Küresel siber güvenlik becerileri açığı genişlemeye devam etse bile, birçok kuruluş hala yeterince uzun süre dayanırlarsa güvenlik ekibi kadrolarını doldurmak için rock yıldızı gazileri bulabilecekleri fikrine tutunuyor. Yeni bir anket, siber güvenlik işe alım yöneticilerinin, kıdemli çalışanları veya en az bir yıllık deneyime sahip olanları işe almaktansa, gelecek vaat eden giriş seviyesi adayları seçme şansının daha düşük olduğunu gösteriyor.
“(ISC)² Siber Güvenlik İşe Alma Yöneticileri Kılavuzuna” göre, birçok kuruluşun sektöre yeni başlayanları eğitme konusundaki bu tereddütü, birçok işe alım yöneticisinin siber güvenlik iş gücünün durumunu iyileştirme konusunda sahip olduğu büyük bir fırsatın altını çiziyor. ABD, İngiltere, Kanada ve Hindistan’dan 1.200 siber güvenlik işe alım yöneticisiyle yapılan bir ankete göre, rapor dünya çapında işe alım uygulamalarının ayrıntıları.
için savunuculuk, küresel pazarlar ve üye etkileşimlerinden sorumlu başkan yardımcısı Tara Wisniewski, “Çalışma bize, en küçük kuruluşlar dışında, giriş düzeyindeki siber güvenlik uzmanları için istihdam düzeylerinin diğer tüm deneyim düzeylerinin çok gerisinde kaldığını gösteriyor” diyor. ISC)². “Ayrıca, giriş seviyesi istihdam seviyelerinin genel olarak daha yüksek olduğu Kanada ve Hindistan’a kıyasla ABD ve Birleşik Krallık’ta özellikle dikkate değer bir zorluk.”
Örneğin ABD’de, güvenlik ekiplerinin yalnızca %26’sı giriş seviyesi çalışanlardan oluşurken, bu oran dört veya daha fazla yıllık deneyime sahip %38 ve bir ila üç yıllık deneyime sahip %36’dır. Anket metodolojisinin yalnızca son iki yılda bir ara giriş seviyesi veya alt seviye adayları işe almış yöneticileri kapsadığı düşünüldüğünde, giriş seviyesindeki adayların oranı aslında bundan daha düşük olabilir. Yalnızca kendi kendini seçen deneyimli adayları işe alan yöneticilerle, gerçek rakamlar muhtemelen raporun gösterdiğinden daha da keskin.
Ne olursa olsun, bu yeni uygulayıcıların iş görevlerini hızlandırmaları nispeten kısa bir süre almasına rağmen, giriş seviyesi istihdam oranlarındaki gecikme meydana gelmektedir. İşe alım yöneticilerinin yaklaşık %65’i, giriş seviyesi personeli yetiştirmenin dokuz ay veya daha az sürdüğünü söylüyor. Bu adaylar becerilerini veya bilgilerini geliştirirken, genellikle güvenlik ekiplerini her gün rahatsız eden tekrarlanabilir güvenlik incelemesi işiyle görevlendirilirler.
Giriş seviyesindeki çalışanlara devredilen en önemli iki görev, sırasıyla işe alım yöneticilerinin %35’i tarafından belirtilen uyarı ve olay izleme ve belgeleme süreçleri ve prosedürleridir. Anketteki açık uçlu yorumlarda yöneticiler, giriş seviyesindeki ekip üyelerinin genellikle “taze fikirler ve bakış açıları masaya yatırdığını” ve yalnızca işlerinde değil, siber güvenlikte de ilerlemek için ekstra yol kat etmeye istekli olduklarını söylediler. uzmanlık alanı.
İşe alım yöneticilerinin, alana yeni gelenlerin büyük bir kısmı ile siber güvenlik kadrolarını taze tutmak için mücadele etmelerinin olası nedenlerinden biri, onları bulmak için mutlaka doğru yerlere bakmamalarıdır.
Wisniewski, katılımcıların yarısından fazlasının bu rolleri doldurmak için harici işe alım uzmanlarına güvendiğini belirten Wisniewski, “Kuruluşlar, personel bulmak için, sertifika aramak ve aday bulmak için sertifika kuruluşlarının üyeliklerine bakmak da dahil olmak üzere, personel bulmak için büyük ölçüde dış faktörlere ve kaynaklara güveniyor” diyor. .
Siber güvenlik yöneticilerinin giriş seviyesindeki ve alt seviyedeki uygulayıcıları çekmek için yapmaya başlayabilecekleri en değerli şeylerden birinin siber güvenlik ve hatta BT dünyasının ötesinde yetenekler aramak olduğuna inanıyor. Anket, araştırmaya katılanların sadece %18’inin kuruluş içinden farklı iş işlevlerinde çalışan kişileri işe aldığını gösteriyor.
“Aktarılabilir beceriler ve öğrenmeye istekli insanlar satış, pazarlama, mühendislik, hukuk, askeriye, misafirperverlik ve daha pek çok alanda bulunabilir” diyor. “Aynı zamanda rollerin, kuruluşların ve genel olarak siber güvenlik sektörünün herkes için daha kapsayıcı ve erişilebilir olmasını sağlamakla ilgili.”
Eğitim Doları için Gerçeklik Kontrolü
Adaylar nerede bulunursa bulunsun, onları takıma anlamlı bir şekilde katkıda bulunabilecekleri noktaya getirmek için yapılan yatırım, muhtemelen bazı yöneticilerin beklediğinden daha ucuzdur. Ankete katılan 10 kişiden sekizi, maliyetlerin 5.000 dolardan az olduğunu söyledi ve %42’si yeni gelenlerin ödevleri ele almaya başlamasının maliyetinin 1.000 dolardan az olduğunu söyledi.
Wisniewski, profesyonel gelişime yapılan daha önemli yatırımlarla bile, işe alım yöneticilerinin, eğitim paralarının kapıdan çıkıp gideceği korkusuyla giriş seviyesi personeli işe almak ve eğitmek konusunda gecikmemesi gerektiğini söylüyor. Bu uygulayıcıların bir kuruluşun siber güvenlik iş gücünün sürdürülebilirliği için çok önemli olduğuna inanıyor.
“Genç personeli işe almak bir risk veya taviz değildir. Hatta siber güvenlik direncini artırmak için proaktif bir harekettir” diyor. “Sağlayıcının yarın stratejisini değiştirme olasılığı var diye bugün kritik altyapıya yatırım yapmaktan vazgeçmezsiniz. Aynı şey, çalışanlarınıza yatırım yapmak için de geçerlidir.”