آیا بارمن ها می توانند شکاف مهارت های فنی در امنیت سایبری را برطرف کنند؟
آیا بارمن ها می توانند شکاف مهارت های فنی در امنیت سایبری را برطرف کنند؟
علیرغم اخراجهای اخیر در صنعت پرطرفدار فناوری، متخصصان امنیت سایبری هنوز تقاضای زیادی دارند اما خالی هستند. با وجود تعداد زیادی از افراد در صنعت فناوری که به دنبال شغل بعدی خود هستند، چرا این کارگران آواره را استخدام نکنید؟
پاسخ را می توان با تطبیق بهتر کاندیداهایی که کمتر احتمال دارد به عنوان فناوری امنیت سایبری بازآموزی شوند پیدا کرد. تقاضا برای کارگران سایبری در سال 2022 25 درصد افزایش یافته است و نظرات زیادی در مورد نیاز به استخدام استعدادهای امنیت سایبری از پیشینه های غیر سنتی مانند بارمن ها یا معلمان مدرسه وجود دارد.
بر اساس دادههای منتشر شده در اواخر ژانویه از یک وبسایت تجزیه و تحلیل نیروی کار امنیت سایبری که با مشارکت ابتکار آموزش امنیت سایبری ملی در NIST، CompTIA و Lightcast توسعه یافته است، تعداد کل کارکنان امنیت سایبری در سال 2022 تقریباً ثابت باقی مانده است و حدود 1.1 میلیون نفر است. در دوازده ماه منتهی به دسامبر 2022 تعداد آگهیهای شغلی آنلاین از 769736 به 755743 کاهش یافت.
علیرغم نگرانی ها در مورد کند شدن اقتصاد، تقاضا برای متخصصان امنیت سایبری همچنان بالاست. ویل مارکو، معاون Lightcast Research-Talent Will Markow گفت: شرکت ها می دانند که جرایم سایبری به دلیل رکود بازار متوقف نمی شود، بنابراین کارفرمایان نمی توانند استخدام آنها را در امنیت سایبری متوقف کنند.
طبق داده های Lightcast، هر یک از 9 ماه اول سال 2022 رکورد بیشترین تقاضای ماهانه برای امنیت سایبری از سال 2012 را به ثبت رساندند، اما در ماه های نوامبر و دسامبر کاهش یافت. شاخص اصلی نسبت کارگران امنیت سایبری است که در حال حاضر استخدام شده اند به مشاغل جدید که نشان می دهد کمبود کارگر چقدر قابل توجه است.
نسبت عرضه و تقاضا در حال حاضر 68 کارگر به ازای هر 100 فرصت شغلی است که بیشتر از نسبت دوره قبلی 65 کارگر به ازای هر 100 فرصت شغلی است. بر اساس این اعداد، تقریباً 530000 کارمند امنیت سایبری اضافی در ایالات متحده برای پر کردن شکافهای عرضه موجود مورد نیاز است.
برخی از محققان صنعت پیشنهاد می کنند که استخدام استعدادهای امنیت سایبری از پیشینه های غیر سنتی، مانند بارمن ها یا معلمان مدرسه، یک راه حل ایده آل است.
یک ایده غیر واقعی به دلیل موانع فنی
سایر متخصصان الکترونیک معتقدند که چنین راه حلی با واقعیت های صنعت مطابقت ندارد. اساساً، موانع ورود هنوز بسیار زیاد است، زیرا بسیاری از سازمانها هنوز از روشهای استخدام منسوخ استفاده میکنند، مانند نیاز به گواهینامههایی که دریافت آنها بدون تجربه کاری غیرممکن است.
Lenny Zeltser، CISO در شرکت مدیریت دارایی امنیت سایبری Axonius، و مدرس در آموزش، صدور گواهینامه و تحقیقات امنیت سایبری موسسه SANS، همچنین تعجب آور میبیند که به نظر نمیرسد کسی در مورد سختی بالا رفتن سلسله مراتب صحبت کند. در وهله اول در موقعیت سایبری قرار گیرد.
راهنمایی در مورد چگونگی رفتن از یک متخصص اینترنت به مدیر ارشد امنیت اطلاعات یا CISO وجود ندارد. بسیاری از سازمانها فاقد استانداردها و ساختاری در مورد نحوه پرداخت به پزشکان سایبری هستند و بسیاری از کارمندان میدانند که تنها راه انتقال، انتقال به شرکتهای دیگر است.
