Siber güvenlik çalışanlarında büyük bir eksiklik olduğuna dair iyi duyurulmuş tahminler, bu alanda iş arayanlar arasında yüksek beklentilere yol açtı, ancak şirketlerin gereksinimleri ile iş arayanların beceri setleri arasındaki uyumsuzluk nedeniyle gerçeklik çoğu zaman başarısız oluyor.
Bu şu soruyu gündeme getiriyor: Sözde siber çalışan sıkıntısı, 2024’te şirketlerin peşini bırakmayacak gerçek bir olgu mu?
Bir yandan şirketler, yeterli donanıma sahip, bilgili siber güvenlik uzmanlarını işe alma konusunda zorluklarla karşılaştıklarını bildiriyor İşçiler talebin yalnızca %72’sini karşılayabiliyorİş analisti şirketi Lightcast’in sağladığı verilere göre, yaklaşık yarım milyon işçi açığı var. Ancak iş arayanlar şirketlerin makul olmayan eğitim, deneyim ve maaş beklentilerine sahip olduğunu söylüyor. Örneğin, iş ilanlarının büyük çoğunluğu (yaklaşık %85’i) bilgisayar bilimi, siber güvenlik veya diğer teknik disiplinlerde en az bir lisans diploması gerektirirken, tarihsel olarak bu sadece yaklaşık %85’tir. Siber güvenlik çalışanlarının %60 ila %70’i üniversite diplomasına sahiptir.
Sonuç olarak, Lightcast’in “paralı askerler” olarak adlandırdığı doğru eğitime, teknik becerilere, referanslara ve profesyonel ağa sahip siber güvenlik işi arayanlar işe alınmada çok az sorun yaşıyor, ancak umutluların aslan payı daha az başarı buluyor, diyor başkan yardımcısı Will Markow emek-veri firmasının uygulamalı araştırma başkanı.
“Siber güvenlik alanında gerçekten bir yetenek eksikliğinin olup olmadığı konusunda birçok kafa karışıklığına yol açan bir beklenti boşluğu var” diyor. “Örneğin, işverenlerin, muhtemelen giriş seviyesindeki bir çalışan tarafından gerçekleştirilebilecek işler için en az üç ila beş yıllık iş deneyimine sahip siber güvenlik çalışanları talep ettiğini sıklıkla görüyoruz.”
Bu durum, iş arayanların aşırı uzun mülakat süreçleri ve eğitime bağlılık eksikliği gibi ek endişeleri öne sürerek şirketlere saldırmasına neden oldu. Medium’daki bir dizi makalede, örneğin New York merkezli bir bilgi güvenliği yöneticisi olan Ben Rothke, iddialara kızdı doldurulması gereken milyonlarca açık siber güvenlik işi var ve işgücüne katılacak hiçbir işçi yok.
Güvenlik altyapısının işletilmesi ve sağlanması gibi teknik sorumluluklar en çok talep edilenlerdir. Kaynak: Cyberseek.org
Ayrıca kurumsal gereklilikleri karşılayan şanslı azınlığın maaşları meselesi de var.
Dark Reading’e “Bir pozisyon bulmak isteyen tanıdığım insanlar mücadele ediyor ve bunlar deneyimli insanlar” diyor. “Bir kıtlık var çünkü iyi, son derece teknik insanlar bulmak zor, ama aynı zamanda birçok şirketin insanlara para ödemek istememesi gibi bir sorun da var; onlar sadece para ödemiyorlar ve ben bunun sebebinin de bu olduğunu söyleyebilirim. muhtemelen işe alım sorunlarının yarısı.”
Bir örnek: Pek çok siber güvenlik sertifikası, en az beş yıllık ön iş deneyimi gerektirir (örneğin, CISSP sertifikası) ancak bu tür sertifikalar gerektiren siber güvenlik iş ilanlarının yaklaşık %20’si, iki yıldan az süren giriş seviyesi, düşük ücretli işler içindir. Lightcast’ten Markow’a göre deneyim.
Zaten eksiklik nedir?
İşverenler ve iş arayanlar arasındaki uyumsuzluk, siber güvenlik uzmanlarının verileri sorgulamasına neden oldu.
Kıtlık, “talebi karşılayacak arz eksikliği” olarak tanımlanırken, siber güvenlik alanında bu miktarların her ikisi de oldukça belirsizdir. Denklemin talep tarafı olan şirketler için siber güvenlik ihtiyaçları tam zamanlı bir çalışanla, üçüncü taraf bir hizmetle veya potansiyel olarak bir ürünle karşılanabilir. Ve tartışıldığı gibi, mevcut işçilerin arzı, çalışanların becerilerine ve şirket gereksinimlerine bağlıdır.
Bu nedenlerden dolayı, Amerika Birleşik Devletleri’ndeki mevcut siber güvenlik iş gücü durumunu ölçmek zordur. Şu anda Amerika Birleşik Devletleri’nde yaklaşık 1,2 milyon siber güvenlik çalışanı bulunuyor ve geçen yıl siber güvenlikle ilgili yaklaşık 570.000 iş ilan edildi. Cyberseek’e göreLightcast, sertifikasyon kuruluşu CompTIA ve Ulusal Standartlar ve Teknoloji Enstitüsü arasındaki bir bilgi sitesi işbirliğidir. Ulusal Siber Güvenlik Eğitimi Enstitüsü (NICE). Lightcast, işleri birden fazla panoda kopyalar ve hiçbir zaman doldurulmayan iş pozisyonlarını ayıklamaya çalışır.
