آیا بارمن ها می توانند شکاف مهارت های فنی در امنیت سایبری را پر کنند؟
با وجود اخراج های اخیر در صنعت فناوری، تقاضا برای متخصصان امنیت سایبری همچنان بالاست اما برآورده نشده است. با وجود این همه کارمند فناوری که به دنبال شغل بعدی خود هستند، چرا این کارگران آواره استخدام نمی شوند؟
پاسخ ممکن است با تطبیق بهتر نامزدهای کمتر احتمالی برای بازآموزی به عنوان تکنسین های امنیت سایبری پیدا شود. تقاضا برای کارگران سایبری در سال 2022 25 درصد افزایش یافته است و نظرات زیادی در مورد نیاز به استخدام استعدادهای امنیت سایبری از پیشینه های غیر سنتی مانند بارمن ها یا معلمان وجود دارد.
بر اساس دادههای منتشر شده در اواخر ژانویه توسط سایت تجزیه و تحلیل نیروی کار امنیت سایبری، که با مشارکت ابتکار آموزش امنیت سایبری ملی در NIST، CompTIA و Lightcast توسعه یافته است، تعداد کل کارکنان امنیت سایبری که در سال 2022 به کار گرفته شدهاند تقریباً ثابت مانده است. حدود 1.1 میلیون نفر. تعداد آگهی های استخدام آنلاین از 769736 به 755743 در 12 ماه منتهی به دسامبر 2022 کاهش یافته است.
علیرغم نگرانیها در مورد کند شدن اقتصاد، تقاضا برای کارگران امنیت سایبری همچنان بالاست. ویل مارکو، معاون تحقیقات استعدادهای کاربردی Lightcast گفت: “شرکت ها می دانند که جرایم سایبری با رکود بازار متوقف نمی شود، بنابراین کارفرمایان نمی توانند از استخدام در امنیت سایبری خودداری کنند.”
طبق داده های Lightcast، هر یک از 9 ماه اول سال 2022 رکورد بیشترین تقاضای ماهانه برای امنیت سایبری از سال 2012 را به ثبت رساندند، اما در ماه های نوامبر و دسامبر کاهش یافتند. یک شاخص کلیدی نسبت کارگران امنیت سایبری در حال حاضر به مشاغل جدید است که نشان می دهد کمبود کارگر چقدر قابل توجه است.
نسبت عرضه به تقاضا در حال حاضر 68 کارگر به ازای هر 100 شغل است که نسبت به دوره قبل 65 کارگر به ازای هر 100 شغل افزایش یافته است. بر اساس این اعداد، نزدیک به 530000 کارمند امنیت سایبری بیشتر در ایالات متحده برای پر کردن شکاف های عرضه فعلی مورد نیاز است.
برخی از محققان صنعت پیشنهاد میکنند که استخدام استعدادهای امنیت سایبری از پیشینههای غیر سنتی، مانند بارمنها یا معلمان، یک راهحل ایدهآل است.
یک ایده غیر واقعی با توجه به موانع فنی
سایر متخصصان سایبری استدلال می کنند که چنین راه حلی منعکس کننده واقعیت صنعت نیست. مهمتر از همه، موانع ورود بسیار زیاد است و بسیاری از سازمانها هنوز از روشهای استخدام قدیمی استفاده میکنند، مانند نیاز به گواهینامههایی که دریافت آنها بدون تجربه کاری غیرممکن است.
Lenny Seltzer، CISO در شرکت مدیریت دارایی امنیت سایبری Axonius و مدرس آموزش امنیت سایبری، گواهینامه و موسسه تحقیقاتی SANS، همچنین تعجب آور میبیند که به نظر میرسد هیچکس درباره سختی بالا رفتن در سلسله مراتب صحبت نمیکند. در وهله اول در موقعیت سایبری قرار گیرد.
راهنمایی در مورد چگونگی انتقال از یک متخصص سایبری به افسر ارشد امنیت اطلاعات یا CISO وجود ندارد. او استدلال کرد که بسیاری از سازمانها فاقد استانداردها و ساختاری برای نحوه پرداخت به متخصصان سایبری هستند و بسیاری از کارمندان میدانند که تنها راه پیشرفت، نقل مکان به شرکتهای دیگر است.
سلتزر گفت که مردم مکالمه را از جای اشتباهی شروع می کنند. قبل از اینکه صنعت سایبری بتواند شکاف مهارتی خود را پر کند، شرکتها ابتدا باید به آنچه که او «شکاف شغلی امنیت سایبری» مینامد رسیدگی کنند.
