2010 yılında Stratejik ve Uluslararası Araştırmalar Merkezi (CSIS) raporu yayınladı “Siber Güvenlikte İnsan Sermayesi KriziABD’de siber uzayda etkin bir şekilde çalışmak için özel güvenlik becerilerine sahip yaklaşık 1.000 güvenlik görevlisi var. 10.000 ila 30.000’e ihtiyacımız var.”
On iki yıl sonra, Siber Uzay Solaryum Komisyonu 2.0 Ulusal Siber Direktör için İş Gücü Geliştirme Gündemi “Amerika Birleşik Devletleri’nde, özel sektör ve federal, eyalet ve yerel yönetimlerde neredeyse 600.000 açık siber güvenlik işi var – alanın şu anda bir milyondan fazla profesyonel istihdam ettiği düşünüldüğünde dikkate değer bir boşluk.” Bu teşvik edici bir eğilim değil.
Yetki Sahibi Paydaşlar
Çok kuşaklı değişimi etkilemek için, on yılı aşkın süredir var olan bir sorunu en iyi şekilde ele alma gücüne sahip dört farklı paydaş grubu vardır.
Siber güvenlik alıcıları genellikle nokta çözümleri satın almayı bırakmalı ve bunun yerine teknik siber güvenlik yeteneklerinin uzun vadeli konsolidasyonu stratejisine odaklanmalıdır. En son kaydırma-sol-sıfır-güven-yapay-zeka-XDR-makine öğrenimi “çözüm”, gelişmiş bir kalıcı tehdidin en son tekniklerine karşı kapsamlı bir kapsam sunabilse de, kuruluşunuzun gelişmiş bir bu teknikleri kullanan kalıcı tehdit (APT). Her yeni nokta çözümünün, genellikle çözümü tasarlamayı ve çalıştırmayı öğrenmesi gereken en az iki kişiden oluşan bir eğitim ve operasyon yükü vardır.
Ne yazık ki, her yeni çözümün, aynı zamanda, değerli zaman ve kaynaklar alan ve görünürlük hatalarının tehdit aktörlerinin gizlenmesi için kapsama sağlayabileceği, kuruluşun mevcut güvenlik yığınına da entegre edilmesi gerekiyor. Karşılaştırıldığında, entegre bir güvenlik yığını akla gelebilecek her teknoloji tehdidi permütasyonunu hemen kapsamayabilir, ancak sahip olunması ve işletilmesi daha az insan kaynağı gerektirecek ve bunun sonucunda operasyonlarla görevli personel derinlemesine bilgi sahibi olacaktır.
İK profesyonelleri stajyerler ve genç ve orta kariyer profesyonelleri için sertifikaların önemini azaltmalı ve bunun yerine iş başında eğitime ve siber güvenlik uzmanları için açıkça tanımlanmış kariyer yollarına odaklanmalıdır. Sertifikalarla ilgili sorun, CSIS’in 2010’da gözlemlediği zamandan beri var olmuştur: “Mevcut profesyonel sertifika rejiminin sadece yetersiz olmadığı, aynı zamanda tehlikeli bir şekilde yanlış bir güvenlik duygusu yarattığı Komisyonun ortak görüşüdür.” İş gücü açığının bir nedeni, sertifika gerektiren giriş seviyesi iş ilanlarının çok sayıda olmasıdır; iş tanımlarının özgüllüğünün, aksi takdirde nitelikli kadınları ve azınlıkları başvuru yapmaktan bile caydırdığı defalarca gösterilmiştir.
Birçok genç ve orta kariyer profesyoneli, yeni teknolojiler ve ek güvenlik alanlarıyla ilgili uzmanlık kazanmak için her iki ila beş yılda bir iş değiştireceğinden, siber güvenlik uzmanlarını elde tutmak da benzer şekilde zordur. Hem işe alma hem de elde tutma, Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) Siber Güvenlik Eğitimi Ulusal Girişimi (NICE) programı tarafından tanımlananlar gibi siber güvenlik uzmanları için iyi tanımlanmış kariyer yolları ile etkin bir şekilde yönetilebilir. İşverenlerden alınan ücretli eğitimlerle desteklendiğinde, çalışanların kalma olasılığı daha yüksektir ve bu da siber güvenlik becerileri açığını daha da azaltır.
Uyumluluk uzmanları güvenlik benzerlerinin sürekli olarak aşırı genişletildiğinin farkında olmalı ve mümkün olduğu kadar çok uyumluluk işlemini otomatikleştirmeye çalışmalıdır. Uyum uzmanları, bir iç değerlendirmeye veya dış denetime yanıt verirken, iç kontrolün işleyişine ve etkinliğine ilişkin kanıt toplamak için düzenli olarak güvenlik ekibine güvenirler. Gerçekte, bu, güvenlik uzmanları adına “ekstra” bir iş görevidir ve bu nedenle, sınırlı zamanlarında daha acil görevler nedeniyle bu görevler aceleyle yapılabilir veya son dakikaya ertelenebilir. Bu etkinlikler, parola ilkesinin ekran görüntüsünü alma ve bunu tanımlanmış bir konuma kaydetme veya tüm sabit sürücülerin şifrelendiğini gösteren bir PDF raporu oluşturma gibi manuel görevleri içerir. Bu uyumluluk faaliyetleri yaratıcılık veya sezgi gerektirmediğinden, güvenlik uzmanları üzerindeki zaman yükünü azaltacak olan otomasyon için başlıca fırsatlardır. Bu, aynı zamanda, birçok uyum operasyonunu otomatikleştiren bir kuruluş, ek uyum personeli yerine ek güvenlik personeli tutabileceğinden, bütçe önceliklerinde olumlu bir değişiklikle sonuçlanabilir.
Bireysel siber güvenlik uzmanları gençlerle meslekleri hakkında konuşma fırsatları bulmak için ortaokullara ve liselere ulaşmalıdır. Orta öğretimdeki kalıcı bir yanılgı, siber güvenlik işlerinin bir programlama arka planı gerektirdiği, ancak çoğu siber güvenlik işinin programlamada uzmanlık gerektirmediğidir. Satış, pazarlama, UX tasarımı, müşteri başarısı, DFIR ve kırmızı ekip üyeleri dahil olmak üzere tüm disiplinlerdeki bireysel katkıda bulunanlar, ne yaptıkları, işlerini neden sevdikleri ve işlerinin nasıl orta düzeyde olduğu hakkında bir ortaokul hedef kitlesiyle konuşmaya çalışmalıdır. -Muhtemelen sadece iki yıllık bir derece gerektiren sınıf maaşı. Bu son kısım, dört yıllık bir üniversite diplomasını ödemenin ne kadar sürebileceğini düşünen birçok ortaokul öğrencisi ve ebeveynleri ile rezonansa girecek.
Siber güvenlik iş gücü açığını çözmek için tek bir çözüm olmamasına rağmen, umutlu olmak için nedenler var. Siber güvenlik topluluğu, ekip halinde çalışmayı ve bilgi ve deneyimlerini paylaşmayı seven insanları kendine çekiyor. Paydaşlar arasında paylaşılan değerlere dayalı olarak disiplinler arası bir davranış değişikliği çabası, önümüzdeki on yıl için ileriye dönük en iyi çözümümüz olabilir.