YORUM
Talihsiz gerçek şu ki, eğer siber güvenlik alanında giriş seviyesi bir pozisyon arıyorsanız, pek fazla giriş seviyesi yok. Geniş kapsamlı güvenlik sertifikası Sektöre hakim olan kurumlar ve eğitim kuruluşları, siber güvenlik liderlerini, hatta belki de çoğunu, potansiyel iş adaylarının değerlendirilmesi gereken tek ölçütün “sertifika sayısı” veya “yıllık resmi eğitim” olduğuna ikna etti. Üstelik hem lisans hem de lisansüstü düzeyde ortaya çıkması siber güvenlik dereceleri Nitelikli kişiler ile onların istedikleri işler arasına başka bir keyfi engel daha koydu. Doğru diplomaya sahip değil misiniz? Pek çok kuruluş size başvurma zahmetine girmemenizi söyleyecektir.
Ne yazık ki adayların önüne koyduğumuz anlamsız zorunluluklar ve engeller zamanla daha da ağırlaşacak. Giriş seviyesi bir güvenlik operasyon merkezi (SOC) pozisyonu ister misiniz? Lütfen siber güvenlik alanında lisans derecesi, Güvenlik+ (CISSP tercih edilir) eğitimi ve 30.000 $ değerinde SANS kursları ile gelin. Bir süre üçüncü vardiyada çalışmaya hazır olun.
Evet, bu kimlik bilgilerinin değeri vardır, ancak bunlara yapay olarak zorunlu muamelesi yapılması, yeni güvenlik profesyonellerinin giriş engelini yükseltir. İşe alma yöneticileri, bir yerlerde “mükemmel” bir adayın bulunması gerektiğine inandıkları halde, yeterli vasıflara sahip olmadığı düşünülen adayları işe almakta genellikle tereddüt ederler. Ancak gerçek şu ki, mükemmel bir aday muhtemelen üçüncü vardiya SOC pozisyonuyla ilgilenmez; bu da işe alım yöneticilerinin yeni çalışanları nerede aradıklarını ve hangi niteliklerin en önemli olduğunu yeniden değerlendirmeleri gerektiği anlamına gelir.
Aday Havuzunu Genişleterek Eksikliğin Giderilmesi
Bu tuzağa düşen sadece kuruluşların kendisi değil; işe alım görevlileri de düşüyor. İşe alım uzmanları adayları toplamakta ne kadar etkili olsalar da genellikle siber güvenlik uzmanı değillerdir; bu da her zaman aralarındaki farkı ayırt edemedikleri anlamına gelir. siber güvenlik adayları değer sunmaya hazır olanlar ve kendilerini pazarlama konusunda iyi olanlar. Anlaşılır bir şekilde, adayları daraltmalarına yardımcı olacak kısa yollar arıyorlar: Dereceler, sertifikalar, eğitim ve diğer ölçülebilir faktörler açıkça çekici. Bunlar fiili değer göstergeleri haline gelir ve onların yokluğu, adayın vasıfsız olduğunun veya en azından teknik bir role uygun olmadığının bir göstergesi olarak değerlendirilir.
Sonuç, kendi kendini mağlup etmektir. Aday havuzlarını az sayıda keyfi niteliklere göre daraltarak kuruluşlar ve işe alım görevlileri, kimlik bilgileri edinme ve sınavlara girme konusunda iyi olan adayları kendileri seçiyor; bunların hiçbiri siber güvenlik alanında uzun vadeli başarı ile ilişkili değil. Bu küçük aday havuzuna öncelik vermek, aynı zamanda analitik potansiyele sahip, teknik vaatlerde bulunan ve profesyonel bağlılığa sahip, doğru dereceyi almamış veya doğru eğitim kursuna katılmamış çok sayıda adayı gözden kaçırmak anlamına da gelir. Kuruluşlar bu adaylardan faydalanarak şunları bulacaklardır: “işgücü sıkıntısı“Bu kadar ilgi gören şey çözülmesi o kadar da zor bir sorun değil sonuçta.
