Staffing for cybersecurity in a tight job market / Personale per la sicurezza informatica in un ristretto mercato del lavoro
Staffing for cybersecurity in a tight job market / Personale per la sicurezza informatica in un ristretto mercato del lavoro
Segnalato dal Dott. Giuseppe Cotellessa / Reported by Dr. Giuseppe Cotellessa
What aspect of cybersecurity is the most challenging for company managers? Cloud security? Protecting open source software? Defending IIoT devices from invaders?
No matter what the threats are, no organization can protect itself without a strong cybersecurity team. The supply of qualified cybersecurity practitioners is not equal to demand, a shortage that is now in its third year, according to the Information Systems Security Association (ISSA). ISSA bases this assertion on an annual survey it sponsors with the Enterprise Strategy Group. Among the alarming results from the most recent survey are the following:
· At least 48% of survey respondents had experienced a security breach in the previous two years.
· The cybersecurity skills shortage itself is a root cause of the increase in security incidents.
· 91% of cybersecurity experts believe that most organizations are vulnerable to attack; 94% believe the balance of power rests with the attackers.
· Over 60% of organizations surveyed do not provide adequate training to enable their IT staff to do their jobs effectively.
Executives must accept that cyber threats present a business problem, not just a security problem. IBM reported that in 2019 a data security breach costs an average of nearly $4 million worldwide, and over $8 million in the U.S. Set the costs of building, equipping and maintaining a cybersecurity team against the costs of a security breach, and the value of security to a business is much clearer.
What to do? Corporate executives can take immediate action on several fronts, starting by learning which skills their cybersecurity team needs, which ones they lack and how to acquire them. Another significant, and often overlooked, aspect of cybersecurity is taking care of the people that are currently providing services.
Who plays on a cybersecurity team?
Defining a one-size-suits-all security team is, of course, impossible. Figuring out the kinds of services an organization needs, and deciding which to provide in-house and which to contract out, does not have to be a major task. The U.S. Department of Homeland Security provides a good tool for understanding in detail the work roles, tasks, skills and knowledge involved in providing organizational cybersecurity.
The resulting National Initiative for Cybersecurity Education (NICE) Cybersecurity Workforce Framework, which is published by the National Institute of Standards and Technology provides “a nationally focused resource that categorizes and describes cybersecurity work...it establishes a common lexicon that describes cybersecurity work and workers regardless of where or for whom the work is performed.” The same report has a framework tool to help identify gaps in an organization’s current cybersecurity team. Various organizations inside and outside of academia offer executive education courses that give participants a strategic view of cybersecurity risk management and a vocabulary for talking to security experts, among many other insights and skills.
In a world where the IT department – or whatever name an organization bestows on the people who keep the network running and the desktop applications running – has become the locus for all things tech, the expanded responsibility for cybersecurity probably came without an understanding of the new roles and skills necessary to fulfill that responsibility. CyberSeek took multiple lists of job titles and roles, including those defined in the NICE framework, into a tractable interactive summary that shows career paths, job responsibilities and role interrelationships.
Cybersecurity professionals can earn certifications through ISC2 that show employers an employee’s areas of expertise. Some certifications focus on specific kinds of software or industries, such as HealthCare Information Security and Privacy Professional (HCISPP), and others require broad general expertise, like the Certified Information Systems Security Professional (CISSP). Employers can require certification before hiring — or support current staffers as they pursue certification.
How to find and keep cybersecurity team members
A few years ago, TechRepublic published an article titled “Why your organization can’t hire a cybersecurity professional, and what you can do about it.” The first part of that title sounds discouraging and reinforces the results of the ISSA survey mentioned above. Despite a labor market that favors job seekers and a small pipeline, employers can take positive steps to recruit — and retain — good people.
One piece of hiring advice is borrowed from the world of job seekers: network. Encourage other IT and cybersecurity employees to take active roles in local professional groups, such as a local chapter of IEEE. Be a presence at local job fairs and at regional or national association meetings. These activities offer chances for both formal and informal recruiting and spread information about the company. Set up an internship or co-op program with a university that specializes in cybersecurity. Companies are not obligated to hire interns or co-op students, however, these students come with advantages: they know the company culture, they already have a group of colleagues and they know how to do the work expected of them.
