Kryzys umiejętności w zakresie bezpieczeństwa cybernetycznego to smutna norma. Dotknął już ponad połowę ankietowanych firm (57 proc.). Aż 95 proc. respondentów twierdzi, że niedobór umiejętności i związane z nim skutki nie poprawiły się w ciągu ostatnich kilku lat, a 44 proc. zauważa, że sytuacja tylko się pogorszyła – według badania Information Systems Security Association (ISSA) i firmy analitycznej Enterprise Strategy Group (ESG).

Najważniejsze konsekwencje niedoboru umiejętności to:
rosnące obciążenie pracą zespołu ds. cyberbezpieczeństwa (62 proc.),
wakaty (38 proc.)
wypalenie zawodowe pracowników (38 proc.).

Trzy najczęściej wymieniane obszary znaczących niedoborów umiejętności:
bezpieczeństwo przetwarzania w chmurze
analiza i dochodzenie
bezpieczeństwo aplikacji

Tymi obszarami powinni zainteresować się specjaliści ds. cyberbezpieczeństwa, którzy chcą rozwijać umiejętności – radzą autorzy raportu.

Niedoceniani fachowcy

Firmy nie inwestują w swoich ludzi w sposób, który odzwierciedla powagę cyberzagrożeń. Większość (59 proc.) respondentów stwierdziła, że ich firma mogłaby zrobić więcej, aby zaradzić niedoborowi umiejętności.

Za ciężka praca, za mała płaca

Według badania brak konkurencyjnego wynagrodzenia jest głównym czynnikiem (38 proc.) przyczyniającym się do niedoboru umiejętności, ponieważ utrudnia to rekrutację fachowców ds. cyberbezpieczeństwa w firmach.

Ponad trzy czwarte (76 proc.) przedsiębiorstw przyznaje, że rekrutacja i zatrudnienie personelu ds. cyberbezpieczeństwa jest trudna lub niezwykle trudna (18 proc.). Oferta wyższej płacy jest głównym powodem (33 proc.) ewakuacji CISO do innej firmy.

40 godzin szkoleń? Nie opłaca się

Z ankiet wynika, że inwestycje w szkolenia z zakresu cyberbezpieczeństwa muszą być odpowiednio finansowane.

Na pytanie, jakie działania mogą podjąć firmy, aby zaradzić niedoborowi umiejętności, najczęstszą odpowiedzią (39 proc.) było zwiększenie liczby szkoleń.

Prawie jedna czwarta (21 proc.) ankietowanych specjalistów nie przeszła jednak 40 godz. szkoleń w ciągu roku. Głównym powodem (w 48 proc. przypadków) jaki podali, było to, że ich praca nie opłaca się za 40 godz. szkoleń rocznie.

Paradoks polega na tym, że prawie wszyscy (91 proc.) respondenci zgadzają się z tym, że specjaliści ds. cyberbezpieczeństwa muszą nadążyć za swoimi umiejętnościami.

Tyle teoria. Jednak 82 proc. pytanych utrzymuje, że w podnoszeniu kwalifikacji często przeszkadzają im wymagania dotyczące pracy. Czyli jak tu się rozwijać, skoro robota na to nie pozwala.

Tego już za wiele (jeśli chodzi o wymagania)
Co czwarta osoba stwierdziła, że oferty pracy w ich firmach są zwykle nierealistyczne, wymagają zbyt dużego doświadczenia, zbyt wielu certyfikatów lub zbyt wielu konkretnych umiejętności technicznych.

Dane pochodzą z raportu ISSA i ESG „The Life and Times of Cybersecurity Professionals 2021”. W ankiecie wzięło udział 489 specjalistów ds. cyberbezpieczeństwa.