او گفت که یادگیری مهارت های امنیت کامپیوتر مشکل اصلی نیست. فرصت های زیادی برای افراد با انگیزه برای کسب مهارت های لازم وجود دارد. مشکل انتظارات از مهارت های مورد نیاز است.
من معتقدم فرصت های زیادی برای افراد وجود دارد تا مهارت های امنیتی را کسب کنند. سلتزر به دیجیتال تو گفت.
“شاید ما انتظارات غیر واقعی از کسی که به دنبالش هستیم داریم.”
نامزدهای ایده آل را فراموش کنید
او خاطرنشان کرد شاید موقعیت معمولی تک شاخ، که در آن شرکتها یک متخصص امنیتی میخواهند که بتواند همه کارها را انجام دهد، مقصر باشد. این چنین زمینه تخصصی است که شامل زیر مجموعه های تخصصی بسیاری است و متخصص بودن در همه چیز در امنیت سایبری دشوار است.
سلتزر گفت: “ما به اندازه کافی برای افرادی که با پیشینه غیر فنی غیرمعمول وارد میدان می شوند، باز نیستیم.”
او از نقش های قبلی خود در صنعت مثال زد. مدیران استخدامی با تنوع کمی از کارمندانشان می خواهند که X، Y و Z را انجام دهند. اگر این توانایی ها را در رزومه نمی بینید، متقاضیان شغل در گروه بدون مهارت قرار می گیرند.
راه حل چیست؟ کاندیداهای سایبری را با برخی از مهارت ها دریافت کنید و آنها را برای سایرین آموزش دهید.
سلتزر به یاد می آورد که می خواست چندین کارشناس امنیتی را برای ارائه پشتیبانی از مشتری استخدام کند. این شرکت به افراد امنیتی سطح پایه نیاز داشت، اما نتوانست آنها را پیدا کند.
کاری که این شرکت در نهایت با موفقیت بزرگی انجام داد، استخدام بارمن های متبحر در زمینه فناوری بود که به رایانه علاقه داشتند و می توانستند Wi-Fi خود را راه اندازی کنند. او توضیح داد، اما آنها این کار را فقط در خانه انجام دادند.
ما متوجه شدیم که میتوانیم مهارتهای امنیتی مناسب را در دفتر آموزش دهیم. اما چیزی که ما مجبور به آموزش آنها نبودهایم، و آموزش آنها بسیار دشوار است، این است که چگونه چند کار را انجام دهند و چگونه روی پای خود فکر کنند و با مردم تعامل کنند. به نظر می رسد بارمن ها در این کار واقعاً خوب هستند.
شما به یک نتیجه مثبت نیاز دارید
سلتزر فرصت های زیادی پیدا کرد که در آن می توانست بازتر باشد و این یک ضرورت شد. بازتر بودن به این معناست که طرز فکر خود را تغییر دهید تا افرادی را با زمینههای غیر فنی و غیر متعارف بپذیرید.»
من از ما در صنعت میخواهم که به مردم بگوییم اگر به عنوان یک متخصص امنیتی وارد این حوزه شوند، چیزی که باید برای آن تلاش کنند اوج حرفه امنیت سایبری است که نقش CISO است. مسئله این است که این نقش ها به اندازه کافی وجود ندارد.”
به گفته سلتزر، این صنعت به اندازه دیگر انواع متخصصان امنیتی به افسران ارشد امنیتی نیاز ندارد، که این امر افراد را در معرض شکست قرار می دهد.
ما به آنها می گوییم که برای آن تلاش کنند و موفقیت را اینگونه تعریف می کنیم. اما در عوض میتوانیم در مورد راههای دیگری صحبت کنیم که افراد میتوانند موفق شوند، زیرا نه همه باید مدیر عامل باشند، نه همه باید مدیر مردم باشند.»
شکاف مهارتی با شکاف امنیتی روبرو می شود
حتی با وجود کمبود کارکنان آموزش دیده امنیت سایبری، بسیاری از سازمان ها در مسیر درستی برای ایمن سازی و کاهش خطرات سایبری برای کسب و کار خود هستند. به گفته جوزف کارسون، دانشمند ارشد امنیت و مشاور CISO در Delinea، چالش این است که هنوز حفرههای امنیتی بزرگی وجود دارد که مهاجمان از آنها سوء استفاده کنند.