Siber güvenlik sertifika sağlayıcıları ISC2’nin de benzer numaraları var, 1,5 milyon siber güvenlik çalışanının olduğu tahmin ediliyor Kuzey Amerika’da 522.000 işçi açığı var ve bu da talebin %74’ünün karşılanmasına yol açıyor.
Ancak ABD’de yaklaşık 165 milyon işçi var. ABD Çalışma İstatistikleri Bürosu’na göreBu da her 140 çalışandan birinin iş tanımının bir parçası olarak siber güvenlikten sorumlu olduğu anlamına geliyor; bu oldukça yüksek bir rakam. Gerçekte, bu 1,2 milyon çalışanın yalnızca %20 ila %40’ı temel siber güvenlik çalışanıdır; Lightcast’ten Markow’a göre bu çalışanın siber güvenlikle ilgili bir unvanı vardır.
“Yani bunlar bilgi güvenliği analistleri, siber güvenlik mimarları ve mühendisleri ve CISO’lar gibi kişiler” diyor. “Fakat aynı zamanda siber güvenlik özellikli iş gücü dediğimiz bir grup da var ve bu genellikle daha geniş bir BT rolleri kümesini ve bazı durumlarda BT dışı rolleri de kapsıyor; bu rollerin ana sorumluluğu siber güvenliğe sahip değil. Meslekler.”
Kaba Yolda Elmas Aramak
Tedariklerini genişletmek için şirketler gereksinimlerini gevşetmeli ve öğrenmek isteyen çalışanları arayınYirmi yılı aşkın bir süredir teknik ve siber güvenlik alanında işe alım uzmanı olan Lee Kushner, halihazırda belirli becerilere veya referanslara sahip olanların tercih edilmediğini söylüyor. Kodlama, mimari, altyapı, belirli teknolojiler ve bunların nasıl güvence altına alınacağının anlaşılması gibi zorlu teknik beceriler hâlâ yetersiz kalıyor.
“Ortalama becerilere sahip, çok güçlü teknik altyapıya sahip olmayan, güvenlik hakkında konuşabilen ama aslında hiçbir şey yapmayan insanlara gelince; elimizde bu insanlardan tonlarca var ve kimse onları gerçekten işe almak istemiyor.” diyor. “Bulut güvenliğini, ürün güvenliğini gerçekten anlayan insanlar; mühendislik ekipleriyle güvenliğin işleyişi konusunda gerçekten güçlü olan insanlar; gerçekten eksik olan şey bu.”
Önemli bir sorun şu ki eğitim fırsatları yetersizve şirketler, işçilere doğru becerileri kazandırmak için mutlaka yatırım yapmak istemiyor. Buna ek olarak, şirketler genellikle bulut güvenliği konusunda akıcı olan ancak aynı zamanda şirketin ana faaliyet alanı (perakende diyelim) hakkında bilgi sahibi olan, birden fazla sertifikaya sahip, on yıllık bir deneyime sahip biri gibi tek boynuzlu siber güvenlik becerileri arıyorlar. “insan insanı” olma yeteneği.
2024’te Talebin Düşmesini Bekleyin – Belki
Siber güvenlik iş fırsatları ve talebinin ölçümleri sahadaki durumun gerisinde kaldığından, son zamanlarda bütçelerde yaşanan sıkılaştırma, iş piyasasının bugün bir yıl öncesine göre daha kötü olduğu anlamına geliyor.
Yüksek faiz ve enflasyon bütçelerden darbe aldı ve fidye yazılımı gibi bazı tehditler artıyor gibi görünse de şirketler artık siber güvenlik departmanlarını devre dışı bırakma konusunda daha fazla düşünmeye başlıyor. Bir yıl önce, resesyon korkusu hâlâ hakimken, Yöneticilerin yalnızca %10’u siber güvenlik iş gücünü azaltmayı öngörüyor. Sertifikasyon kuruluşu ISC2’nin CEO’su Clar Rosso, bugün ekonomik durgunluk korkularının azalıyor olabileceğini ancak yöneticilerin çoğunun güvenlik çalışanlarının işten çıkarılmasını beklediğini söylüyor.
“Bunun temel nedeni nedir? Bunun kolay yanıtı, kârlılıktaki baskıların yılın başlarında anket yaptığımız yöneticilerin hayal ettiğinden çok daha yüksek olması olabilir” diyor. “Daha da kritik olan neden, liderlerin ne söylediğine bakılmaksızın, siber güvenliğin işlerinde oynadığı stratejik değeri ve siber güvenlik kaynaklarını kestiklerinde neyin risk altında olduğunu anlamalarına yardımcı olmak için hâlâ yapacak işlerimiz olması olabilir.”
Lightcast’ten Markow, siber güvenliğin çoğu zaman şirketlerin onsuz yapmaya çalıştığı bir şey olmasına rağmen, dünya gerçekliğinin onlara her zaman buna ihtiyaç duyduklarını hatırlatacağını söylüyor.
“Dünya genelinde jeopolitik gerilimler ve belirsizlikler artmaya devam ediyor ve tarihsel olarak gördüğümüz şey, jeopolitik gerilimler arttığında, dünya çapında artan tehditlerin bir sonucu olarak siber güvenlik çalışanlarına olan talebin de arttığıdır.” diyor.
Kendisi, 2024’te ekonomik inişin yumuşak bir iniş olasılığının artması ve giderek artan tehdit ortamı nedeniyle siber güvenlik çalışanlarına olan talebin 2024’te güçlü olmaya devam edebileceğini ekliyor.