Как компании должны реагировать на пробел в навыках кибербезопасности

Поскольку Интернет стал неотъемлемой частью повседневного бизнеса, кибербезопасность сегодня представляет собой серьезную проблему, с которой приходится сталкиваться организациям. Актуальность усугубляется постоянно растущими масштабами и изощренностью кибератак. Компании, большие и малые, постоянно находятся под угрозой утечки и потери данных. В результате резко вырос спрос на специалистов по кибербезопасности, даже несмотря на дефицит навыков кибербезопасности среди потенциальных сотрудников.

Как выяснили многие рекрутеры, экспертов по кибербезопасности на рынке не так много, чтобы заполнить вакансию. Согласно исследованию 2019 года, проведенному некоммерческой организацией по кибербезопасности (ISC)2, несмотря на то, что в настоящее время на планете насчитывается около 2,8 миллиона специалистов по кибербезопасности, штат сотрудников должен вырасти на ошеломляющие 145 процентов, чтобы удовлетворить глобальный спрос. Это означает, что сегодня на каждые два специалиста по кибербезопасности приходится пять рабочих мест в области кибербезопасности.

И если судить по последним годам, разрыв между вакансиями и талантами увеличивается. Огромность этого разрыва означает, что это останется проблемой в обозримом будущем. Таким образом, компаниям приходится изучать различные стратегии, чтобы обеспечить достаточное количество персонала для своих систем, чтобы избежать, противостоять и/или восстановиться после кибератаки. Вот несколько идей.

1. Переобучить существующий нетехнический персонал

Технический персонал является легкой добычей для обучения кибербезопасности. Однако несколько других ИТ-дисциплин борются с нехваткой кадров. Таким образом, предприятиям было бы полезно выйти за рамки ИТ-персонала и привлечь к кибербезопасности свой нетехнический персонал, который интересуется этой областью.

Конечно, это может означать привлечение кого-то, кто должен был бы пройти обширную подготовку, чтобы стать настолько компетентным в этой роли, насколько это необходимо. Организации будут немного колебаться вкладывать столько средств в техническое обучение, опасаясь, что после этого человек может не остаться там надолго. Тем не менее, это необходимо в качестве временной меры вместо того, чтобы оставлять вакантной позицию в области кибербезопасности, конкурируя за редкие дорогостоящие таланты на рынке.

2. Не ограничивайтесь традиционными ИТ-квалификациями при приеме на работу

Интернет был самой большой силой в демократизации знаний. Некоторые из самых плодовитых хакеров в мире — самоучки. У некоторых людей есть страсть к кибербезопасности. Они читают и практикуются в свободное время. Так что не зацикливайтесь на формальных документах в области ИТ или кибербезопасности во время найма. Ищите людей других профессий, искренне интересующихся кибербезопасностью. Некоторые рассматривают смену карьеры, и это может сработать.

Отличный пример? Британская академия киберпереподготовки, проект правительства Великобритании в партнерстве с Институтом SANS, продемонстрировала, что это действительно возможно. Он включает людей с высокими природными способностями через интенсивную 10-недельную программу, которая помогает им перейти к карьере в области кибербезопасности. Учебная программа направлена на углубление знаний учащихся в области вычислительной техники и принципов безопасности с широким использованием конкурсов, лабораторных работ и других практических методов обучения. Ему удалось превратить бывших психиатров, юристов, парковщиков, журналистов и барменов в кибер-практиков для некоторых из крупнейших мировых организаций, включая Airbus и НАТО.

3. Увеличение бюджета вознаграждения за кибербезопасность

Позиции в области кибербезопасности значительно превосходят имеющиеся таланты. Закон спроса и предложения диктует, что этот дефицит может привести только к войне торгов. Итак, если вы хотите быть организацией, в которой стремятся работать специалисты по кибербезопасности, вы должны быть готовы предложить больше, чем другие работодатели.

Теоретически такой вариант доступен только крупнейшим корпорациям, которые могут позволить себе ежегодно тратить миллионы долларов на вознаграждение сотрудников службы кибербезопасности. Однако в арсенале малого и среднего бизнеса есть и другие инструменты, такие как опционы на акции.

4. Организуйте внутренние соревнования по кибербезопасности

Во время хакатонов по кибербезопасности участники получают возможность продемонстрировать свои навыки проникновения в корпоративные сети, выявления ошибок приложений и разработки элементов управления, предотвращающих кибератаки. В них часто участвуют эксперты по кибербезопасности, привлеченные со всей страны, региона или мира.

Работодателям следует рассмотреть возможность организации собственных внутренних соревнований по кибербезопасности меньшего масштаба, на которых сотрудники, не связанные с ИТ и заинтересованные в кибербезопасности, могут продемонстрировать свои знания и способности в преодолении реальных препятствий кибербезопасности в состязательной, быстро меняющейся среде. Это один из лучших способов найти и начать подготовку нетехнического персонала в области кибербезопасности, который демонстрирует живой интерес и некоторые способности к самообучению.

5. Наладьте отношения с местными педагогами

Скорее всего, сотрудники организации будут в основном из города или штата, в котором она базируется. Таким образом, вместо того, чтобы ждать выпускников компьютерных наук, которые не оправдали ожиданий в области кибербезопасности, работодатели могут действовать более активно, связавшись с местными колледжами и преподавателями. Они могут поделиться своими рекомендациями по обучению практического персонала в области кибербезопасности.

Таким образом, они могут привести кадровый резерв в области кибербезопасности в соответствие с потребностями организации. Это может показаться немного похожим на беготню за местными конкурентами, поскольку нет никакой гарантии, что выпускники этих программ колледжа обязательно будут работать на вас. Однако преимущества участия в подготовке местной рабочей силы, готовой к кибербезопасности, намного перевешивают недостатки.

6. Нанимайте женщин

Как и во многих технических областях, в сфере кибербезопасности преобладают мужчины. Всего четверть специалистов по кибербезопасности — женщины. Это не обязательно потому, что у женщин нет интереса. Во многом это произошло из-за того, что рынок труда по своей природе отдает предпочтение кандидатам-мужчинам. В условиях повышенной срочности преодоления разрыва в навыках кибербезопасности игнорирование половины населения — это подход, который больше не работает.

Организации должны признавать гендерные предубеждения в своих текущих методах найма и поощрять больше женщин-кандидатов на должности в области кибербезопасности. И талант есть. Популярность лагерей кибербезопасности и кодирования для девочек растет. А согласно исследованию «Женщины в рабочей силе в области кибербезопасности» 2019 (ISC)2, женщины находят свой путь к руководящим должностям в области кибербезопасности в большем количестве благодаря своему более высокому уровню образования.

Разрыв в навыках кибербезопасности не является непреодолимым

Глобальный разрыв в навыках кибербезопасности пугает, но не является непреодолимым. Применяя приведенные выше советы в процессе найма, организации могут улучшить свою позицию в области безопасности и помочь устранить пробелы в безопасности.