او به دیجیتال تو گفت: «شکاف امنیتی نه تنها بین مشاغل و مهاجمان، بلکه بین رهبران فناوری اطلاعات و مدیران تجاری نیز در حال افزایش است.
کارسون موافقت کرد که برخی از صنایع در حال بهبود هستند. اما مشکل همچنان وجود دارد.
او هشدار داد: «تا زمانی که چالش چگونگی انتقال اهمیت امنیت سایبری به هیئت اجرایی و کسبوکار را حل نکنیم، رهبران فناوری اطلاعات برای به دست آوردن منابع و بودجه مورد نیاز برای پر کردن شکاف امنیتی به مبارزه ادامه خواهند داد».
یک شغل بهتر مورد نیاز است
سازمان ها باید به گسترش استخر استخدام خود ادامه دهند، سوگیری هایی را که ممکن است در حال حاضر در استخدام سایبری وجود داشته باشد، در نظر بگیرند و آموزش های عمیق را از طریق کارآموزی، کارآموزی و آموزش در حین کار ارائه دهند. دیو گری، مدیر عامل پلتفرم امنیت سایبری Bugcrowd، پیشنهاد می کند که این به ایجاد نسل بعدی استعدادهای سایبری کمک می کند.
او به دیجیتال تو گفت: «با ایجاد فرصتهایی برای رشد شغلی و حمایت از ماموریتی برای کمک به مشتریان، مشتریان و جامعه دیجیتالی گستردهتر در برابر حملات سایبری، کارکنان احساس قدرت میکنند تا خود و جامعه گستردهتر را بهبود بخشند».
گری افزود که سالها به این باور رسیدهایم که شکاف قابل توجهی بین تعداد مشاغل آزاد و نامزدهای واجد شرایط برای پر کردن آن مشاغل وجود دارد. اگرچه این تا حدی درست است، اما تصویر دقیقی از وضعیت فعلی بازار ارائه نمی دهد.
او گفت: «کارفرمایان باید رویکرد فعالتری برای جذب نیرو از سوابق غیرسنتی داشته باشند، که به نوبه خود تعداد متقاضیان را از افراد دارای مدرک رسمی به افرادی که با آموزش صحیح، پتانسیل فوقالعاده بالایی دارند، افزایش میدهد.
شاید جایگزین بهتری باشد
انتشار اخیر استراتژی ملی امنیت سایبری تقاضای بیشتری نسبت به عرضه ایجاد خواهد کرد. گیوم راس، معاون CISO در شرکت مدیریت دارایی سایبری JupiterOne پیش بینی می کند که این می تواند فرآیندهای مقیاس بزرگ را کند کند.
اولویت بندی و کاهش سطح حمله تا حد امکان ضروری خواهد بود. علاوه بر این، اقدامات امنیتی باید تضمین کند که توسعه دهندگان، IT و حتی افراد مدیریت کسب و کار/فرآیند امنیت را در کار روزانه خود ادغام می کنند.
راس در پاسخ به دیجیتال تو گفت: «بهبود مهارتهای امنیتی یک میلیون توسعهدهنده و کارمند فناوری اطلاعات تأثیر بسیار بهتری نسبت به آموزش یک میلیون «افراد امنیتی» جدید از ابتدا خواهد داشت.
راه حل جهانی به طور کلی
کمبود مهارت و امنیت سایبری فقط برای صنعت آمریکا مشکل نیست. راوی پاتابی، معاون امنیت ابری در ColorTokens، یک شرکت مستقل راه حل های امنیت سایبری بدون اعتماد، خاطرنشان کرد: کمبود شدید کارشناسان ماهر امنیت سایبری در سطح جهانی بسیار شدید است.
برخی از دانشگاه ها شروع به آموزش برخی از مهارت های اولیه امنیت سایبری به دانشجویان کرده اند، مانند مدیریت آسیب پذیری و تقویت امنیت سیستم ها. در همین حال، امنیت سایبری در حال تغییر است.
این صنعت به طور فزاینده ای امنیت سایبری را در مرحله طراحی و ایجاد آن در توسعه محصول، یکپارچه سازی کد و استقرار می کند. این بدان معناست که توسعهدهندگان نرمافزار احتمالاً به مهارتهای اساسی امنیت سایبری از جمله چارچوب حمله Mitre و استفاده از ابزارهای تست قلم نیز نیاز دارند.