Sorunun Çözülmesi Yeni Bir Yaklaşımın Benimsenmesini Gerektiriyor
Elbette, potansiyel olarak değerli adayları gözden kaçırdıklarında acı çekenler işe alım görevlileri ve işe alım yöneticileri değil. Evet, kritik pozisyonları doldurmakta zorlanan şirketler krizin etkisini hissetmeye devam edecek. sözde işgücü sıkıntısıancak belki daha da kötüsü, keyfi nitelikler listesini karşılayamayan sayısız bireyin refah yolunu kesmesidir. İşinin ehli olan herhangi bir güvenlik örgütünün güçlü bir eğitim programı olmalı ve giriş seviyesi pozisyonlar da buna göre değerlendirilmelidir. Özgeçmişleri ne derse desin, doğru özelliklere ve becerilere sahip adaylar niteliklidir. Bu becerilerden en iyi şekilde yararlanmalarına yardımcı olmak kuruluşun sorumluluğundadır.
İşte bu yüzden Beyaz Saray’ın siber işgücü atölyeleri – her ne kadar iyi niyetli olsalar da – yanlış yere yerleştirilmişlerdir. Siber güvenlik kariyerine yönelik gerçek başarı göstergelerine ilişkin sınırlı anlayış ve iş gücü eksikliğinin temel nedeninin üstesinden gelme konusundaki yetersizlik (veya isteksizlik) ile desteklenen bu atölye çalışmaları, yalnızca sorunu daha da kötüleştirmeye hizmet etti. Çalıştaylar, okulları ve sertifikasyon kuruluşlarını, eğitim ve öğretim kriterlerine gereğinden fazla güvenmenin mevcut sorunun temel bir parçası olduğunu düşünmeden, eğitim ve öğretime erişimi iyileştirmenin yolları üzerinde beyin fırtınası yapmaya davet ediyor. Eğitim ve öğretim programları harika, ancak ölçekleri zayıf ve bunlara altın standart muamelesi yapmaya devam etmek yalnızca sektörümüzdeki fırsatların bekçiliğine hizmet ediyor. Beyaz Saray’dan son açıklama BT pozisyonları için adayların derecelerden ziyade becerilere göre değerlendirilmesi doğru yönde atılmış bir adımdır ancak ortaya çıkan yetenekleri teşvik edecek kadar ileri gitmez.
Peki kuruluşlar SOC’lerini dolduracak ve güvenlik açığı yönetimi programlarını yürütecek nitelikli kişileri nerede bulabilir? Cevap basit: Bunlara hayatın her kesiminden ve hemen hemen her çevreden rastlamak mümkün. Liseden mezun olmuş, yüksek öğrenimin yararlarına ikna olmamış ve işgücüne katılmaya hazır ve istekli olabilirler. Yakından ilişkili BT rollerinden biyoteknoloji, perakende, fiziksel güvenlik ve diğer endüstrilerdeki biraz daha uzaktakilere kadar çeşitli alanlarda bulunabilirler. Hemen hemen her coğrafi bölgede ve akla gelebilecek her demografik kombinasyonda bulunabilirler. Yöneticilerin işe alınması, ortaya çıkan yetenekleri geliştirmek için ekiplerini yeterli alan ve zamana sahip olacak şekilde organize etme istekliliğini gerektirir. Sayısız başka sektör bunu zaten yapıyor ve (birçok güvenlik profesyonelinin düşünmekten hoşlandığı şeye rağmen) siber güvenlik istisnai bir durum değil. Bu sektörde, yetenek edinmeye aynı şekilde yaklaşmayı engelleyen benzersiz hiçbir şey yok.
Siber Güvenlik İşgücü Eksikliği Bir Yalan
Bunların hiçbiri bir güvenlik analisti olarak başarılı olmanın kolay olduğu anlamına gelmiyor. Değil. Güçlü bir analitik zihin, keşfetme ve büyüme isteği ve yeni ve gelişen teknoloji konusunda belirli bir düzeyde rahatlık gerektirir. Belki de en önemlisi, potansiyel olarak kendini kanıtlamamış bir adaya yatırım yapmaya istekli bir işe alım yöneticisi gerektirir. Ancak başarılı olmak için gereken özelliklere sahip bireylerin oluşturduğu havuz, birçok kuruluşun ve işe alım uzmanının sıklıkla inandığından çok daha büyüktür; yalnızca doğru yerlere bakmaları gerekir. Endüstri, girişe yönelik en yaygın engellerin çoğunun ne kadar yapay olduğunu ne kadar çabuk fark ederse, güvenlik kuruluşları da sözde “işgücü sıkıntısının” çok uzun zamandır söylenen bir yalan olduğunu o kadar erken fark edebilir.