Post

Luka w umiejętnościach w zakresie bezpieczeństwa cybernetycznego jest źle rozumiana.

Prawie każdego roku, stowarzyszenie branżowe, uniwersytet, niezależny naukowiec lub duża korporacja - a czasem wszyscy oni i wiele innych osób w międzyczasie - wypychają najnowsze badania nad luką w umiejętnościach z zakresu bezpieczeństwa cybernetycznego, obecnie już od dawna nieaktualnym pomysłem, że w globalnej gospodarce brakuje coraz większej liczby specjalistów w dziedzinie bezpieczeństwa cybernetycznego, których nie można znaleźć.

To jest, jak powiedział jeden z raportów, "stan wyjątkowy". Byłoby miło, gdyby te liczby miały więcej sensu.

W 2010 r., według jednego z badań skoncentrowanego na Stanach Zjednoczonych, luka w umiejętnościach w zakresie bezpieczeństwa cybernetycznego obejmowała co najmniej 10 000 osób. W 2015 r., zgodnie z oddzielną analizą, liczba ta wynosiła 209 000. Ponadto, w 2015 r., według kolejnego raportu, liczba ta wynosiła ponad 1 milion. Obecnie liczba ta wynosi zarówno prognozowane 3,5 mln do 2021 r., jak i obecne 4,07 mln na całym świecie.

PK Agarwal, dziekan University of California Santa Cruz Silicon Valley Extension, od lat podąża za tymi liczbami. Podążał za tymi danymi w osobistym interesie i śledził je głębiej, budując programy w Northeastern University Silicon Valley, centrum edukacyjnym otwartym przez prywatny uniwersytet w Bostonie, gdzie ostatnio pełnił funkcję dziekana regionalnego i dyrektora generalnego. Podczas swoich badań coś odkrył.

"Jeśli chodzi o rzeczywiste liczby, jeśli spojrzeć na lukę popytu i podaży w zakresie bezpieczeństwa cybernetycznego, zobaczysz tony raportów", powiedział Agarwal. "Będą na całej mapie."

Kontynuował: "Tak, jest niedobór, ale to nie jest niedobór systemowy. Jest w pewnych słodkich miejscach. Taka jest rzeczywistość. Taka jest rzeczywista prawda."

Jak powiedział Agarwal, istnieją "słodkie plamy" prawdy o luce w umiejętnościach związanych z bezpieczeństwem cybernetycznym - mogą pojawić się trudności w znalezieniu natychmiastowej potrzeby na projekty napędzane deadlinem lub w znalezieniu specjalistów przeszkolonych w zakresie kluczowego narzędzia programowego, na które firma nie może poświęcić czasu na szkolenie obecnych pracowników.

Ale szerzej, luka w umiejętnościach w zakresie bezpieczeństwa cybernetycznego, według osób rekrutujących, zatrudniających menedżerów i pracowników naukowych, jest źle rozumiana. Zamiast braku talentów, czasami w imieniu firm pojawia się brak zrozumienia, w jaki sposób znaleźć i zatrudnić ten talent.

Wysyłając zbyt restrykcyjne wymagania dotyczące zatrudnienia, żądając sprzecznych umiejętności, odmawiając zatrudniania pracowników na odległość, oferując niekonkurencyjne stawki i nie postrzegając mniejszości, kobiet i weteranów jako realnych kandydatów, przedsiębiorstwa mogą stracić bardzo realny, bardzo dostępny talent w zakresie bezpieczeństwa cybernetycznego.

Innymi słowy, jeśli nie jesteś w stanie znaleźć eksperta ds. bezpieczeństwa cyberprzestrzeni dla swojej firmy, nie oznacza to, że nie istnieje. To znaczy, że możesz potrzebować pomocy w ich znalezieniu.

Gry liczbowe
W 2010 roku Centrum Studiów Strategicznych i Międzynarodowych (CSIS) opublikowało swój raport "Kryzys kapitału ludzkiego w bezpieczeństwie cybernetycznym". Według raportu, "zagrożenie cybernetyczne dla Stanów Zjednoczonych wpływa na wszystkie aspekty społeczeństwa, biznesu i rządu, ale nie istnieje ani szeroka kadra ekspertów w dziedzinie cyberbezpieczeństwa, ani ugruntowane pole kariery w cyberprzestrzeni, na którym można by się oprzeć, szczególnie w rządzie federalnym".