زلتسر نشان داد که مردم به سادگی مکالمه را در مکان اشتباه شروع می کنند. شرکتها باید ابتدا آنچه را که او «شکاف مشاغل امنیت سایبری» میخواند، پیش از آنکه صنعت اینترنت شروع به رفع شکاف مهارتی کند، بپردازند.
او گفت که یادگیری مهارت های امنیت کامپیوتر موضوع اصلی نیست. راه های زیادی برای افراد با انگیزه برای کسب مهارت های مورد نیاز وجود دارد. مشکل انتظارات مهارت های مورد نیاز است.
زلتسر به TechNewsWorld گفت: “من فکر می کنم فرصت های زیادی برای افراد وجود دارد تا مهارت های امنیتی را کسب کنند. و این باعث می شود فکر کنم شاید چیز دیگری در آن وجود داشته باشد.”
“شاید ما انتظارات غیر واقعی از کسی که به دنبالش هستیم داریم.”
نامزدهای کامل را فراموش کنید
او پیشنهاد کرد که شاید مقصر وضعیت تک شاخ معمولی باشد که در آن شرکت ها یک متخصص امنیتی می خواهند که بتواند همه این کارها را انجام دهد. این یک زمینه تخصصی با زیرمجموعه های مختلف است، و متخصص بودن در همه چیز امنیت سایبری سخت است.
زلتسر می گوید: «ما به اندازه کافی برای افرادی که با پیشینه غیر فنی غیرمعمول وارد میدان می شوند، باز نیستیم.
نمونه ای از نقش های قبلی او در صنعت ارائه دهید. مدیران استخدام با کمی تفاوت می خواهند که کارمندانشان X، Y و Z را انجام دهند. مشاهده نکردن این توانایی ها در رزومه، متقاضیان شغل را در دسته شکاف مهارت ها قرار می دهد.
راه حل چیست؟ متقاضیان را با برخی از مهارت ها آنلاین کنید و برای بقیه آنها را آموزش دهید.
زلتسر خاطرنشان کرد که او به دنبال چند متخصص امنیتی است که پشتیبانی مشتری را ارائه دهند. این شرکت به پرسنل امنیتی سطح ورودی نیاز داشت اما نتوانست آنها را پیدا کند.
کاری که این شرکت در نهایت انجام داد و به موفقیت های زیادی دست یافت، استخدام بارمن های متبحر در زمینه فناوری بود که به رایانه علاقه داشتند و می توانستند شبکه Wi-Fi خود را بسازند. او توضیح داد که آنها این کار را فقط در خانه انجام می دهند.
ما متوجه شدیم که میتوانیم مهارتهای امنیتی مناسب را در دفتر به آنها آموزش دهیم. اما چیزی که نیازی به آموزش آنها نداشتیم و آموزش آنها سخت است این است که چگونه چند کار را انجام دهند و چگونه روی پای خود فکر کنند و با آنها تعامل داشته باشند. زلتسر گفت که ساقیها واقعاً در این کار خوب هستند.
شما نیاز به یک نتیجه نهایی مثبت دارید
زلتسر گزینههای زیادی پیدا کرد که در آنها میتوانست بازتر باشد، و این به یک ضرورت تبدیل شد. برون گراتر بودن به این معناست که طرز فکر خود را برای پذیرش افرادی با زمینه های غیر فنی و غیر سنتی تغییر دهید.
“من از ما در صنعت می خواهم که به مردم بگوییم که اگر آنها به عنوان یک متخصص امنیت وارد این عرصه شوند، آنچه باید برای آن تلاش کنند اوج حرفه در امنیت سایبری است که نقش یک افسر امنیت سایبری است. این نقش ها کافی نیست.»
به گفته زلتسر، این صنعت به اندازه دیگر انواع متخصصان امنیتی به مدیران امنیتی نیاز ندارد، که این امر افراد را در معرض شکست قرار می دهد.
ما از آنها میخواهیم که در این راستا تلاش کنند، و موفقیت را اینگونه تعریف میکنیم. اما در عوض، میتوانیم در مورد راههای دیگری که افراد میتوانند موفق شوند صحبت کنیم، زیرا همه نباید یک مدیر باشند، نه همه باید یک مدیر مردمی باشند.»
شکاف مهارتی با شکاف امنیتی روبرو می شود
حتی با کمبود کارکنان آموزشدیده امنیت سایبری، بسیاری از سازمانها در مسیر امنیت و کاهش خطرات سایبری کسبوکار خود هستند. به گفته جوزف کارسون، دانشمند ارشد امنیتی و مشاور CISO در Delinea، چالش این است که حفره های امنیتی قابل توجهی برای سوء استفاده مهاجمان وجود دارد.
