ISC2 Siber Güvenlik İşgücü Çalışması 2023'e göre Çeşitlilik, Eşitlik ve Katılım (DEI) girişimleri artık siber güvenlik alanında iyice yerleşmiş durumda; işletmelerin yalnızca %8'i herhangi bir girişime sahip olmadığını söylüyor. Ancak bunlar şirket içinde iyi kurulmuş olsa da işletmeler hala başarısız oluyor işe alım sırasında taahhütlerini iletmek, farklı veya azınlık kökenden gelen başvuru sahiplerine karşı olasılıkları arttırmak. Rapor, ekonomik belirsizlik zamanlarında ve Birleşik Krallık'ta her yıl yüzde 30 artan büyük beceri açığı göz önüne alındığında, kuruluşların mevcut yetenek havuzunun büyük bir kısmını dışarıda bırakmayı göze alamayacakları konusunda uyarıyor. Peki işe alım çabalarının odak noktası neden hala bu kadar dar?
DEI çabaları şüphesiz dar görüşlüdür; aynı anket, iş ilanlarının yalnızca %26'sının iş tanımında DEI programlarına veya hedeflerine atıfta bulunduğunu ve yalnızca %40'ının önyargıyı ortadan kaldırmak için becerilere veya potansiyele dayalı olarak değerlendirme yapan kör testler yaptığını ortaya koymaktadır. Bu adımların her ikisi de ince ama önemli bir fark yaratabilir. Örneğin işe alımlara cinsiyete göre baktığımızda, iş ilanlarında DEI'ye atıfta bulunulanların işgücünün %26,6'sı kadınlardan oluşurken, bu oranı belirtmeyenlerin oranı %22,3'tü. Bu yaklaşımı benimseyenlerin işgücünün %25,5'inin, %22,2'sinin ise kadınlardan oluştuğu beceriye dayalı işe alım için de benzer bir hikaye yaşandı.
Giriş seviyesinde açıklık yok
DEI'ye bağlılık göstermek ve önyargının ortadan kaldırılması, hâlâ ağırlıklı olarak beyaz erkeklerden oluşan (ankete göre %54) ve eşik denetiminin bir sorun olduğu (yani kimlerin girmesine veya ilerlemesine izin verildiğinin kontrol edilmesi) bir sektörde çok önemlidir. meslek). Aslında bazıları, hiçbir beceri açığının olmadığını, bol miktarda yeteneğin mevcut olduğunu, ancak basamakta yer edinmek için çok az fırsatın bulunduğunu ünlü bir şekilde ifade etmişlerdir. Ve bu, ISACA'nın Siber Güvenliğin Durumu 2023 raporuyla doğrulanmış gibi görünen bir iddiadır; bu raporda deneyimli pozisyonların sayısının giriş seviyesi pozisyonlardan ikiye bir kat daha fazla olduğu ortaya çıkmıştır. Rapor, “hiçbir sayıda yeniden beceri kazandırma programının, bu tür dar işe alım uygulamalarının yol açtığı fırsat eksikliğinin üstesinden gelmeye yardımcı olmayacağı” ve bunun, işe yeni girenlerin ortalama olarak geçmişe göre çok daha yaşlı olması nedeniyle açık bir şekilde alımları çarpıttığı konusunda uyarıyor (%48) ISC2'ye göre yeni girenlerin oranı 39 yaş ve üzerindedir.
Cesaret verici bir şekilde, bir zamanlar siber güvenlik diplomalarının her şeyin üstünde tutulduğu mesleğe girmeyle ilgili elitizm azalıyor. ISC2'ye göre siber güvenlik profesyonellerinin yalnızca %31'i mesleğe endüstri diplomasıyla girdi ve işe alım yapanların yalnızca %30'u giriş seviyesi pozisyonlar için bir diplomanın arzu edildiğini söyledi. Sektör grupları, özellikle giriş seviyesi pozisyonlar için diploma zorunluluğunun kaldırılmasını uzun zamandır savunduğu için bu iyi bir haber; ancak bunun nedeni kısmen diploma müfredatlarının endüstri ihtiyaçlarıyla uyum sağlayamaması. Örneğin, ENISA tarafından onaylanacak bir lisans derecesi için minimum standart, modüllerin yalnızca %25'inin siber güvenlik konularında olması gerektiğidir.
Yetersiz destek
ISACA tarafından sorgulananların %72'sine göre, bir adayın uygun niteliklere sahip olup olmadığına karar verirken artık birincil faktör uygulamalı siber güvenlik deneyimidir. Ancak bu genellikle bu adayların 1-3 yıl sürebilecek gerekli deneyimi elde etmek için kendi zamanlarını ve kaynaklarını harcamalarını gerektirir. Üstelik ücretlerin geri ödenmesinde de bir düşüş oldu; bu, bir kez görevdeyken sürekli öğrenmeye yönelik desteğin geri çekildiği ve kuruluşların yalnızca %55'inin çalışanları adına sertifika yenileme ücretlerini aldığı anlamına geliyor.
Teşvik ve destek olmadan, potansiyel adaylar başarılı olmak için gerekenlere sahip olmadıklarına inandıkları için kendi seçimlerini bırakıyorlar. Bunlar ölçemediğimiz rakamlar ancak bakabildiğimiz şey, siber güvenlikle ilgili olmayan alanlardan eleman almak isteyen kuruluşların sayısı. ISC2 anketi yalnızca %51'inin işe alım koşullarını bu şekilde değiştirdiğini ortaya çıkardı. Endişe verici bir şekilde, büyük çoğunluk güvenlik rollerini yerine getirmek için güvenlikle ilgili olmayan personeli şirket içinde çapraz eğitmeyi düşünüyor gibi görünüyor; ISACA bunun kuruluşların %45'i tarafından kullanılan en önemli strateji olduğunu söylüyor. Yalnızca %19'u çıraklık veya staj olanağı sunuyordu.
Bugün neredeyiz ve nerede olmamız gerekiyor?
Yetersiz giriş seviyesi açıklığı, teknik deneyime aşırı vurgu ve eğitim desteğinin eksikliği, ağı yeniden kurmak yerine mevcut çalışanları çapraz eğitmeyi amaçlayan içe dönük işe alım uygulamalarıyla birleştiğinde, tüm yeni girenler için işleri son derece zorlaştırıyor, ancak özellikle Tarihsel olarak ayrımcılığa uğrayanlar.
Küresel olarak siber güvenlik iş gücünün yalnızca %18'i kadın ve %38'i beyaz değil; bu da daha gidecek çok yolumuz olduğu anlamına geliyor. 30 yaşın altındakilerin %26'sı kadın ve %57'si beyaz değil. Ancak dengeyi düzeltmeye ve şu anda küresel olarak 4 milyon olan iş gücü açığını doldurmaya yardımcı olmak için iğne olması gereken yere yakın değil. Bu, ISC2 tarafından tahmin edildiği üzere 5,5 milyon kişi olan istihdam edilen kişi sayısına neredeyse eşdeğerdir.
Ancak ISC2 anketinde çok şey ifade eden çok etkileyici bir istatistik var: Katılımcıların beşte biri iş yerlerinde ayrımcılığa maruz kaldıklarını hissettiklerini söyledi. Bu, DEI girişimlerinin yaygın olmasına rağmen işverenlerin düşündüğü kadar başarılı olmadığını ve sektörü yetenekleri memnuniyetle karşılayan ve destekleyen bir sektör haline getirmek için önemli değişikliklere ihtiyaç duyulduğunu gösteriyor.