Siber güvenlik beceri açığını kapatmaya yönelik geniş kapsamlı çabalara rağmen, bir uzman işe alımcıların teknik siber güvenlik rollerine odaklanmasının, teknik olmayan birçok çalışanın siber yönetişim, risk ve uyumluluk (GRC) alanında uzmanlaşma fırsatlarını kaçırmasına yol açtığı konusunda uyardı.
Jobs and Skills Australia’ya göre, yıllardır Avustralya’nın her eyaletinde ve bölgesinde siber GRC uzmanları eksikliği yaşanıyor, ancak bu tür roller için net eğitim yolları olmadan ve bunların gerçekte neyi gerektirdiği konusunda çok az netlik olmadan, rolün görünürlüğü düşük kalmaya devam ediyor ve hangi tür çalışanların bu roller için en uygun olduğuna dair çok az rehberlik var.
Gerçekten de, Avustralya İstatistik Bürosu’nun resmi ANZSCO meslekler listesi bile Cyber GRC’yi nasıl tanımlayacağını bilmiyor gibi görünüyor: Kılavuz, bir dizi BT ve siber güvenlik işiyle ilgili becerilerin, görevlerin ve iş rollerinin ayrıntılı listelerini sunarken, Cyber GRC mesleğinin yüzeysel açıklaması – “liderlik eden” biri olarak tanımlanıyor[s] “Siber güvenlik için yönetişim, risk ve uyumluluk” – iş arayanlara veya onları işe yerleştirecek işe alımcılara çok az açıklık sunuyor.
Bir zamanlar Unix sunucu yöneticisi olarak çalışmış ve kariyerinde PwC Avustralya’da siber güvenlik stratejisi danışmanlığı rolüne doğru ilerleyen Abed Hamdan, “GRC, gizemli ve erişilemez bir siber güvenlik uzmanlık alanı gibi görünüyor” dedi.
“Teknik bir kişi olsanız bile, GRC iyi bir uzmanlık alanıdır çünkü siber güvenlik kariyerinin getirdiği tüm avantajlardan yararlanabilirsiniz: yüksek maaşlar, uzaktan çalışma seçenekleri ve vardiyalı çalışma, mesai saatleri dışında çalışma veya hafta sonları gibi şeyler yapmak zorunda kalmadan yöneticilik veya danışmanlık kariyerine geçiş.”
GRC konusunda var olan az sayıdaki eğitim de hem pahalı hem de ayrıcalıklıdır: Bazı üniversiteler GRC sertifikaları sunsa da, bunlar genellikle önceki üniversite diplomalarını, ilgili alanda yıllarca deneyim sahibi olmayı ve beş haneli fiyat etiketlerini gerektirir; bu da siber güvenlikte kariyerlerini yeniden icat etmek isteyen kişiler için bu eğitimlere erişilemez hale getirir.
Hamdan, “GRC işleri her zaman yeni başlayanlar için erişilebilir olmuyor” diye açıklıyor ve “GRC becerileri öğreteceğini iddia eden sertifikalar, sertifika alabilmeniz için beş yıllık profesyonel deneyime sahip olmanızı istiyor.”
Bunun etkisini ilk elden gözlemlediğini söyleyen Hamdan, PwC’de GRC rollerinde çalışmak üzere mezunları işe alırken “GRC hakkında daha fazla bilgi edinmek ve kariyerlerinde ilerlemek isteyen bireylere eğitim kursları önermek konusunda her zaman zorluk çektiğini” söyledi.
“GRC’yi herkes için erişilebilir hale getirmeyi gerçekten istiyordum.”
Halk için GRC
Aynı düzeyde ayrıntılı teknik beceri gerektirmediği için, GRC rolleri birçok siber kariyerden daha erişilebilir olabilir; çünkü ihtiyaç duydukları temel yetenekler (iş danışmanlığı, teknik sorunların yöneticilere ve diğer teknik olmayan iş paydaşlarına aktarılması ve risk yönetimi programlarının etkinliğinin izlenmesi) erişilebilir bir şekilde sunulduğunda geniş bir insan yelpazesinde yankı bulabilir.
GRC’deki gizemi ortadan kaldırmayı ve ilgili tarafların GRC beceri açığını kapatmalarına yardımcı olmayı amaçlayan Hamdan, GRC kavramlarını sade bir dille açıklayan ve öğrencilere bu alandaki becerilerini geliştirme sürecinde rehberlik eden kapsamlı bir eğitim kursu olan GRC Mastery’yi geliştirmek için çalıştı.
Kısa ve öz videolar, uygulamalı dersler ve etkileşimli sınavlar aracılığıyla kurs, strateji yönetimi, iş süreçleri, politikalar ve prosedürler, performans yönetimi, risk yönetimi, kontrol faaliyetleri ve denetimler dahil olmak üzere GRC’nin yedi temel alanını ele alıyor.
Modüller, varlık yönetimi, kimlik ve erişim yönetimi, güvenlik eğitimi ve farkındalık programları, veri güvenliği ve veri kaybı önleme, üçüncü taraf risk yönetimi, penetrasyon testi ve daha fazlası gibi kavramları açıklıyor.
Ayrıca öğrencilerin becerilerini, siber GRC’nin en iyi uygulama örneği olarak NSW Hükümeti ve diğer yerlerde yaygın olarak benimsenen NIST Siber Güvenlik Çerçevesini kullanarak bir olgunluk değerlendirmesi yapmak için uyguladıkları bir bitirme projesi de var.
Latitude Financial ve MediSecure gibi büyük şirketlerin hacklenmesiyle on milyonlarca Avustralyalının kişisel bilgilerinin ifşa olduğu ve günlük hacklenmelerle daha iyi korunması gereken kuruluşlardan paranın uzaklaştırıldığı bir siber güvenlik ortamında, riski değerlendirme ve yönetmeye dikkat etmek hiç bu kadar önemli olmamıştı.
Özellikle yapay zeka durumu daha da karmaşık hale getirirken (örneğin Queensland yakın zamanda yapay zekayı ve otomatik karar alma risk incelemelerini zorunlu hale getirdi) ve Crowdstrike-Microsoft küresel kesintisi gibi olaylar zayıf risk yönetiminin potansiyel etkilerini gösterirken, sağlam GRC becerilerine sahip öğrenciler bu becerileri uygulamak için hiç bu kadar fazla fırsata sahip olmamıştı.
İşe alım uzmanları ve beceri açığını kapatmak için eleman arayan siber güvenlik sektörünün geri kalanı için önemli olan, teknoloji ağırlıklı siber güvenlik rolleri ile siber GRC uzmanlarını başarılı kılacak daha geniş beceri tabanı arasındaki farkı fark etmektir.
Hamdan, “Çoktan seçmeli bir sınavı geçmek için bir sürü kavramı ezberleyen kişilerle görüşme yaptığımda, senaryo tabanlı bir soru sorduğumda hemen başarısız oluyorlar,” dedi ve GRC Mastery kursunun “öğrencilerin yalnızca kavramları anlamalarını değil, aynı zamanda bunların gerçek dünyada nasıl uygulandığını tam olarak bilmelerini sağlayacağını” sözlerine ekledi.
“Başlarken keşke erişebilseydim” dedi. “Bana çok fazla zaman, para ve acı kazandırabilirdi – ve beni hedefime çok daha hızlı ulaştırabilirdi.”