Переход к цифровым бизнес-процессам вынуждает компании пересмотреть методы поиска сотрудников, которые занимаются решением задач в области кибербезопасности. Портал TechTarget приводит советы экспертов Gartner, как ИБ-директорам (chief information security officer, CISO) привлечь подходящие кандидатуры, а также рассказывают о том, как цифровая трансформация меняет роль традиционных ИБ-специалистов.
Проблема с обеспечением кибербезопасности в последние годы серьезно обострилась, а вместе с ней появилась другая проблема — нехватка квалифицированных ИБ-специалистов, что вынуждает CISO искать пути ее решения. Однако, как считает аналитик Gartner Сэм Олай, реальная проблема прежде всего кроется в самих CISO, которые не уделяют достаточного внимания поиску талантливых сотрудников. «ИБ-специалисты как никогда востребованы, поэтому у них есть богатый выбор предложений», — заявил он в ходе недавно прошедшего Gartner Security & Risk Management Summit.
Докладчики на саммите отметили, что потребность в новых навыках в области кибербезопасности обусловлена переходом предприятий к цифровой трансформации, которую Gartner трактует как «процесс применения цифровых технологий и поиск возможностей для создания всеобъемлющей новой цифровой бизнес-модели». С учетом того, что этот процесс обещает быть довольно продолжительным, Олай выделил ряд ключевых ИБ-специальностей, без которых его реализация представляется трудноосуществимой:
- аналитик по ИБ/кибербезопасности;
- архитектор ПО в сфере безопасности/инженер по безопасности;
- специалист по выявлению уязвимостей/пентестер;
- специалист по обнаружению проактивных киберугроз;
- аналитик в области управления киберугрозами;
- менеджер по ИБ/кибербезопасности.
По его словам, цифровая трансформация обогатила ИБ-рынок новыми категориями специалистов, к числу которых относятся специалисты по цифровым рискам (digital risk officer), эксперты в области безопасности данных (data security scientist), «чемпионы защиты» (security champion), которые занимаются защитой критически важной инфраструктуры, менеджеры по цифровым экосистемам, «начальники штабов» и многие другие. «Мы становимся свидетелями того, что предприятия наполняют свои штаты новыми категориями ИБ-специалистов. Не исключено, что в будущем они заменят имеющихся специалистов», — считает аналитик.
Влияние новых технологий на кибербезопасность
Как уже говорилось, множество новых технологий и цифровых стратегий оказывают влияние на решения о найме. К примеру, предприятия сталкиваются с необходимостью анализа данных, которые генерируются с помощью машинного обучения и ИИ и могут представлять из себя опасность. «Новые технологии изменят все, — уверен директор ИТ-практик Gartner Бет Шумакер. — Они напрямую будут влиять на безопасность, что вызвано рисками их массированного внедрения». Под их влиянием меняется роль CISO, которому все чаще вменяется в обязанности взаимодействовать с бизнес-подразделениями по линии управления рисками, конфиденциальности и безопасности.
Целостный, общеорганизационный подход к цифровому управлении рисками меняет всю бизнес-экосистему, эпицентром которой являются CISO. «Подчас фокус сотрудников по вопросам безопасности, специалистов по цифровым рискам или ответственных за бесперебойную работу компании гораздо шире и выходит за рамки обеспечения ИБ или безопасности корпоративных систем, — сказал вице-президент Gartner Кател Тилеман. — Это связано с тем, что риски, уязвимости и угрозы теперь обитают в киберфизически связанной цепи». Отсюда вывод: цифровая трансформация бизнеса в сочетании с новыми технологиями и процессами требует от CISO новых навыков кибербезопасности.
По словам Шумакера, неопределенность, связанная с массовым переходом к цифровому трансформированию предприятий и возрастающими рисками безопасности, ставит перед CISO ряд вопросов. Где найти специалистов, которые помогли бы им защититься от цифровых рисков? Как лучше всего реализовать стратегию адаптивной автоматизации, которая позволит им наилучшим образом задействовать людей и навыки, которые у них уже есть? Возможным ответом на эти вопросы является применение технологий нового поколения — автоматизации и расширенного интеллекта, которые могут существенно улучшить ситуацию с киберзащитой периметра. «Правильно выдержанный баланс между автоматизацией и человеческим вмешательством — гарантия обеспечения работоспособности бизнеса без замедления развития», — полагает Тилеман.
Развитие новых навыков в области кибербезопасности
Несмотря на то, что спрос на ИБ-специалистов стремительно растет — на 37% ежегодно в ближайшие три года — пока что 62% из них не могут похвастаться четкой картиной своего карьерного роста. CISO не стоит дожидаться, когда закончится царящая на ИБ-рынке неопределенность. Учитывая, что наряду с киберзащитой они все чаще взаимодействуют с бизнес-подразделениями, им стоит потратить усилия, чтобы объяснить важность кибербезопасности и свое место в этой сфере. Такие действия помогут CISO выявить неожиданные возможности для команды по кибербезопасности.
«Нехватка навыков — это большая проблема, но это также возможность привлечь людей в ИБ», — сказал вице-президент Gartner Том Шольц. Он и другие докладчики Gartner считают, что компаниям следует заранее планировать цифровые бизнес-инициативы и прогнозировать связанные с ними проблемы — это поможет распределить функции и компетенции, необходимые для их реализации. Требуемые в области кибербезопасности навыки варьируются в зависимости от потребностей той или иной компании, но одно должно остаться неизменным: для решения конкретных ИБ-задач им нужно перейти от схемы «найм-увольнение» к оптимизации функций безопасности на месте, что позволит приобрести необходимые компетенции в области киберзащиты, полагает Олай.
Он также дает несколько советов, которые помогут работодателям нанять специалистов по кибербезопасности. Олай обращает внимание, что помимо высоких окладов, которые, впрочем, не всегда выступают в роли решающего аргумента, ИБ-профессионалы ценят комфорт и гибкость рабочего графика. Вот что еще нужно предпринять:
- названия ИБ-должностей должны выглядеть привлекательно, а должностные инструкции — вызывать интерес к работе;
- распишите функции и задачи кибербезопасности, которые будут выполняться другими лицами или подразделениями;
- определите функции безопасности, которые будут переданы на аутсорсинг стороннему поставщику ИБ-услуг или службе обнаружения и реагирования;
- привлекайте к сотрудничеству местные университеты и хакатоны — это поможет найти кандидатов на работу;
- распишите функции безопасности, которые можно автоматизировать с помощью новых цифровых технологий;
- попытайтесь создать атмосферу доверия, наставничества и ученичества.
Важно, чтобы при приеме на работу специалистов CISO проявляли гибкость и непредвзятость. «Такой подход должен разрушить атмосферу закрытости, наводя мосты по всех направлениях. Цифровой бизнес требует изменения мышления, новых навыков и компетенций», — считает Олай.