Ponadto, według Jima Goslera, wizytowanego wówczas naukowca NSA i dyrektora założycielskiego tajnego biura informatycznego CIA, w USA było dostępnych tylko 1 000 ekspertów ds. bezpieczeństwa, posiadających "specjalistyczne umiejętności skutecznego działania w cyberprzestrzeni". Kraj, jak powiedział Gosler w wywiadach, potrzebował od 10.000 do 30.000.

Chociaż luka w umiejętnościach w zakresie bezpieczeństwa cybernetycznego została prawdopodobnie zauważona przed 2010 r., dokument CSIS częściowo wychwytuje teorię, która stanowi dziś wsparcie - luka w umiejętnościach to brak talentu.

Po latach luka w umiejętnościach w zakresie bezpieczeństwa cybernetycznego podobno przerodziła się w przepaść. Wkrótce rozciągnęłaby się ona na cały świat.  

W 2016 roku Enterprise Strategy Group nazwała lukę w umiejętnościach z zakresu bezpieczeństwa cybernetycznego "stanem wyjątkowym", odsłaniając badania, które wykazały, że 46 procent starszych specjalistów IT i bezpieczeństwa cybernetycznego w firmach średniej wielkości i przedsiębiorstwach określa brak umiejętności z zakresu bezpieczeństwa cybernetycznego w swoich działach jako "problematyczny". W tym samym roku odrębne dane opracowane przez profesjonalne stowarzyszenie IT ISACA przewidywały, że do roku 2019 na całym świecie zabraknie 2 milionów specjalistów ds. bezpieczeństwa cybernetycznego.

Jednak już w 2019 r. prognoza ta się spełniła, jak wynika z badania opublikowanego w tym roku przez International Information System Security Certification Consortium (ISC)2. Świat, jak powiedziała grupa, zatrudniał 2,8 miliona specjalistów ds. bezpieczeństwa cybernetycznego, ale potrzebował 4,07 miliona.

Jednocześnie w niedawno przeprowadzonym badaniu prognozowano, że luka w zakresie umiejętności w 2021 r. będzie mniejsza niż szacunki (ISC)2 na dzień dzisiejszy - zamiast prognozować zapotrzebowanie na 3,5 mln specjalistów do przyszłego roku. Na przestrzeni lat odrębne badania oferowały podobnie sprzeczne liczby.

Wariacja może być zawrotna, ale można ją wytłumaczyć wariacją na temat motywacji, powiedział Agarwal. Powiedział, że te raporty nie istnieją w próżni, ale są raczej sporządzane dla firm i, co może być zaskakujące, dla dużych uniwersytetów, które opierają się na tych danych, aby pomóc w tworzeniu nowych programów i opracowywaniu programów nauczania w celu przyciągnięcia obecnych i przyszłych studentów.

Jest to ścieżka, którą Agarwal pokonał lata temu, gdy opracowywał program magisterski w dziedzinie informatyki na uniwersytecie Northeastern Silicon Valley rozszerzającym Dolinę Krzemową. Dane, jak powiedział, wspierał program, pokazując około 14.000 miejsc pracy w Bay Area, które wymieniały stopień magistra jako wymóg, podczas gdy sąsiednie szkoły Bay Area były na dobrej drodze, aby produkować tylko mniej niż 500 absolwentów studiów magisterskich w tym roku.

"Była ogromna luka, więc uruchomiliśmy kampus", powiedział Agarwal. Program wzbudził zainteresowanie, ale nie tak bardzo, jak sugerowały dane.

Agarwal pamiętał, jak wtedy myślał: "Co się dzieje, do cholery?" 

Okazuje się, że wiele się działo, powiedział Agarwal. Dla wielu studentów perspektywa większego długu studenckiego za potencjalnie wyższe wynagrodzenie nie wystarczyła, by wprowadzić ich do programu. Ponadto, płace absolwentów studiów licencjackich i magisterskich były na tyle bliskie, że studenci mieli trudności z dostrzeżeniem wartości w uzyskaniu wyższego stopnia.

To zmęczenie uzyskaniem tytułu magistra informatyki nęka dziś także edukację w zakresie bezpieczeństwa cybernetycznego, powiedział Agarwal, porównując ją do zaawansowanego stopnia w dziedzinie biologii.

"Bezpieczeństwo cybernetyczne na poziomie Mistrza jest mniej więcej takie samo jak w Biologii - nie ma wartości rynkowej", powiedział Agarwal. "Jeśli masz BA [z biologii], jesteś szczurem laboratoryjnym. Jeśli masz tytuł magistra, to jesteś starszym szczurem laboratoryjnym."