او به TechNewsWorld گفت: «شکاف امنیتی نه تنها بین تجارت و مهاجمان، بلکه شکاف امنیتی بین رهبران فناوری اطلاعات و مدیران تجاری نیز در حال افزایش است.
کارسون موافقت کرد که برخی از صنایع در حال بهبود هستند. اما موضوع همچنان پابرجاست.
او هشدار داد: «تا زمانی که چالش چگونگی انتقال اهمیت امنیت سایبری به هیئت اجرایی و مشاغل را حل نکنیم، رهبران فناوری اطلاعات برای به دست آوردن منابع و بودجه مورد نیاز برای رفع شکاف امنیتی به مبارزه ادامه خواهند داد.»
یک مسیر شغلی بهتر مورد نیاز است
سازمان ها باید به گسترش استخر استخدام خود ادامه دهند، سوگیری هایی را که در حال حاضر در استخدام آنلاین وجود دارد را در نظر بگیرند و آموزش های عمیق را از طریق کارآموزی، کارآموزی و آموزش در حین کار ارائه دهند. این به ایجاد نسل بعدی استعدادهای سایبری کمک می کند، همانطور که توسط Dave Geary، مدیر عامل پلت فرم امنیت سایبری جمع سپاری Bugcrowd ارائه شده است.
او به TechNewsWorld گفت: «با ایجاد فرصتهای رشد شغلی و گرد هم آمدن حول مأموریت کمک به مشتریان، مشتریان و جامعه دیجیتالی گستردهتر در برابر حملات سایبری، کارکنان احساس میکنند فرصتی برای بهبود خود و جامعه گستردهتر دارند.»
جری افزود که سالها پیش، ما بر این باور بودیم که شکاف بزرگی بین تعداد موقعیتهای باز و نامزدهای واجد شرایط برای پر کردن این موقعیتها وجود دارد. اگرچه این تا حدی درست است، اما دید دقیقی از وضعیت فعلی بازار ارائه نمی دهد.
او گفت: «کارفرمایان باید رویکردی فعالتر برای جذب نیرو از پیشینههای غیرسنتی داشته باشند، که به نوبه خود تعداد داوطلبان را از کسانی که فقط مدرک رسمی دارند تا افرادی که با آموزشهای مناسب، پتانسیل فوقالعاده بالایی دارند، افزایش میدهد.
شاید جایگزین بهتری باشد
انتشار اخیر استراتژی ملی امنیت سایبری، تقاضا را بیشتر از عرضه خواهد کرد. گیوم راس، معاون CISO در شرکت مدیریت دارایی سایبری JupiterOne، پیش بینی کرد که این می تواند عملیات در مقیاس بزرگ را کند کند.
اولویت بندی و کاهش سطح حمله تا حد امکان ضروری خواهد بود. همچنین، اقدامات امنیتی باید تضمین کند که توسعه دهندگان، IT، و حتی کارکنان مدیریت کسب و کار/عملیات، امنیت را در روال کار روزانه خود ادغام می کنند.
راس به TechNewsWorld پاسخ داد: «بهبود مهارتهای امنیتی یک میلیون توسعهدهنده و کارمند فناوری اطلاعات، تأثیر بسیار بهتری نسبت به آموزش یک میلیون «افراد امنیتی جدید» از ابتدا خواهد داشت.
راه حل جامع در مقیاس بزرگ
کمبود مهارت و امنیت سایبری فقط یک مشکل صنعت آمریکا نیست. راوی پاتابی، معاون امنیت ابری در ColorTokens، یک شرکت مستقل راهحلهای امنیت سایبری، خاطرنشان کرد که کمبود گسترده کارشناسان امنیت سایبری ماهر در سراسر جهان گسترده است.
برخی از دانشگاه ها شروع به آموزش برخی از مهارت های اساسی امنیت سایبری به دانشجویان کرده اند، مانند مدیریت آسیب پذیری ها و تشدید سیستم های امنیتی. در همین حال، امنیت سایبری در حال دگرگونی است.
این صنعت به طور فزاینده ای امنیت سایبری را در مرحله طراحی ادغام می کند و آن را در توسعه محصول، یکپارچه سازی کد و استقرار می سازد. پاتاپای به TechNewsWorld گفت.