To keep cybersecurity staff, employers need to understand the subjective aspects of cybersecurity jobs. Work-life balance can pose even more of a challenge for these workers than for compatriots in IT. One reason for the scales tipping more towards work: security people are often on call around the clock. Sometimes this is a result of short staffing, and the short staffing could be an effect of the job market. Finding ways to help ease the workload or make working conditions as comfortable as possible – by allowing remote work, for example — can help alleviate some stress.
The tight job market contributes to two other problems. Recruiters tend to ask that candidates offer too many skills, well beyond the needs of the position offered. One way to satisfy a company’s need for these skills is to train an existing employee. This option is often overlooked, yet offering training to a current employee is good for morale as well as good for the employer. Prioritizing which skills to seek in the job market and keeping the skills wish list under control will help lead to a successful recruitment cycle.
ITALIANO
Quale aspetto della sicurezza informatica è il più impegnativo per i dirigenti aziendali? Sicurezza cloud? Protezione del software open source? Difendi i dispositivi IIoT dagli invasori?
Indipendentemente dalle minacce, nessuna organizzazione può proteggersi senza un forte gruppo di sicurezza informatica. L'offerta di professionisti qualificati della cibersicurezza non è pari alla domanda, una carenza che è ora al suo terzo anno, secondo l'Information Security Security Association (ISSA). L'ISSA basa questa affermazione su un sondaggio annuale che sponsorizza con l'Enterprise Strategy Group. Tra i risultati allarmanti del sondaggio più recente ci sono i seguenti:
· Almeno il 48% degli intervistati ha subito una violazione della sicurezza nei due anni precedenti.
· La stessa carenza di competenze in materia di cibersicurezza è la causa principale dell'aumento degli incidenti di sicurezza.
· Il 91% degli esperti di sicurezza informatica ritiene che la maggior parte delle organizzazioni sia vulnerabile agli attacchi; Il 94% crede che l'equilibrio del potere spetti agli attaccanti.
· Oltre il 60% delle organizzazioni intervistate non fornisce una formazione adeguata per consentire al personale IT di svolgere efficacemente il proprio lavoro.
I dirigenti devono accettare che le minacce informatiche presentano un problema aziendale, non solo un problema di sicurezza. IBM ha riferito che nel 2019 una violazione della sicurezza dei dati costa in media quasi $ 4 milioni in tutto il mondo e oltre $ 8 milioni negli Stati Uniti Imposta i costi di costruzione, equipaggiamento e manutenzione di un team di sicurezza informatica contro i costi di una violazione della sicurezza e il valore della sicurezza per un'azienda è molto più chiaro.
Cosa fare? I dirigenti aziendali possono agire immediatamente su più fronti, iniziandoad imparare quali competenze sono necessarie al loro gruppo di sicurezza informatica, quali mancano e come acquisirle. Un altro aspetto significativo e spesso trascurato della sicurezza informatica è la cura delle persone che attualmente forniscono servizi.
Chi gioca in una squadra di sicurezza informatica?
Definire un gruppo di sicurezza di taglia unica è, ovviamente, impossibile. Capire il tipo di servizi di cui un'organizzazione ha bisogno e decidere quale fornire internamente e quale contrattare non deve essere un compito facile. Il Dipartimento della sicurezza nazionale degli Stati Uniti offre un buon strumento per comprendere in dettaglio i ruoli, i compiti, le competenze e le conoscenze del lavoro coinvolti nel fornire sicurezza informatica dell'organizzazione.
Il risultante National Initiative for Cybersecurity Education (NICE) Cybersecurity Workforce Framework, pubblicato dal National Institute of Standards and Technology fornisce "una risorsa focalizzata a livello nazionale che classifica e descrive il lavoro sulla cibersicurezza ... stabilisce un lessico comune che descrive il lavoro sulla cibersicurezza e lavoratori indipendentemente da dove o per chi viene svolto il lavoro. ”Lo stesso rapporto ha uno strumento quadro per aiutare a identificare le lacune nell'attuale gruppo di sicurezza informatica di un'organizzazione. Varie organizzazioni all'interno e all'esterno del mondo accademico offrono corsi di formazione esecutiva che offrono ai partecipanti una visione strategica della gestione del rischio di sicurezza informatica e un vocabolario per parlare con esperti di sicurezza, tra le molte altre idee e competenze.
