Дефицитът на таланти в ИТ сигурността се влошава

Около половината от професионалистите в ИТ защитата се готвят да напуснат настоящата си работа в рамките на година (снимка: CC0 Public Domain)

Недостигът на специалисти с умения в сферата на киберсигурността продължава и дори се влошава. Многогодишната тенденция не само не забавя темп, но се ускорява заради комбинацията от дефицит на експерти, претоварването и прегарянето плюс все по-агресивните атаки, водещи до все по-големи щети за организациите.

71% от професионалистите в областта на сигурността казват, че организацията им е била засегната от глобалния недостиг на умения за кибер-сигурност – в сравнение с 57% през 2021 г. Какъв тип въздействие? От тези, които съобщават, че тяхната организация е била засегната:

• 61% твърдят, че недостигът на умения е довел до увеличаване на натоварването на съществуващия екип. Какво се получава – искаме от преуморените служители да правят още повече. До какво може да доведе това?
• 49% твърдят, че заради недостига на умения новите работни места да остават отворени седмици или месеци наред. Това е особено болезнено за по-малките организации, тези в отдалечени райони и тези в публичния сектор, но дори големите и добре обезпечени организации съобщават за трудности при попълване на позициите в ИТ сигурността.
• 43% твърдят, че недостигът на умения е довел до висок процент на прегаряне и/или отпадналост сред служителите по кибер-сигурност. Получава се омагьосан кръг. Организациите страдат от недостиг на служители или им липсват критични умения. Така те карат съществуващите служители да правят повече с по-малко. Служителите прегарят и най-сетне тръгват да търсят по-спокойна работа другаде, опразвайки съществуващите позиции, които остават незаети дълго и съответно водят до още повече работа за съществуващия екип. Порочна спирала.
• 39% твърдят, че недостигът на умения е довел до невъзможност за изучаване или използване на технологиите за сигурност в пълния им потенциал. Това също е омагьосан кръг. Специалистите нямат време за самоусъвършенстване, организациите харчат още повече за технически средства за сигурност, но екипите научават само основите и в крайна сметка фирмите остават изложени на риск.
• 39% твърдят, че недостигът на умения е накарал техните организации да наемат и обучават младши служители, а не опитни кандидати. Тази стратегия е подходяща, ако инвестирате разумно в програми за стаж и обучение, за да създадете център за върхови постижения в кибер-сигурността. Но на практика това не се случва в повечето организации. А когато обучението е некачествено или липсва, младшите служители бързо ще се окажат претоварени.

Перспективите са нерадостни. 66% от съществуващите експерти по кибер-сигурност смятат, че работата им е станала по-трудна през последните 2 години, като 27% заявяват, че е „много по-трудна“. Претоварването, недостигът на кадри и бюджетните дефицити, съчетани с външни проблеми като все по-висококачествените атаки и предизвикателствата за спазване на нормативните изисквания правят професията все по-жестока.

Неудовлетворение

Какво се получава? Повечето специалисти по кибер-сигурност вече не са щастливи от избора си на кариерен път. По-малко от половината професионалисти по сигурността могат да кажат, че са „много доволни“ от текущата си работа. В същото време 50% от професионалистите твърдят, че вероятно ще напуснат настоящата си работа в рамките на година.

Порочната спирала се завърта още повече. Неудовлетворението подтиква мнозина да напуснат, но свежите попълнения са недостатъчно. Много от тях са и недобре подготвени за това, което ги очаква.

Спасителни стъпки

Има ли изход? 60% от анкетираните вярват, че тяхната организация може да направи повече, за да смекчи недостига на умения. 36% дори заявяват, че работодателите им биха могли да направят „много повече“.

Анкетираните казват, че техните организации биха могли да увеличат професионалните компенсации в сферата на сигурността, да осигурят усъвършенствани непарични стимули, да образоват професионалистите по човешки ресурси и специалистите по подбор на персонал. Освен това организациите биха могли да увеличат ангажимента си към обучение по кибер-сигурност, за да се справят по-добре с продължаващия недостиг на умения.

Това не е всичко. Действащите експерти по киберзащита смятат, че техните организации следва да вложат повече усилия в подобряване на цялостната култура относно кибер-сигурността за всички служители в организацията. Други спасителни мерки в обозримо бъдеще са наемането на повече служители, увеличаването на бюджета за е-защита и подобряването на основната хигиена на сигурността.

За по-голямата част от организациите кибер-сигурността продължава да се третира като извор на разходи или просто задължение за спазване на правилата – а на нея трябва да се гледа като на стратегическо средство за подпомагане на бизнеса и като двигател на растежа, коментират от ISSA International (Асоциация за защита на информационните системи) – организацията, провела проучването съвместно с Enterprise Strategy Group (ESG).