Парадокс нехватки специалистов в области кибербезопасности

В мире требуется более трех миллионов специалистов по кибербезопасности. Но так как кибер-стартапы продолжают увольнять людей и повышать планку для поступления на работу, многие не верят в нехватку квалифицированных кадров.

Разрыв становится больше

По данным Microsoft, к 2025 году в мире будет открыто 3,5 миллиона вакансий в сфере кибербезопасности - рост на 350% за восьмилетний период.

Работодатели в сфере кибербезопасности находятся в крайне тяжелом положении в условиях ограниченных бюджетов, поскольку они, как правило, являются центром затрат, а не центром прибыли, как в случае с организациями, занимающимися разработкой программного обеспечения, считает Дэн Уикс, директора по партнерству с работодателями в компании Fullstack Academy.

"Опытные киберспециалисты часто не имеют времени для наставничества и развития талантов начального уровня, чтобы опережать конкурентов. Напротив, организации, занимающиеся разработкой программного обеспечения, уделяют большое внимание адаптации и наставничеству сотрудников начального уровня", - отметил Ден Уикс.

В настоящее время создание рабочих мест опережает процесс формирования кадров в соотношении 3 к 1, поэтому Брайан предлагает сократить разрыв следующими способами:

• Автоматизация - множество задач, связанных с кибернетикой, являются повторяющимися и увеличивают уровень выгорания, наблюдаемый в настоящее время отрасли. Автоматизация рутинных задач снизит потребность в кадрах, но при этом позволит перенаправить таланты на более востребованные/критические задачи.

• Увеличение количества степеней в области компьютерных наук/кибербезопасности. Хотя требования к получению степени снижаются по всей стране, важность высшего образования никогда не уменьшится. Во многих компаниях (более традиционных) потребность в дипломах сохранится. Количество подготовленных и квалифицированных кандидатов можно увеличить, привлекая учащихся в более раннем возрасте и рассказывая им о возможностях карьеры в области кибербезопасности.

• Переосмыслить методы найма - компаниям необходимо отказаться от традиционного процесса найма. Важно установить стандартный набор ролей и обязанностей. Выбрать предпочтительную модель, которая включала бы в себя должности от начального до высшего уровня. Тем самым создается прецедент для менеджеров по подбору персонала, который можно использовать при составлении описаний должностей и выборе кандидатов для собеседования. Кроме того, такой подход позволит им обратить внимание на стажировки и другие нетрадиционные пути привлечения талантов.

Насколько важна заработная плата?

"Заработки" преступников опережают зарплаты в сфере кибербезопасности. По данным компании Arkose Labs, занимающейся борьбой с мошенничеством, новички-мошенники начинают с 20 000 долларов, в то время как опытные злоумышленники "зарабатывают" до 600 000 долларов в месяц.

Зарплата специалистов по защите сетей и близко не дотягивает до такого уровня. По данным опроса 4 753 специалистов по кибербезопасности, проведенного в 2021 году (ISC), средняя зарплата до уплаты налогов в 2021 году составила более 90 000 долларов. В Северной Америке средняя зарплата до вычета налогов равна $119 000, в Латинской Америке - $32 000, в Европе - $78 000, а в АТР - $61 000.

В результате возникает вопрос: теряем ли мы таланты в криминальном подполье?

"Я сомневаюсь в этом. Большинство кибер-талантов начального уровня ориентированы на "синюю команду", то есть на защиту работодателя. Более 80% кибер-рабочих мест приходится на синюю команду", - говорит Уикс.

Брайан не верит, что люди по своей природе переходят на темную сторону ради денег.

Работники испытывают стресс

Из-за нехватки квалифицированного персонала и автоматизации многие сотрудники работают чуть ли не круглосуточно 7 дней в неделю. При нынешнем ландшафте угроз, включая продолжающуюся кибервойну, давление, вероятно, будет только нарастать.

«Скорее всего, стресс для работников кибербезопасности будет усиливаться месяц за месяцем до тех пор, пока не увеличится набор сотрудников для создания "скамейки запасных" и не внедрится больше искусственного интеллекта, способного разобраться с постоянными киберугрозами» — сказал Уикс.

Киберспециалисты среднего и высшего звена редко могут делегировать работу начинающим специалистам. По словам Брайана, темп работы в сочетании со стрессом создает условия, способствующие выгоранию.

А программы обучения?

По словам Брайана, компании склонны бояться неизвестного, а ученичество всегда приравнивалось к ремеслам и не обязательно к техническим профессиям, таким как кибербезопасность.

"Компании и команды по привлечению талантов неохотно идут на новые перемены. Стандарты Министерства труда могут быть пугающими и восприниматься как бесполезная головная боль".

В последнее время команда Брайана наблюдает рост внедрения систем ученичества. "Этому способствовали последовательные действия федерального правительства и правительств штатов, а также большие суммы денег, вложенные в стажировку за последние несколько лет. Кроме того, ученичество стало для компаний отличным способом увеличить количество нанимаемых специалистов, что способствовало росту числа учеников".

Исторически сложилось так, что 90% учеников остаются у своего работодателя как минимум на один год после окончания обучения, и их число увеличивается после двух лет стажировки.

"Я бы призвал компании создавать возможность карьерного роста в своей организации. Мы обнаружили, что люди часто уходят не из-за денег (конечно, есть и такие), а из-за перспективы получить новые навыки в другом месте. Далеко не все компании имеют возможность или масштаб для развития людей просто в силу бюджетных ограничений и организационной структуры. Это нормально, и им придется смириться с оттоком кадров, и вместо того, чтобы полностью ограничивать прием на работу, нужно просто создать программу, учитывающую эти временные рамки", - сказал Брайан.