Bir siber güvenlik ekibi oluştururken muhtemelen kendinize şu soruyu sormuşsunuzdur: “Sertifikalara mı yoksa gerçek dünya becerilerine mi odaklanmalıyım?”
Ve işe yarayacak giriş seviyesi adaylarla nadiren karşılaştığınızdan, doğal olarak her ikisine de sahip bir adayı düşünürsünüz. Ancak zamanınız, paranız ve sabrınız olmadığı sürece bu her zaman en iyi seçenek değildir. Bu faktörlerden birinin genellikle diğerine göre önceliği vardır.
Başlangıç noktanız mı yoksa olması güzel bir şey mi?
ISACA’nın Siber Güvenliğin Durumu 2024 Raporu, katılımcıların %73’ünün adayların kalifiye olması için önceki siber güvenlik deneyiminin önemli olduğuna karar verdiğini ortaya koydu.
Aynı sonuca varmadan önce, öncelikle pozisyonun deneyim gerektirip gerektirmediğine veya gerekli becerilerin öğretilip öğretilemeyeceğine karar verin. Pek çok şirket, giriş seviyesi veya alt düzey adayların gerçekçi olmayan miktarda deneyime sahip olmalarını talep ediyor ve bu da yalnızca kendilerine sunulan yetenek havuzunu azaltmaya hizmet ediyor.
Bunu anladıktan sonra, o adayın işi yapması için sertifikasyonun zorunlu olup olmadığını sorgulayın. Bunun nedeni, devlet müteahhitlikleri gibi sıkı düzenlemeye tabi sektörlerde sertifikaların pazarlığa açık olmamasıdır.
Örneğin, hükümet sözleşmeleri sıklıkla çalışanların DoD 8570 uyumlu sertifikalar almasını ve sürdürmesini gerektirir. Bu durumlarda, sertifikalar beceriden ziyade sözleşme gerekliliklerinin karşılanmasıyla ilgilidir.
Ancak bu sizin için geçerli değilse şu ikincil hususları göz önünde bulundurun:
Hangisi daha iyi: teori mi yoksa pratik bilgi mi?
Kanıtlanmış becerilere sahip birini işe aldığınızda, o kişi anında değer katmaya başlayabilir. Ancak bu, akademik bilginin masaya getirdiği değeri ortadan kaldırmaz.
Sürekli güncellenen sertifikalar, sahibinin bilgilerinin güncel kalmasını sağlar. Daha deneyimli adayların aşina olmayabileceği yeni güvenlik kavramları, azaltma stratejileri ve gelişen teknolojiler hakkında farkındalık sağlarlar.
Eğitim konusunda endişelenmem gerekiyor mu?
Vasıfsız, sertifikalı adayların rollerine aşina olmaları gerekir, bu da sizi eğitime kaynak harcamaya zorlar.
Eğitim, kurumsal eğitim kamplarını veya stajyere uyum sağlamak için normal görevlerinden zaman ayırması gereken deneyimli çalışanlarla birlikte çalışmayı içerir. Bu, adayı hızlandırmak için birkaç haftadan aylara kadar yatırım anlamına gelebilir.
Örneğin, orta ila üst düzey bir profesyonelin yarı zamanlı olarak bir siber güvenlik analistini eğitmesinin yaklaşık 240 saat sürdüğünü varsayalım. Zippia’ya göre ABD’de bir siber güvenlik analistinin ortalama maaşı yaklaşık 42,50 dolar/saat. Bu, şirketinizin o profesyonelin zamanının 10.200 ABD Dolarını (240 saat x 42,50 ABD Doları) eğitime ayırdığı anlamına gelir.
Öte yandan, vasıflı çalışanların yetişmeleri için çok az eğitime ihtiyaçları var.
Peki işe alım çabaları ne durumda?
Sertifikalar işe alım sürecini kolaylaştırmaya yardımcı olur. Zamanınız kısıtlıysa ve birden fazla rolü doldurmaya çalışıyorsanız, sertifikalar gerekli temel bilgiye sahip adayları bulmanın kolay bir yoludur.
2024 CompTIA İşgücü ve Öğrenme Eğilimleri Raporu, İK’ların yaklaşık %50’sinin, adayların bir rol için gerekli becerilere sahip olmasını sağlama aracı olarak sertifikalara değer verdiğini belirtti.
Sertifikalar, adayın temel güvenlik kavramlarını ne kadar anladığı konusunda size fikir veren bir endüstri “onay damgası” sağlar. Bir bakıma, sertifika veren kuruluşun sizin için ağır yükü kaldırmasına izin veriyorsunuz.
Sertifika gerektiren sözleşmeler, yüksek vasıflı, sertifikasız adayların başvuru yapmasını engeller. Bu, yetenek havuzunun daha da daralmasına, işe alım görevlilerinin işini zorlaştırmasına ve muhtemelen işe alım süresinin uzamasına neden olur.
Risk toleransım nedir?
Önceki tüm faktörleri göz önünde bulundurduktan sonra karar vermelisiniz: “Şimdi daha az ödeyip başvuru sahibini eğitmeli miyim, yoksa şimdi daha fazla ödeyip daha sonra daha az endişelenmeli miyim?”
Hangisi daha önemli; acil risk mi yoksa peşin maliyet mi?
Önceliğiniz riskin azaltılması ise, yetenekli adaylar sorunları daha hızlı çözecek uygulamalı deneyime sahip olacaktır; ancak daha yüksek bir başlangıç maliyetiyle gelirler.
Ön maliyet daha önemliyse, yalnızca sertifikalı adayları işe almak daha iyi bir seçimdir. Ancak bu, toplam istihdam maliyetinizin daha ucuz olacağı anlamına gelmez; daha önce tartışıldığı gibi, eğitimle ilgili maliyetleri ve üretkenlik kaybını hesaba katmanız gerekir.
Çözüm
Sertifikalı adayların sağlam bir teorik bilgi temeli vardır. Bu bilgi standartlaştırıldığı ve kolayca doğrulanabildiği için işe alım ekiplerine gönül rahatlığı sağlar. Sertifikalar aynı zamanda mevzuata uygunluk veya mevcut en iyi uygulamaların anlaşılması ihtiyacını da karşılar.
Öte yandan yetenekli adaylar, pratik sonuçlara odaklanarak gerçek dünyadaki sorunları çözebilirler. Çok az eğitim vererek veya hiç eğitim vermeden anında etki sağlarlar ve zaman izin verdiği ölçüde deneyimsiz çalışanlara mentorluk yapabilir veya onları eğitebilirler. Bir yan fayda olarak, sertifikaların aksine, süresi asla dolmayan beceriler biriktirmişlerdir.
Sonuçta sertifikalar sağlam bir temel sağlar ancak asıl değer genellikle becerilerde yatmaktadır. Ve gerçek şu ki, bu, sertifikaları becerilere tercih etmekle ilgili değil ya da tam tersi. Bu, her ikisinin de güçlü yönlerini tanımak ve yaklaşımınızı kuruluşunuzun rolüne ve ihtiyaçlarına göre uyarlamakla ilgilidir. Bazen sertifikalara ihtiyacınız olabilir; diğer zamanlarda becerilere ihtiyacınız olacak ve eğer şanslıysanız her ikisinin de iyi bir karışımını elde edeceksiniz!
Rehberinizi almak için formu doldurun: