Siber güvenlik sektörü benzeri görülmemiş bir beceri sıkıntısı yaşıyor ve kötü haber şu ki, daha da kötüye gitmeye hazırlanıyor. Medya, Kültür ve Spor Dairesi’nin (DCMS) son rakamlarına göre, pazara giren yıllık 14.000 açık var ve bu da kümülatif kıtlığa yol açacak. Yüksek stres seviyeleri ve tükenmişlik oranları nedeniyle sektörden bir çıkış gören ve üçte birinden fazlasının işini bırakmaya yöneldiği Büyük İstifa ile daha da kötüleşen bir durum.
DCMS raporuna göre, orta düzey yönetimde veya üç yıl veya daha fazla deneyime sahip üst düzey rollerde çalışanlara özel talep var ve bu durum önümüzdeki birkaç yıl içinde işletmeler için sorunlara neden olurken, yeni girenler zanaatlarını geliştirirken.
Yetersiz beceriler
Beceri setleri açısından, penetrasyon testi en kıt olanıydı, ancak bu aynı zamanda tipik olarak dış kaynaklı olduğu için reklamı yapılması en az olası roldü. Bunu, güvenlik operasyonları (yani izinsiz giriş tespiti) ile birlikte ikinci sırada GRC uygulayıcıları ve güvenlik mimarları izledi.
Anekdot olarak rapor, bulut güvenliği rollerinde, DevSecOps ve Güvenlik Mimarisi’nde, muhtemelen bunların hepsi yeni gelişen teknolojiyi içerdiğinden (Sıfır Güven gibi stratejiler, ikincisi için talebi artırdığı için) gerçek eksiklikler olarak algılandığını belirtti. Ancak, Fortinet’in 2022 Siber Güvenlik Becerileri Gap raporunda, küresel olarak kuruluşların yarısının bulut güvenliği uzmanları, yüzde 42’si SOC Analistleri ve Güvenlik Yöneticileri ve yüzde 40’ı Güvenlik Mimarları aradığını belirten kanıtlar da var. Bu rakamlar, bugün en çok talep edilen beş güvenlik becerisinin bulut bilişim, veri koruma, Kimlik Erişim Yönetimi, Olay Müdahalesi ve DevSecOps olduğunu tespit eden ISACA Siber Güvenlik Durumu 2022 raporu tarafından geniş çapta destekleniyor.
Adaylar için rekabet
Tüm bunların gösterdiği şey, işletmelerin yeni yetenekleri işe alma konusunda yoğun bir rekabet bekleyebilecekleridir. Ancak, ISACA anketinin işletmelerin yüzde 60’ının geçen yıl rakipler tarafından kaçak çalışan personele sahip olduğunu tespit etmesiyle birlikte, kalifiye personeli tutmakta zorlanmaları da muhtemeldir.
Bu, bazı örgütleri umutsuz önlemler almaya yönlendiriyor. Halihazırda, örneğin, sorunla başa çıkmak için tek bir rolde kapsanan, birbiriyle alakasız birden çok beceri setiyle, tümünü kapsayan iş ilanları görüyoruz. Ancak, bu basitçe doldurulamayan pozisyonlarla sonuçlanır. DCMS’ye göre, 2020 boyunca 10 gönderiden 4’ünden fazlası doldurulması zor olarak tanımlandı.
O halde işletmeler, özellikle en çok talep edilen beceri setleriyle ilgili olarak, beceri boşluğunu nasıl giderebilir? ISC(2) Siber Güvenlik İş Gücü Çalışması 2022’ye göre, açığı gidermek için yapılan en önemli yatırımlar eğitim (yüzde 36), esnek çalışma koşulları (yüzde 33), sertifikalar (yüzde 31) ve Çeşitlilik, Eşitlik ve Kapsayıcılık (DE&I) ) girişimler (yüzde 29).
Odaklanmış eğitim
Bu nedenle, her şeyden önce, işverenlerin mevcut kaynaklarını geliştirmeye ve eğitime öncelik vermeye çalışmaları gerekir. Bu, personele ve kariyer ilerlemesine olan bağlılığı gösterir, ancak DCMS raporunda siber sektördekilerin yüzde 46’sının daha önce siber rollerde bulunmadığına dikkat çekerek, işletmenin çalışanları siber olmayan rollerden mesleğe transfer etmesini de sağlayabilir.
Ancak DCMS, çalışanların yalnızca yüzde 62’sinin siber güvenlikle ilgili bir kalifikasyona veya sertifikalı eğitime sahip veya bu yönde çalışan çalışanlara sahip olduğunu ve yalnızca yüzde 21’inin siber güvenlik personelinin geçen yıl boyunca rolleriyle ilgili eğitim aldığını tespit etti. Potansiyel çalışanlar tarafından iş şartnamelerinde güçlü bir satış noktası olarak görülmesine rağmen, eğitim işverenler tarafından da yeterince takdir görmemekte veya gereğinden az satılmaktadır.
Bu profesyonel gelişimin odak noktası açısından, yüzde 40’ı Bulut güvenliğine, yüzde 26’sı risk değerlendirmesi, analizi ve yönetimine, yüzde 25’i AI ve Makine Öğrenimi’ne odaklandı ve onu GRC, Tehdit İstihbarat Analizi, DevSecOps ve Güvenlik Mühendisliği izledi. ISC(2)’ye göre. Sertifikalar da son derece arzu edilir olarak görülmeye devam ediyor, aynı anket bulgusu en yaygın olarak CISSP (Certified Information Systems Security Professional), ancak şu anda en çok takip edilen CCSP (Certified Cloud Security Professional).
Mentorluk da son derece önemlidir ve iş yeni kalifiye olmuş adayları işe almak söz konusu olduğunda, onlara güvenli bir şekilde tersine mühendislik yapma ve sistemleri yeniden inşa etme ve tamir etme fırsatı sağlamak, bazı işverenlerin kendi laboratuvarlarını bile sağlaması durumunda büyük bir fayda sağlayabilir.
Bir etkinleştirici olarak teknoloji
İkinci olarak, otomasyona yatırım bir öncelik olmalıdır, çünkü bu, stresi azaltır ve iş memnuniyetini artırır, böylece elde tutma oranlarını artırır. ISC(2) anketi, yanıt verenlerin güvenliklerini artırmak (yüzde 38), manuel siber güvenlik görevlerini ve mevcut süreçleri otomatikleştirmek için AI ve ML kullanmak (yüzde 32) ve çözüm seçim kriterlerine yardımcı olmak için bulut hizmeti sağlayıcılarını kullanarak daha fazla yatırım yapmayı düşündüklerini buldu. (yüzde 35).
Son olarak, kuruluşların işe alım uygulamalarını yeniden düşünmeleri gerekir. Şu anda birçok işletme, işe alım ekibinin daha sonra işe alım temsilcisiyle bağlantı kuran İK’ya devredildiğini gören katı bir hiyerarşiye sahip olma eğilimindedir. İK ekipleri, örneğin, ekibin çıraklık eğitimlerini keşfetmesine yardımcı olarak gerçek içgörü sağlayabilir, ancak aynı şekilde, gerekli beceri setlerini işe almak için gereken içgörüden de yoksun olabilirler. Ya da bazen, kiralayanın aradığı kişi tipine bakılmaksızın beceri setleri tamamen hakimdir.
Giderek teknik olmayan beceriler, teknik olanlar kadar önemli hale geliyor. Bu, CISO’nun güvenlik kararlarını iletmekten ve gerekçelendirmekten giderek daha fazla sorumlu olduğu üst düzey yönetim için geçerlidir, daha sonra eleştirel düşünme ve problem çözme yoluyla iş için yeteneklerini gösterebilen yeni girenlere. Bu nedenle, sektör ilerledikçe bu beceri setlerini değerlendirebilmek çok önemlidir.
Resmi kariyer yolları
Sektör ayrıca, bu belirli alanlarda odaklanmaya ve becerilere odaklanmaya yardımcı olacak daha yapılandırılmış kariyer yollarından yararlanmaya devam ediyor. Yeni bir hükümet girişimi – Kariyer Yolları Çerçevesi – uzmanlık alanlarında ilerlemek için gereken sertifikaları ve deneyimi belirlemeye yardımcı olmayı amaçlamaktadır ve ayrıca tıp ve hukuk mesleklerinde görülene benzer bir Uygulayıcı Kaydı kurulmasını da görebilir. etik, uygun niteliklere sahip veya kıdemli profesyonellerin başarıları.
Bu arada, önümüzdeki üç ila beş yıl siber güvenlik sektörü için çok önemli olacak. İşletmeler hiçbir şey yapmamayı göze alamaz ve güvende kalmak için hem elde tutmayı iyileştirmenin hem de işe alım sürücülerini genişletmenin yollarını keşfetmeleri gerekir.