Wyobraźmy sobie więc zamieszanie wśród kandydatów do ochrony cybernetycznej, którzy ubiegając się o pracę, znajdują stopnie magisterskie wymienione jako wymagania. A jednak, to jest dalekie od rzadkości. Wymóg ten, jak wiele innych, może odstraszyć kandydatów.

Wyszukiwanie różnych
Dla firm, które czują, że talenty w zakresie bezpieczeństwa cybernetycznego, których potrzebują, po prostu nie istnieją, rekruterzy i strategowie mają różne rady: Szukaj talentów z zakresu bezpieczeństwa cybernetycznego w inny sposób. Oznacza to łagodniejszy stopień naukowy i wymogi dotyczące certyfikacji, większą otwartość na pracę zdalną i zatrudnianie ze względu na predyspozycje kandydata, a nie zjeżdżanie z listy obowiązkowych życzeń.

Jim Johnson, starszy wiceprezes i dyrektor ds. technologii w międzynarodowej agencji rekrutacyjnej Robert Half, powiedział, że kiedy myśli o potrzebach klientów w zakresie bezpieczeństwa cybernetycznego, często wspomina panel konferencyjny, który oglądał lata temu. Jak powiedział Johnson, panelowi ekspertów ds. rekrutacji zadano proste pytanie: Jak znajdujesz ludzi?

Jedna osoba, Johnson wspominał: "Musisz być w porządku zatrudniając ludzi, którzy nic nie wiedzą."

Lekcja, jak powiedział Johnson, była taka, że firmy powinny zatrudniać pracowników za umiejętności i zdolność do uczenia się.

"Zatrudniasz osobowość, która pasuje do tego, czego szukasz", powiedział Johnson. "Jeśli nie mają wszystkiego technicznie, ale są shoo-in za to, że mogą się tego nauczyć, to jest to osoba, którą wychowujesz."

Johnson wyjaśnił również, że dla niektórych kandydatów restrykcyjne wymagania dotyczące pracy mogą ich odstraszyć. Johnson doradza firmom, by rozumiały, czego szukają, ale nie sprawiają, że wymagania dotyczące samej pracy są tak restrykcyjne, że powodują wahania u niektórych potencjalnych kandydatów.

"Możesz przegapić świetny wynajem, bo wymagałeś trzech certyfikatów, a oni mieli jeden, albo są w trakcie zdobywania jednego", powiedział Johnson.

Podobnie Thomas Kranz, wieloletni konsultant ds. bezpieczeństwa cybernetycznego i obecny doradca ds. strategii bezpieczeństwa cybernetycznego w organizacjach, określił wymagania dotyczące stanowisk pracy, które w szczególny sposób wymagają stopni naukowych jako "największe bariery, na jakie napotykają firmy starające się zatrudniać talenty z zakresu bezpieczeństwa cybernetycznego".

"To jest postawa, która zdecydowanie należy do ostatniego wieku", napisał Kranz. "Must have a [Bachelor of Science] or advanced degree" idzie w parze z "Why can't we find the candidates we need?"

To myślenie zagościło poza światem rekrutów.

W lutym kilkanaście firm, w tym Malwarebytes, zobowiązało się do przyjęcia "Zasad dotyczących rozwoju i utrzymania bezpieczeństwa cyberprzestrzeni" Instytutu Aspen.

Pierwsza zasada wymaga od firm, aby "poszerzyły horyzont kandydatów, w tym rozszerzyły zakres rekrutacji poza kandydatów z czteroletnim stażem pracy lub posługując się nieobiektywnymi dla płci opisami stanowisk".

W Malwarebytes od co najmniej półtora roku stosowana jest praktyka polegająca na usuwaniu z opisów stanowisk pracy związanych z bezpieczeństwem cybernetycznym ścisłych wymogów dotyczących stopnia ochrony.

"Nigdy nie wymienię licencjata lub licencjata jako twardego wymogu na większości stanowisk", powiedział John Donovan, dyrektor ds. bezpieczeństwa informacji w Malwarebytes. "Doświadczenie zawodowe i życiowe pomaga uzupełnić kandydatów, zwłaszcza na stanowiska związane z bezpieczeństwem cybernetycznym." Donovan dodał, że na młodszych stanowiskach istnieją "kreatywne sposoby poszerzenia puli kandydatów", takie jak korzystanie z programów rekrutacyjnych YearUp, NPower i innych.

Obie organizacje, podobnie jak wiele innych, pomagają w przejściu na karierę zawodową zorientowaną na technologię, oferując szkolenia, staże i dostęp do korporacyjnego świata, który być może był poza zasięgiem.

