Bu Help Net Security röportajında, ISC2’de CISO olan Jon France, siber güvenlik iş gücü büyümesini ele alıyor. Bütçe kısıtlamaları ve sınırlı giriş seviyesi fırsatları gibi kuruluşların zorluklarını özetliyor. France ayrıca, sektördeki büyüyen beceri açığını kapatmak için mevcut çalışanların becerilerinin artırılması ve kapsayıcı işe alım uygulamalarının benimsenmesinin acil ihtiyacına işaret ediyor.
ISC2 raporu, siber güvenlik işgücünün büyümesinin daha istikrarlı olabileceğini gösteriyor. Bu yavaşlamanın ardındaki temel nedenler nelerdir ve kuruluşlar üzerindeki etkisi ne kadar önemlidir?
2024 ISC2 Siber Güvenlik İşgücü Çalışması’na ilk bakışta, büyük ölçüde ekonomik belirsizlikten kaynaklanan siber güvenlik işgücünün büyümesinde bir yavaşlama olduğu görülüyor. Bu, yeni yetenekler için giriş noktalarının yetersizliğine ve mevcut beceri açıklarını gidermek için sınırlı fırsatlara yol açtı. Sonuç olarak, küresel aktif siber işgücünün geçen yıl sadece %0,1 büyüdüğünü ve yaklaşık 5,5 milyon profesyonelde nispeten sabit kaldığını tahmin ediyoruz. Bu, 2023’te bildirilen %8,7’lik büyümeyle keskin bir tezat oluşturuyor.
Mevcut siber güvenlik rolleri ekonomik maliyet kesintileri sırasında diğer sektörlere kıyasla daha büyük ölçüde korunmuş olsa da, sınırlı iş gücü büyümesi yeni iş fırsatlarının yaratılmasını etkili bir şekilde durdurdu. Bölgesel olarak, bu eğilim değişir, ancak genel resim açıktır: siber güvenlik profesyonellerine olan talep mevcut arzı çok aşmaktadır.
Bu yavaş iş gücü genişlemesi kuruluşlar üzerinde önemli bir etkiye sahip. Araştırmamız, %90’ının siber güvenlik becerileri eksikliğiyle karşı karşıya olduğunu ve %67’sinin siber güvenlik profesyonelleri eksikliğinden bahsettiğini ortaya koyuyor. Bu boşluk, 2024’te yeni bir zirveye ulaştı ve küresel olarak tahmini 4,8 milyon ek profesyonele ihtiyaç duyuluyor; bu, bir önceki yıla kıyasla %19’luk bir artış anlamına geliyor.
Yetenek eksikliği, siber güvenlik ekipleri üzerinde önemli bir baskı yaratıyor ve kuruluşların maliyetli siber olaylara karşı oldukça savunmasız olduğu bir zamanda yetersiz kaynaklara sahip olmalarına neden oluyor. Güvenliği sağlamak için daha az profesyonelin bulunmasıyla birlikte, kesinti, mali kayıp ve itibar kaybı riskleri arttı. Bu yıl, profesyonellerin %74’ü mevcut tehdit ortamının son beş yılda olduğundan daha zorlu olduğunu bildiriyor. Meslek üzerindeki baskı yoğunlaştıkça, kuruluşların yeni yetenekler için daha fazla giriş seviyesi fırsatı yaratmaya ve gelişen güvenlik zorluklarını ele almak için mevcut iş güçlerini geliştirmeye yatırım yapmaya öncelik vermesi önemlidir.
Şirketlerin siber güvenlik yetenekleri işe alırken karşılaştıkları temel zorluklar nelerdir? Tazminat beklentileri, deneyimli aday eksikliği veya diğer sektörlerden gelen rekabet gibi belirli engeller var mı?
Şirketlerin siber güvenlik yetenekleri işe alırken karşılaştıkları temel zorluklardan biri bütçe kısıtlamalarıdır. İlk kez, “bütçe eksikliği” personel eksikliğinin en önemli nedeni olarak “nitelikli yetenek eksikliği”ni geçti. Ekonomik baskılar, yetenekli profesyonellere olan talebin artmasına rağmen kuruluşların siber güvenlik ekiplerine yatırım yapma yeteneğini sınırlandırıyor. Sonuç olarak, kuruluşların %38’i işe alım dondurmaları yaşadı (+2023’ten itibaren %6). Bu, ekonomik faktörlerin sektör genelinde iş gücü gelişimini etkilediği daha geniş bir eğilimi yansıtıyor; işten çıkarmalar, bütçe kesintileri ve durdurulan terfiler mevcut siber güvenlik profesyonellerini etkiliyor.
