini ve herkesin çeşitlilikten yararlandığını hesaba katması gerekir.
Dartnall, siber güvenlik uzmanlarının daha kolay eğitim almak ve becerilerini geliştirmek için kullanabilecekleri ve onaylı kanıtlara sahip bazı harika kaynakların – çoğu ücretsiz – mevcut olduğuna dikkat çekiyor.
Rob Dartnall, SecAlliance
“Sektör olarak yapmamız gereken en önemli şeylerden biri, yeteneklerin sürekli gelişmesini sağlamak için zaman, mekan, ortam ve bütçe yaratmaktır. Dartnall, bazı endüstrilerin insanların daha kıdemli veya sertifikalı olması için sürekli gelişimi zorladığı yerlerde, siber güvenlik alanında bizlerin de bunu yapması gerektiğini çünkü siber tehdit ortamının sürekli geliştiğini söylüyor.
Kendi yaklaşımını anlatan Dartnall şunları ekliyor: “Şahsen, Immersive Labs ve Hack the Box gibi kaynakları seviyorum. Neden? Çünkü hem savunma hem de saldırı becerilerini en yeni tekniklere karşı test edebilen ve bireyin becerilerini gerçek hayattaki durumlarla hızla uyumlu hale getiren pratik laboratuvarlarla gerçek tehdit ortamını hızla yansıtabiliyorlar.”
Dartnall’ın deneyimine göre, bu platformların birçoğu aynı zamanda kariyer geliştirme ve sertifikasyon yollarıyla da uyumludur. “İş çoğunlukla bizim için yapılır” diyor. Ama aynı zamanda çeşitlilik katmak için sınıf temelli, öğretmen liderliğindeki yoğun eğitime her zaman yer olacağına inanıyor.
Skillsoft anketinde ankete katılan BT uzmanları tarafından alıntılanan en etkili iki öğrenme yöntemi, resmi, uzman liderliğindeki iş yerinde eğitim oturumları ve eğitmen liderliğindeki canlı çevrimiçi eğitim oturumlarıdır. Skillsoft, bu tür eğitimlere katılan BT uzmanlarının yaklaşık %70’inin onları çok ila son derece etkili bulduğunu tespit etti.
Skillsoft’a göre, çevrimiçi eğitmen liderliğindeki eğitimin etkinliği ile birleşen popülerlik, öğrenmede bir artışa yol açtı ve yanıt verenlerin %54’ü bu tür kurslara katıldı. Bu yöntem, insanların iş ve ev yaşamlarını eğitim gereksinimleriyle dengelemelerine yardımcı olur ve kendilerine uygun bir hızda etkili bir şekilde öğrenmelerini sağlar.
Son olarak, güvenlik eğitiminin hangi alanlarına odaklanılacağına bakıldığında, 135 BT güvenlik uzmanıyla yapılan yakın tarihli bir CIISec anketi, yarıdan fazlasının (%57) analitik düşünme ve problem çözme becerilerini meslekte en önemli olarak gördüğünü ortaya çıkardı – bu oran %24’tür. iletişim becerilerini en yüksek öncelik olarak değerlendiren. Yalnızca %18’i teknik becerileri diğer becerilerden daha önemli olarak değerlendirdi; bu da siber güvenlik eğitimi ve sertifikasyonunun teknik beceriler yerine analitik düşünme ve problem çözme gibi alanlara vurgu yapması gerektiğini gösteriyor.