Tego typu grupy rozwoju zawodowego mogą również pomóc firmie pragnącej poszerzyć swoje poszukiwania o typowo pomijane społeczności, w tym mniejszości, kobiety, osoby niepełnosprawne i weteranów.

Weźmy na przykład International Consortium of Minority Cybersecurity Professionals, które stwarza kobietom i mniejszościom możliwości awansu w tej dziedzinie, lub Nonprofit Women in CyberSecurity (WiCyS), które niedawno opracowało program dla weteranów. WiCyS działa przede wszystkim na rzecz rozwoju kariery zawodowej kobiet w dziedzinie bezpieczeństwa cybernetycznego, oferując szkolenia, zapewniając mentoring, stypendia i współpracując z zainteresowanymi partnerami korporacyjnymi.

"W bezpieczeństwie cybernetycznym istnieją wyzwania, które nigdy wcześniej nie istniały", powiedziała Lynn Dohm, dyrektor wykonawczy WiCyS. "Potrzebujemy wielozadaniowości, różnorodności myśli i ludzi z różnych środowisk, wszystkich płci i wszystkich grup etnicznych, aby sprostać tym wyzwaniom z różnych perspektyw".

Wreszcie, dla firm wciąż mających problemy ze znalezieniem talentów w zakresie bezpieczeństwa cybernetycznego, Robert Half's Johnson zalecił rozszerzenie poszukiwań dosłownie. Powiedział, że miejsca pracy związane z bezpieczeństwem cybernetycznym nie muszą być już obsadzane przez kogoś, kto znajduje się w promieniu 40 mil, a jeśli w ogóle, to obecna pandemia wzmocniła ten pomysł.

"Wpływ pandemii, która zmieniła sposób, w jaki ludzie wykonują swoją pracę, uświadomił nam, że ta cała praca na odległość nie jest tak straszna, jak myśleliśmy", powiedział Johnson.

Firmy powinny jednak zrozumieć, że praca na odległość jest dla nich tak samo dobrodziejstwem jak dla potencjalnych kandydatów. Nie są już wykwalifikowanymi kandydatami ograniczonymi w swoich poszukiwaniach przez to, co mogą fizycznie dostać do tej pory, ale mogą ubiegać się o pracę, która może wydawać się bardziej atrakcyjna, a która jest znacznie dalej od miejsca zamieszkania.

I to oczywiście będzie miało wpływ na wynagrodzenie, powiedział Johnson.

"Podczas gdy płace w Bay Area lub nowojorskiej pensji, choć te mogą się nie zmienić dramatycznie, to co się zmienia, to ludzie, którzy mogą być rekrutowani w Des Moines lub w Omaha czy Oklahoma City, którzy tradycyjnie byli ograniczeni [regionalnie], teraz są rekrutowani przez firmy na wybrzeżu", powiedział Johnson.

"To ma wpływ na lokalne firmy, które płacą te 80.000 dolarów pensji. Teraz tym kandydatom oferuje się $85,000 do pracy zdalnej. Teraz muszę z tym konkurować."

Planowanie na przyszłość
Luka w umiejętnościach z zakresu bezpieczeństwa cybernetycznego nie musi przerażać firmy lub starszego kierownika ds. bezpieczeństwa cybernetycznego, który chce zatrudnić pracownika. Istnieje wiele możliwych do podjęcia kroków, które firma może dziś podjąć, aby pomóc poszerzyć swoje poszukiwania i znaleźć talenty, które być może inne firmy ignorują.

Po pierwsze, należy przestać umieszczać w opisach stanowisk wymagania dotyczące twardego stopnia. To samo dotyczy certyfikatów bezpieczeństwa cyberprzestrzeni. Po drugie, zacznij akceptować ideę pracy zdalnej dla tych zespołów. Wartość "tyłków w siedzeniach" oznacza teraz prawie nic, więc przyzwyczajaj się do niej. Po trzecie, zrozum, że praca zdalna oznacza potencjalnie lepsze wynagrodzenie dla kandydatów, których próbujesz zatrudnić, więc spójrz na dane rynkowe i zapłać odpowiednio. Po czwarte, połącz się z organizacją rekrutacyjną, taką jak WiCyS, jeśli chcesz uzyskać dodatkową pomoc w tworzeniu zróżnicowanego i reprezentatywnego zespołu. Po piąte, zastanów się również nad spojrzeniem w głąb siebie, ponieważ Twoja kolejna rekrutacja z zakresu bezpieczeństwa cybernetycznego może być w rzeczywistości promocją w dziedzinie bezpieczeństwa cybernetycznego.

 

Komentarze (0)

Zostaw komentarz