BT endüstrisi derneği ISACA tarafından bu hafta yayınlanan bir rapora göre, koronavirüs pandemisinin başlamasından iki yıl sonra şirketler siber güvenlik çalışanlarını bulmanın giderek daha zor, elde tutmanın daha zor olduğunu ve daha fazla taviz talep ettiğini söylüyor.
2.000’den fazla siber güvenlik uzmanının katıldığı bir ankete dayanan rapor, 2020’de pandeminin başlangıcında şirketlerin %53’üne kıyasla, şirketlerin %60’ının 2021’de siber güvenlik uzmanlarını tutmakta sorun yaşadığını ortaya koyuyor. ISACA’nın Siber Güvenlik Durumu 2022 raporuna göre, daha fazla uzaktan çalışmaya ve sürekli eğitim için zamana izin vermek de dahil olmak üzere çalışanların beklentileri ya da yetersiz mali teşvikler, sınırlı terfi fırsatları ve yüksek stres nedeniyle işçileri diğer şirketlere kaptırmak.
ISACA’da profesyonel uygulamalar ve inovasyon direktörü Jonathan Brandt, genel olarak, her seviyedeki siber güvenlik çalışanı için, ancak özellikle teknik pratisyenler için talebin arttığını söylüyor.
“Bireysel teknik pratisyenler her zaman talep görecek ve bu bizim için çözmesi en zor parça olacak” diyor. “Şu anda, yetenek geliştirmenin geleneksel yolları, manzaranın ne kadar hızlı değiştiğine kıyasla çok uzun sürdüğü için, kendisini boru hattı zorluklarına borçlu olan, doğru beceri setlerini bulma konusunda hiç bitmeyen bir kabuk oyunudur.”
Anket, pandemi ile ilgili sorunların muhtemelen yetenek açığını daha da kötüleştirdiğinin altını çiziyor. Rapora göre, geçen yıl küresel işgücüne yaklaşık 700.000 siber güvenlik uzmanının eklendiğini tespit eden önceki bir araştırmaya rağmen, çoğu şirkette siber güvenlik grupları yetersiz görünüyor.
Siber güvenlik uzmanlarının yaklaşık %60’ı, diğer şirketlerin çalışanlarını kaçak olarak avlamasını mevcut bilgili çalışan eksikliğinin büyük bir nedeni olarak görüyor, ancak bir dizi başka faktör, çalışma koşullarının birçok kişiyi iş değiştirmeye ikna ettiğini gösteriyor. Neredeyse yarısı, mevcut işlerin düşük mali teşviklere (%48) veya terfi için sınırlı fırsatlara (%47) sahip olduğuna inanırken, %45’i yüksek stres seviyelerine işaret ediyor. Birçok işçi, işverenlerin daha fazla uzaktan çalışma fırsatı ve esnek çalışma politikaları sunmasını istiyor. Ankete göre.
ISACA raporda, “Esnek çalışma beklentileri pandemi nedeniyle arttı ve çalışanlar potansiyel kariyer hareketlerini değerlendirirken önemli hususlar haline geldi” diyor. “2021’de çalışanlar, fiziksel bir ofis alanına geri dönmek için zorunluluğa karşı geri çekildiler, bu da birçok işletmenin ofis içi çalışmaya dönme planlarını gözden geçirmesine veya kısıtlamasına neden oldu. Bu sorun ve yüksek ücret beklentileri, yetenek için yoğun bir savaşa yol açtı.”
Sorunun bir kısmı, az sayıda şirketin BT çalışanlarını siber güvenlik uzmanlarına dönüştürmek için eğitim programlarına sahip olmasıdır. ISACA’dan Brandt, çoğu şirketin, her şirketin ve her sektörün farklı teknolojilere, risklere ve tehdit ortamlarına sahip olduğu gerçeğini pek dikkate almadan, çalışmaya hazır teknik uzmanları işe almayı umduğunu söylüyor.
“Şirketlerin anahtar teslimi işe alımlar beklemesi son derece mantıksız” diyor. “Herkese uyan tek bir beden yoktur.”
Güvenlik teknolojisi, hemen hemen her şeyin satıcı odaklı olduğu ve güvenlik uzmanlarının belirli satıcıların ürün hatlarını çalıştırmayı öğrenmek zorunda olduğu 2000’lerin başındaki durumuna hızla geri dönüyor, diyor.
“Kavramları öğretmek ve noktaları birleştirmenize yardımcı olmak için açık kaynaklı yazılım kullanabilirim, ancak dışarıdaki her şirketin kendi satıcı ürünleri varsa, siber güvenlik çalışanlarının da bu satıcı hattından geçmesi beklentisi var. “
Boru Hattı Sorunu
Çalışma, genç siber güvenlik uzmanlarını ortaya çıkaracak etkili bir boru hattının olmadığını gösteriyor: Siber güvenlik uzmanlarının yaklaşık üçte ikisi 35 ila 54 yaşları arasında ve çalışanların yalnızca %11’i 35 yaşın altında. Üniversite programlarından mezun olan siber güvenlik çalışanları, nispeten nadir; çok daha fazlası teknik olmayan programlardan geliyor veya daha sonraki yaşamlarında siber güvenlik konusunda kendilerini eğitmenin yollarını buluyor.
Brandt, sonuçların siber güvenlik uzmanlarının teknik bir geçmişe ihtiyacı olmadığını gösterdiğini söylüyor.
“Bir güvenlik mühendisine veya bir güvenlik mimarına bakarsanız, BT geçmişine ihtiyaçları vardır” diyor. “Ancak analistlerden bahsediyorsanız, liberal sanatlar arka planından gelen ve araştırmacı tarafında gerçekten iyi olan insanların hikayelerini duymamızın bir nedeni var.”
Şirketler de kendi yollarına giriyor, insan kaynakları boşluklarını doldurmak için güvenlik gruplarıyla etkin bir şekilde çalışmıyor. ISACA raporuna göre, şirketlerin bir siber güvenlik pozisyonunu nitelikli bir adayla doldurması şu anda üç ila altı ay sürüyor. İyi bir adayın en önemli özellikleri, önceden uygulamalı deneyim, kimlik bilgileri ve uygulamalı eğitimdir; iyi iletişim ve liderlik tüm adaylarda önemlidir ve bulut güvenliği becerileri en çok talep edilen teknik beceridir.
Ankete göre, genel olarak, İK departmanı adayları uygun şekilde taramak için siber güvenlik gereksinimlerini yalnızca “ara sıra” anlıyor.
Brandy, işe hazır becerileri öğretmeyen eğitim kampları ve alternatif programlarla bir araya gelen bu sorunların, birçok aday ile şirketlerin istediklerini düşündükleri arasında bir uyumsuzluk olduğu anlamına geldiğini söylüyor.
“Bütçeler düz bir çizgide kalmaya devam etse bile paranın orada olduğunu düşünüyorum … ama işlerin kaynak tarafında, insanlar, insan sermayesi, yapacak daha çok işimiz var” diyor. “Zorla kazanılmış çok para ve dolar harcayan, boru hattı programlarından geçen, çok para harcayan ve beceri kazanmak için çalışan ve sonra iş bulamayan birçok insanımız var ve bundan utanmalıyız. “