Avrupa’da beceri eksikliğinin üç ana nedeni belirlendi: doğru becerilere sahip aday bulma zorluğu (%33), sınırlı bütçeler (%29) ve BT departmanlarının onu güvence altına alacak uzmanlığa sahip olmadan yeni teknolojiyi tanıtması (%29). Bu, yetenekli aday eksikliğini gösterirken, işe alım yöneticilerinin aradığı şeyle profesyonellerin talep olduğuna inandığı şey arasında da bir kopukluk var. Örneğin, profesyoneller yapay zeka ve bulut bilişim becerilerini yüksek sıralara koyarken, işe alım yöneticileri bunlara çok daha düşük öncelik veriyor.
Bu uyumsuzluğun üstesinden gelmek için, kuruluşların adayların ihtiyaç duyduğu becerileri iş başında geliştirilebilecek becerilerle karşılaştırarak net ve gerçekçi iş tanımları oluşturması gerekir. İşe alım yöneticileri ile siber güvenlik profesyonelleri arasındaki daha iyi iletişim, beklentileri uyumlu hale getirmek ve özellikle aşırı deneyim yılı veya belirli sektör sertifikaları gereksinimleri konusunda giriş engellerini azaltmak için hayati önem taşır.
Siber güvenlik beceri açığını kapatmada mevcut iş gücünün becerilerinin artırılması ve yeniden eğitilmesi ne kadar önemlidir? Bu alanda hangi girişimler veya programlar etkili olduğunu kanıtlıyor?
Mevcut iş gücünün becerilerinin artırılması ve yeniden eğitilmesi, beceri açığını kapatmak ve kuruluşların gelişen bir tehdit ortamında güvende kalmasını sağlamak için olmazsa olmazdır. Kuruluşlar kritik siber güvenlik rollerini dolduramadığında, iş yükleri artar ve bu da onları olaylara ve finansal risklere karşı savunmasız bırakır. Mevcut iş gücünde yetenek geliştirmek yalnızca bu boşlukları doldurmaya yardımcı olmakla kalmaz, aynı zamanda ekipler üzerindeki ek yük ve tükenmişlik gibi doldurulmamış rollerin etkisini de azaltır.
Küresel siber güvenlik uzmanlarının yarısından fazlası (%58), beceri eksikliklerinin kuruluşlarını önemli bir riske attığına inanıyor ve %64’ü beceri eksikliklerinin personel eksikliğinden daha büyük bir zorluk oluşturduğunu belirtiyor. Belirlenen en kritik eksiklikler arasında yapay zeka (%34), bulut güvenliği (%30), sıfır güven (%27), dijital adli bilimler (%25) ve uygulama güvenliği (%24) becerileri yer alıyor. Kuruluşlar, daha geniş beceri açığını ele almanın anahtarı olan bu talep gören beceri setlerine uyması için mevcut çalışanların becerilerini artırarak ve yeniden eğiterek bu alanlara odaklanmalıdır.
Sertifikalar ve eğitim programları aracılığıyla sürekli profesyonel gelişim, siber güvenlik uygulayıcılarının rekabetçi ve alakalı kalması için hayati önem taşır. Kuruluşlar, beceri geliştirme girişimlerine öncelik vererek, acil güvenlik endişelerini ele alabilir ve giderek karmaşıklaşan dijital ortamda ekiplerini geleceğe hazırlayabilir.
Kuruluşlar siber güvenlikte daha çeşitli bir iş gücünü nasıl etkili bir şekilde çekebilir ve elinde tutabilir? Gördüğünüz bazı başarılı örnekler nelerdir?
