Siber güvenlik liderleri birkaç yıldır önemli siber rollerde yetenek eksikliğiyle boğuşuyor. Artan finansal gereksinimler ve genişleyen sorumluluklar karşısında bu liderler, daha az kaynakla daha fazlasını başarma ve birden fazla güvenlik işlevini kapsayan roller oluşturma yönünde artan baskı altındadır.
Güvenlik rolleri genellikle çok işlevlidir
Yeni bir rapor, bir rol içindeki tipik işlevsel kombinasyonların mimari ve mühendislik (A&E), uygulama güvenliği (AppSec) ve ürün güvenliğini içerdiğini göstermektedir. IANS ve Artico Search, ABD ve Kanada'daki çeşitli sektörlerde ve şirket türlerinde 560'tan fazla siber güvenlik personelinin yanıtlarını topladı. Ayrıca, CISO'ların çalışanları işe alma ve elde tutma konusunda karşılaştığı zorlukları daha iyi anlamak için 100 CISO ile resmi olmayan görüşmeler gerçekleştirildi.
Ankete katılanların %42'sinin birden fazla siber güvenlik alanını kapsayan sorumlulukları var. AppSec personelinin %74'ü aynı zamanda ürün güvenliğine katkıda bulunuyor ve %67'si kimlik ve erişim yönetimi (IAM) ile ilgileniyor.
Ürün güvenliği kapsamında personelin %63'ü de IAM'i destekliyor. Ancak yönetişim, risk ve uyumluluk (GRC) diğer rollerle daha hafif bağlar sergiliyor. GRC personelinin yaklaşık %37'si aynı zamanda A&E sorumluluklarını da üstleniyor ve yalnızca %25'i AppSec çalışmalarına katılıyor.
Çalışma aynı zamanda tipik kurumsal grupların ve rol kategorizasyonlarının çoğu zaman bilgi güvenliği yetenek pazarıyla uyumlu olmadığını da ortaya çıkardı. “Yıllardır birçok siber güvenlik uzmanının kuruluşlarında taktıkları şapkaların sayısını tartıştığını duyduk. Bu son rapor, işlevlere göre günlük sorumlulukların sayısını açıkça göstermektedir. Her işlev yalnızca kendi temel görevlerini desteklemekle kalmaz, çoğu rol en az iki ek işlevi de destekler. Artico Search'ün siber güvenlik pratiği ortağı ve IANS Öğretim Üyesi Steve Martano, “Siber güvenliğin yetenek için daha iyi rekabet edebilmek ve zayiatı en aza indirebilmek için özel tazminat paketleri gerektirdiğinden, bu durum birçok şirketin tipik kurumsal maaş bantlarıyla boğuşmasına neden oluyor” dedi.
Engin deneyim, uzmanlık ve ileri derecelerin tümü daha yüksek ücrete yol açar
En az 12 yıllık ilgili deneyime sahip deneyimli personel, başlangıç değerinin %22 üzerinde kazanç elde ediyor. AppSec, ürün güvenliği veya IAM uzmanlığı veya yüksek lisans veya doktora derecesi, nakit tazminat için %21 oranında prim gerektirir.
Bu arada, üç yıldan daha az ilgili deneyime sahip personel, temel değerin %40'a kadar altında paketler kazanıyor. Benzer şekilde, önlisans derecesinin ötesinde üniversite diplomasına sahip olmayan siber güvenlik profesyonelleri de ortalamanın altında yeterlilik seviyeleri alma eğilimindedir.
Cinsiyet çeşitliliği alanlar arasında değişiklik gösterirken, cinsiyetler arası ücret farkı hâlâ devam ediyor
%20'si kendini kadın, ikili veya diğer olarak tanımlıyor. GRC %40 ile en yüksek cinsiyet çeşitliliğine sahiptir, bunu %25 ile IAM takip ederken, A&E personeli %10 ile en düşük erkek olmayan temsil oranına sahiptir.
Araştırma verileri cinsiyetler arası ücret farkının yaklaşık %7 olduğunu gösteriyor. Cinsiyet farkı, araştırmacıların erkekler ve kadınlar arasında çift haneli ücret farkı gördüğü 12 yıldan fazla deneyime sahip personel arasında daha belirgindir. Üç yıla kadar bilgi güvenliği deneyimi olan katılımcılar arasında cinsiyet çeşitliliği olan profesyoneller lehine %3'lük bir fark var.
Personelin tanınması ve iş ayrıcalıkları, daha yüksek elde tutma oranlarıyla ilişkilidir
Dört kriter arasında değer verildiğini ve desteklendiğini hissetmek ve kariyer ilerleme fırsatına sahip olmak, iş değişikliği hususlarıyla en güçlü ilişkiyi göstermektedir.