Търсене
Close this search box.

Работа в киберсигурността през 2024 г: Високите очаквания провалят бизнеса и търсещите работа

Неразумните изисквания, ниските заплати и липсата на ангажимент за обучение не позволяват на предприятията да  наемат перфектните професионалисти в областта на киберсигурността. И така, наистина ли има „недостиг“ на работна ръка?

Добре оповестените оценки за огромен недостиг на работници в областта на киберсигурността доведоха до големи очаквания сред търсещите работа в тази област, но реалността често не се оправдава поради несъответствие между изискванията на компаниите и уменията на търсещите работа.

Това повдига въпроса: Дали така нареченият недостиг на кибер-служители е реално явление, което ще тормози компаниите през 2024 г.?

От една страна, компаниите съобщават, че срещат трудности при наемането на компетентни специалисти в областта на киберсигурността, като според данни, предоставени от фирмата за анализ на труда Lightcast, има достатъчно работници, които да задоволят само 72% от търсенето – недостиг от близо половин милион работници. Търсещите работа обаче твърдят, че компаниите имат необосновани очаквания за образование, опит и заплащане. Например в по-голямата част от обявите за работа – около 85% – се изисква поне бакалавърска степен по компютърни науки, киберсигурност или друга техническа дисциплина, докато в исторически план само около 60% до 70% от работещите в сферата на киберсигурността имат висше образование.

Резултатът е, че търсещите работа в областта на киберсигурността с подходящо образование, технически умения, пълномощия и професионална мрежа – това, което Lightcast нарича „наемници“ – нямат големи проблеми с наемането на работа, но лъвският пай надежди не намира успех, казва Уил Марков, вицепрезидент на отдела за приложни изследвания на фирмата за трудови данни.

„Съществува разминаване в очакванията, което според мен води до объркване около това дали наистина има недостиг на таланти в областта на киберсигурността“, казва той. „Често виждаме например, че работодателите изискват работници в областта на киберсигурността с минимум три до пет години предишен професионален опит за длъжности, които вероятно могат да бъдат изпълнявани от начинаещ работник.“

Ситуацията кара търсещите работа да се нахвърлят върху компаниите, посочвайки допълнителни проблеми, като например прекалено дълги интервюта и липса на ангажимент за обучение. В поредица от статии в Medium, например, Бен Ротке, мениджър по информационна сигурност от Ню Йорк, се възмущава от твърденията, че има милиони свободни работни места в областта на киберсигурността, които се нуждаят от попълване, а няма работници, които да се присъединят към работната сила.

Area chart of job responsibilities in demand

Най-търсени са техническите отговорности, като управление и осигуряване на инфраструктура за сигурност. Източник: Cyberseek.org

Съществува и въпросът за заплатите на малцината щастливци, които отговарят на корпоративните изисквания.

„Хората, които познавам и които търсят да си намерят позиция, изпитват затруднения, и това са хора с опит“, казва той пред Dark Reading. „Има недостиг, защото добри, високотехнологични хора се намират трудно, но съществува и проблемът, че много компании не искат да плащат за хората; те просто не плащат и бих казал, че това е причината за вероятно половината от проблемите с наемането на работа.“

Един пример: Според Марков от Lightcast много сертификати за киберсигурност изискват минимум пет години предишен професионален опит – например сертификат CISSP – но около 20 % от обявите за работа в областта на киберсигурността, изискващи такива сертификати, са за начални, по-нископлатени длъжности, изискващи по-малко от две години опит.

Какво представлява недостигът?

Несъответствието между работодателите и търсещите работа доведе до това, че експертите по киберсигурност поставиха под въпрос данните.

Макар че недостигът се определя като „липса на предлагане, което да отговаря на търсенето“, и двете величини са много неясни в областта на киберсигурността. За компаниите – страната на търсенето – нуждите от киберсигурност могат да бъдат запълнени със служител на пълен работен ден, услуга на трета страна или потенциално продукт. И както беше обсъдено, предлагането на налични работници зависи от уменията на работниците и изискванията на компаниите.

Поради тези причини е трудно да се прецени настоящата ситуация с работната сила в областта на киберсигурността в САЩ. Понастоящем в Съединените щати има около 1,2 милиона работници в областта на киберсигурността и около 570 000 работни места, свързани с киберсигурността, обявени през последната година, според Cyberseek, информационен сайт, създаден в сътрудничество между Lightcast, сертифициращата организация CompTIA и Националния институт за образование в областта на киберсигурността (NICE) към Националния институт за стандарти и технологии. Lightcast премахва дублирането на работните места в многобройни борси и се опитва да премахне отворените работни места, които никога не се запълват.

Доставчиците на сертификати за киберсигурност ISC2 разполагат с подобни данни, като изчисляват, че в Северна Америка има 1,5 милиона работници в областта на киберсигурността, а недостигът е 522 000 работници, което означава, че 74% от търсенето е задоволено.

Въпреки това, при приблизително 165 милиона работници в САЩ, според Бюрото за трудова статистика на САЩ, това означава, че около един на всеки 140 работници отговаря за киберсигурността като част от своята длъжностна характеристика – число, което звучи високо. В действителност само около 20-40 % от тези 1,2 млн. работници са основни работници в областта на киберсигурността – такива, които имат длъжност, свързана с киберсигурността, казва Марков от Lightcast.

„Това са хора като анализатори по информационна сигурност, архитекти и инженери по киберсигурност и CISO“, казва той. „Но има и нещо, което наричаме работна сила, свързана с киберсигурността, и това обикновено обхваща по-широк набор от ИТ роли – а в някои случаи и роли, които не са свързани с ИТ – които нямат киберсигурност като основна отговорност на работното си място.“

Търсене на диаманти в суровата среда

За да разширят предлагането си, компаниите трябва да облекчат изискванията си и да търсят работници, които искат да се учат, а не такива, които вече имат специфични умения или удостоверения, казва Лий Кушнер, бивш специалист по техническа и киберсигурност, който набира персонал повече от две десетилетия. Твърдите технически умения – като кодиране, архитектура, инфраструктура, специфични технологии и разбиране как да ги защитим – продължават да са дефицитни.

„Когато става въпрос за хора със средни умения, хора, които нямат много силен технически опит, хора, които могат да говорят за сигурност, но всъщност не правят нищо – имаме тонове такива хора, а никой не иска да ги наеме“, казва той. „Хора, които наистина разбират сигурността на облаците, сигурността на продуктите; хора, които са наистина силни в това как сигурността работи с инженерните екипи – това е, което наистина липсва.“

Основен проблем е, че възможностите за обучение са недостатъчни и компаниите не искат непременно да инвестират в работниците, за да им дадат нужните умения. Освен това компаниите често търсят еднотипни набори от умения в областта на киберсигурността, като например човек, който владее свободно облачната сигурност, но също така има познания за основния бизнес на компанията (да речем, търговията на дребно), заедно с множество сертификати, десетгодишен опит и способността да бъде „човек на хората“.

През 2024 г. очаквайте търсенето да намалее – може би

Тъй като измерването на свободните работни места в областта на киберсигурността и търсенето изостават от ситуацията на място, неотдавнашното затягане на бюджетите означава, че днес пазарът на труда е по-лош, отколкото преди година.

Високите лихви и инфлацията намалиха бюджетите и сега компаниите започват да мислят повече за съкращаване на отделите си за киберсигурност, въпреки че някои заплахи – като например ransomware – изглежда се увеличават. Преди година, когато все още преобладаваха опасенията от рецесия, само 10% от ръководителите предвиждаха съкращаване на служителите си в областта на киберсигурността. Днес страховете от рецесия може и да намаляват, но почти половината от ръководителите очакват да съкратят служители по сигурността – казва Клар Росо, главен изпълнителен директор на сертифициращата организация ISC2.

„Каква е основната причина? Лесният отговор е, че натискът върху крайните резултати е много по-силен, отколкото си представяха ръководителите, които анкетирахме по-рано през годината“, казва той. „По-сериозната причина може би е, че независимо от това, което казват ръководителите, все още имаме работа, за да им помогнем да разберат стратегическата стойност, която киберсигурността играе в техния бизнес, и какво е изложено на риск, когато намаляват ресурсите за киберсигурност.“

И все пак, макар киберсигурността често да е нещо, без което компаниите се опитват да минат, реалният свят винаги ще им напомня, че се нуждаят от нея, казва Марков от Lightcast.

„Продължава да нараства геополитическото напрежение и несигурността в целия свят, а това, което сме наблюдавали в исторически план, е, че когато има нарастване на геополитическото напрежение, се увеличава търсенето на работници в областта на киберсигурността в резултат на повишените заплахи в целия свят“, казва той.

Той допълва, че между по-голямата вероятност за меко икономическо приземяване през 2024 г. и постоянно нарастващия пейзаж от заплахи търсенето на работници по киберсигурност може да продължи да бъде силно и през 2024 г.

 

 

 

Източник: DARKReading

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
Бъдете социални
Още по темата
12/04/2024

Oracle увеличава усилията с...

Техническият директор и председател на Oracle...
09/04/2024

Спад на атаките с рансъмуер...

През 2023 г. секторът на ransomware...
25/03/2024

ООН прие резолюция за гара...

В четвъртък Общото събрание одобри първата...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!