Çeşitli bir siber güvenlik iş gücünü çekmek ve elde tutmak için, kuruluşların kapsayıcı işe alım uygulamalarına odaklanmaları ve beceri geliştirmeye yatırım yapmaları gerekir. Önemli bir strateji, önceden nitelikli adaylar gerektirmekten, özellikle giriş seviyesi pozisyonlar için iş başında eğitim sunmaya geçmektir. Bu yaklaşım, yalnızca bütçe kısıtlamaları olan küçük ve orta ölçekli işletmelere yardımcı olmakla kalmaz, aynı zamanda şirketlerin eğitimi kendi benzersiz ihtiyaçlarına göre uyarlamasını da sağlar. ISC2’nin Siber Güvenlikte Bir Milyon Sertifikalı gibi programlar, giriş seviyesi profesyoneller için ücretsiz eğitim ve sertifika sağlayarak yetenek havuzunu genişletmeyi ve farklı geçmişlere sahip kişilerin alana girmesini sağlamayı amaçlamaktadır.
Başarılı organizasyonlar ayrıca işe alım yöneticilerinin beklentileri ile adayların gerekli olduğuna inandıkları arasındaki boşluğu da ele alır. Net, gerçekçi iş tanımları, kapsamlı önceki teknik deneyim gerektirmek yerine rolde geliştirilebilecek becerilere odaklanarak daha geniş bir aday yelpazesini çekmeye yardımcı olur. Bu, işletmelerin mevcut deneyim ve yeterliliklerden ziyade potansiyeli vurgulayarak, yeterince temsil edilmeyen gruplar da dahil olmak üzere daha geniş bir yetenek havuzundan faydalanmasını kolaylaştırır.
Ek olarak, kapsayıcı bir çalışma kültürü geliştirmek kritik öneme sahiptir. Çeşitli yetenekleri işe alma ve elde tutmada başarılı olan şirketler, çeşitlilik, eşitlik ve kapsayıcılık (DEI) girişimlerine yatırım yapar, ölçülebilir çeşitlilik hedefleri belirler ve işe alım çabalarını geleneksel iş portallarının ötesine taşır. Mentorluk programları ve DEI’ye yönelik liderlik taahhüdü, yeterince temsil edilmeyen grupların değerli hissetmesini sağlayarak siber güvenlikte elde tutmayı ve uzun vadeli kariyer gelişimini teşvik eder.
Mevcut eğilimleri ve girişimleri göz önünde bulundurarak, siber güvenlik beceri açığının önümüzdeki 5-10 yıl içinde nereye gideceğini düşünüyorsunuz?
İki yıldır işe alım ve profesyonel gelişime yapılan yatırımların azalmasının ardından, kuruluşlar artık önemli beceri eksiklikleri ve yetersiz sayıda siber güvenlik ekibiyle boğuşuyor. Bu zorluk, riski artırıyor ve mevcut personel üzerinde ek bir baskı yaratıyor.
İleriye baktığımda, ihtiyatlı bir şekilde iyimserim. Önümüzdeki 5-10 yıl içinde, daha fazla kuruluş işgücü gelişimine sürekli yatırım yapmanın kritik ihtiyacını fark ettikçe beceri açığının kapanmaya başlamasını bekliyorum. Siber güvenlik artık “olması güzel” bir şey değil, bir iş zorunluluğu. Küresel istikrarsızlık ve yapay zeka gibi ortaya çıkan teknolojiler tarafından yönlendirilen tehditlerin artan karmaşıklığıyla, kuruluşların siber güvenliği stratejilerinin temel bir parçası olarak önceliklendirmeleri gerekecektir.
Kuruluşlar ayrıca giriş seviyesi fırsatları genişletmeye, mevcut çalışanların becerilerini geliştirmeye ve genişleyen beceri açığını kapatmak için daha çeşitli yetenek havuzları oluşturmaya odaklanmalıdır. Daha fazla işletme siber güvenlik yeteneği geliştirmeye kendini adadıkça ve sektörler arası iş birliği siber güvenlik kariyerlerinin tanıtımını yönlendirdikçe, daha çeşitli bir yetenek havuzunun ortaya çıkması muhtemeldir. Yeni nesil siber profesyonellere yatırım yapmak, iş gücünün değişen zorluklarla başa çıkmasını ve kritik varlıklarımızı güvende tutmasını sağlayacaktır.
Ücretsiz e-kitabınızı almak için formu doldurun: