Неразумните изисквания, ниските заплати и липсата на ангажимент за обучение не позволяват на предприятията да наемат перфектните професионалисти в областта на киберсигурността. И така, наистина ли има „недостиг“ на работна ръка?
Добре оповестените оценки за огромен недостиг на работници в областта на киберсигурността доведоха до големи очаквания сред търсещите работа в тази област, но реалността често не се оправдава поради несъответствие между изискванията на компаниите и уменията на търсещите работа.
Това повдига въпроса: Дали така нареченият недостиг на кибер-служители е реално явление, което ще тормози компаниите през 2024 г.?
От една страна, компаниите съобщават, че срещат трудности при наемането на компетентни специалисти в областта на киберсигурността, като според данни, предоставени от фирмата за анализ на труда Lightcast, има достатъчно работници, които да задоволят само 72% от търсенето – недостиг от близо половин милион работници. Търсещите работа обаче твърдят, че компаниите имат необосновани очаквания за образование, опит и заплащане. Например в по-голямата част от обявите за работа – около 85% – се изисква поне бакалавърска степен по компютърни науки, киберсигурност или друга техническа дисциплина, докато в исторически план само около 60% до 70% от работещите в сферата на киберсигурността имат висше образование.
Резултатът е, че търсещите работа в областта на киберсигурността с подходящо образование, технически умения, пълномощия и професионална мрежа – това, което Lightcast нарича „наемници“ – нямат големи проблеми с наемането на работа, но лъвският пай надежди не намира успех, казва Уил Марков, вицепрезидент на отдела за приложни изследвания на фирмата за трудови данни.
„Съществува разминаване в очакванията, което според мен води до объркване около това дали наистина има недостиг на таланти в областта на киберсигурността“, казва той. „Често виждаме например, че работодателите изискват работници в областта на киберсигурността с минимум три до пет години предишен професионален опит за длъжности, които вероятно могат да бъдат изпълнявани от начинаещ работник.“
Ситуацията кара търсещите работа да се нахвърлят върху компаниите, посочвайки допълнителни проблеми, като например прекалено дълги интервюта и липса на ангажимент за обучение. В поредица от статии в Medium, например, Бен Ротке, мениджър по информационна сигурност от Ню Йорк, се възмущава от твърденията, че има милиони свободни работни места в областта на киберсигурността, които се нуждаят от попълване, а няма работници, които да се присъединят към работната сила.
Най-търсени са техническите отговорности, като управление и осигуряване на инфраструктура за сигурност. Източник: Cyberseek.org
Съществува и въпросът за заплатите на малцината щастливци, които отговарят на корпоративните изисквания.
„Хората, които познавам и които търсят да си намерят позиция, изпитват затруднения, и това са хора с опит“, казва той пред Dark Reading. „Има недостиг, защото добри, високотехнологични хора се намират трудно, но съществува и проблемът, че много компании не искат да плащат за хората; те просто не плащат и бих казал, че това е причината за вероятно половината от проблемите с наемането на работа.“
Един пример: Според Марков от Lightcast много сертификати за киберсигурност изискват минимум пет години предишен професионален опит – например сертификат CISSP – но около 20 % от обявите за работа в областта на киберсигурността, изискващи такива сертификати, са за начални, по-нископлатени длъжности, изискващи по-малко от две години опит.
Несъответствието между работодателите и търсещите работа доведе до това, че експертите по киберсигурност поставиха под въпрос данните.
Макар че недостигът се определя като „липса на предлагане, което да отговаря на търсенето“, и двете величини са много неясни в областта на киберсигурността. За компаниите – страната на търсенето – нуждите от киберсигурност могат да бъдат запълнени със служител на пълен работен ден, услуга на трета страна или потенциално продукт. И както беше обсъдено, предлагането на налични работници зависи от уменията на работниците и изискванията на компаниите.
Поради тези причини е трудно да се прецени настоящата ситуация с работната сила в областта на киберсигурността в САЩ. Понастоящем в Съединените щати има около 1,2 милиона работници в областта на киберсигурността и около 570 000 работни места, свързани с киберсигурността, обявени през последната година, според Cyberseek, информационен сайт, създаден в сътрудничество между Lightcast, сертифициращата организация CompTIA и Националния институт за образование в областта на киберсигурността (NICE) към Националния институт за стандарти и технологии. Lightcast премахва дублирането на работните места в многобройни борси и се опитва да премахне отворените работни места, които никога не се запълват.
Доставчиците на сертификати за киберсигурност ISC2 разполагат с подобни данни, като изчисляват, че в Северна Америка има 1,5 милиона работници в областта на киберсигурността, а недостигът е 522 000 работници, което означава, че 74% от търсенето е задоволено.
Въпреки това, при приблизително 165 милиона работници в САЩ, според Бюрото за трудова статистика на САЩ, това означава, че около един на всеки 140 работници отговаря за киберсигурността като част от своята длъжностна характеристика – число, което звучи високо. В действителност само около 20-40 % от тези 1,2 млн. работници са основни работници в областта на киберсигурността – такива, които имат длъжност, свързана с киберсигурността, казва Марков от Lightcast.
„Това са хора като анализатори по информационна сигурност, архитекти и инженери по киберсигурност и CISO“, казва той. „Но има и нещо, което наричаме работна сила, свързана с киберсигурността, и това обикновено обхваща по-широк набор от ИТ роли – а в някои случаи и роли, които не са свързани с ИТ – които нямат киберсигурност като основна отговорност на работното си място.“
За да разширят предлагането си, компаниите трябва да облекчат изискванията си и да търсят работници, които искат да се учат, а не такива, които вече имат специфични умения или удостоверения, казва Лий Кушнер, бивш специалист по техническа и киберсигурност, който набира персонал повече от две десетилетия. Твърдите технически умения – като кодиране, архитектура, инфраструктура, специфични технологии и разбиране как да ги защитим – продължават да са дефицитни.
„Когато става въпрос за хора със средни умения, хора, които нямат много силен технически опит, хора, които могат да говорят за сигурност, но всъщност не правят нищо – имаме тонове такива хора, а никой не иска да ги наеме“, казва той. „Хора, които наистина разбират сигурността на облаците, сигурността на продуктите; хора, които са наистина силни в това как сигурността работи с инженерните екипи – това е, което наистина липсва.“
Основен проблем е, че възможностите за обучение са недостатъчни и компаниите не искат непременно да инвестират в работниците, за да им дадат нужните умения. Освен това компаниите често търсят еднотипни набори от умения в областта на киберсигурността, като например човек, който владее свободно облачната сигурност, но също така има познания за основния бизнес на компанията (да речем, търговията на дребно), заедно с множество сертификати, десетгодишен опит и способността да бъде „човек на хората“.
Тъй като измерването на свободните работни места в областта на киберсигурността и търсенето изостават от ситуацията на място, неотдавнашното затягане на бюджетите означава, че днес пазарът на труда е по-лош, отколкото преди година.
Високите лихви и инфлацията намалиха бюджетите и сега компаниите започват да мислят повече за съкращаване на отделите си за киберсигурност, въпреки че някои заплахи – като например ransomware – изглежда се увеличават. Преди година, когато все още преобладаваха опасенията от рецесия, само 10% от ръководителите предвиждаха съкращаване на служителите си в областта на киберсигурността. Днес страховете от рецесия може и да намаляват, но почти половината от ръководителите очакват да съкратят служители по сигурността – казва Клар Росо, главен изпълнителен директор на сертифициращата организация ISC2.
„Каква е основната причина? Лесният отговор е, че натискът върху крайните резултати е много по-силен, отколкото си представяха ръководителите, които анкетирахме по-рано през годината“, казва той. „По-сериозната причина може би е, че независимо от това, което казват ръководителите, все още имаме работа, за да им помогнем да разберат стратегическата стойност, която киберсигурността играе в техния бизнес, и какво е изложено на риск, когато намаляват ресурсите за киберсигурност.“
И все пак, макар киберсигурността често да е нещо, без което компаниите се опитват да минат, реалният свят винаги ще им напомня, че се нуждаят от нея, казва Марков от Lightcast.
„Продължава да нараства геополитическото напрежение и несигурността в целия свят, а това, което сме наблюдавали в исторически план, е, че когато има нарастване на геополитическото напрежение, се увеличава търсенето на работници в областта на киберсигурността в резултат на повишените заплахи в целия свят“, казва той.
Той допълва, че между по-голямата вероятност за меко икономическо приземяване през 2024 г. и постоянно нарастващия пейзаж от заплахи търсенето на работници по киберсигурност може да продължи да бъде силно и през 2024 г.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.