In un mondo in cui il dipartimento IT - o qualunque sia il nome che un'organizzazione attribuisce alle persone che mantengono la rete in esecuzione e le applicazioni desktop in esecuzione - è diventato il locus di tutto ciò che riguarda la tecnologia, la responsabilità estesa per la sicurezza informatica probabilmente è venuta senza una comprensione del nuovo ruoli e competenze necessari per adempiere a tale responsabilità. CyberSeek ha inserito più elenchi di titoli e ruoli, compresi quelli definiti nel framework NICE, in un riepilogo interattivo trattabile che mostra percorsi di carriera, responsabilità lavorative e interrelazioni di ruoli.
I professionisti della sicurezza informatica possono ottenere certificazioni tramite ISC2 che dimostrano ai datori di lavoro le aree di competenza di un dipendente. Alcune certificazioni si concentrano su specifici tipi di software o settori, come HealthCare Information Security e Privacy Professional (HCISPP), mentre altri richiedono un'ampia competenza generale, come il Certified Information Systems Security Professional (CISSP). I datori di lavoro possono richiedere la certificazione prima di assumere - o supportare il personale attuale mentre perseguono la certificazione.
Come trovare e mantenere i membri del gruppo di sicurezza informatica
Alcuni anni fa, TechRepublic ha pubblicato un articolo intitolato "Perché la tua organizzazione non può assumere un professionista della sicurezza informatica e cosa puoi fare al riguardo." La prima parte di quel titolo sembra scoraggiante e rafforza i risultati del sondaggio ISSA sopra menzionato. Nonostante un mercato del lavoro che favorisca le persone in cerca di lavoro, i datori di lavoro possono adottare misure positive per reclutare e trattenere persone in gamba.
Un consiglio di assunzione è preso in prestito dal mondo delle persone in cerca di lavoro: la rete. Incoraggiare altri dipendenti IT e della sicurezza informatica ad assumere ruoli attivi in gruppi professionali locali, come un capitolo locale dell'IEEE. Essere presenti alle fiere del lavoro locali e alle riunioni delle associazioni regionali o nazionali. Queste attività offrono possibilità di reclutamento sia formale che informale e diffondono informazioni sulla società. Crea uno stage o un programma di cooperazione con un'università specializzata in sicurezza informatica. Le aziende non sono obbligate ad assumere stagisti o studenti in cooperativa, tuttavia, questi studenti hanno dei vantaggi: conoscono la cultura aziendale, hanno già un gruppo di colleghi e sanno come svolgere il lavoro che si aspettano da loro.
Per mantenere il personale della sicurezza informatica, i datori di lavoro devono comprendere gli aspetti soggettivi dei lavori di sicurezza informatica. L'equilibrio tra lavoro e vita privata può rappresentare una sfida ancora più grande per questi lavoratori che per i connazionali nell'IT. Uno dei motivi per cui le bilance si inclinano di più verso il lavoro: i responsabili della sicurezza sono spesso di guardia 24 ore su 24. A volte questo è il risultato di personale ridotto e il personale ridotto potrebbe essere un effetto del mercato del lavoro. Trovare modi per facilitare il carico di lavoro o rendere le condizioni di lavoro il più confortevoli possibile, ad esempio consentendo il lavoro remoto, può aiutare ad alleviare lo stress.
Il ristretto mercato del lavoro contribuisce ad altri due problemi. I reclutatori tendono a chiedere che i candidati offrino troppe competenze, ben oltre le esigenze della posizione offerta. Un modo per soddisfare l'esigenza di un'azienda di queste competenze è formare un dipendente esistente. Questa opzione è spesso trascurata, ma offrire una formazione a un dipendente attuale fa bene al morale e fa bene al datore di lavoro. Definire le priorità delle competenze da cercare nel mercato del lavoro e tenere sotto controllo la lista dei desideri delle competenze contribuirà a un ciclo di assunzioni riuscito.
Da:
Commenti
Posta un commento