A kiberfenyegetések számának és összetettségének növekedésével a hatékony védekezésben résztvevő szakemberek biztosítása is egyre nagyobb kihívást jelent világszerte, amit a világjárvány közvetett hatásai csak még nyilvánvalóbbá tettek az utóbbi időben. Ehhez mérten azonban sokfelé tapasztalható az üzleti befektetések hiánya, vagyis az informatikai biztonsági csapatok úgy próbálnak gondoskodni a vállalati hálózatok folyamatos védelméről, hogy eközben a távmunka felfutásával is tovább szaporodnak a teendőik.

Az Information Systems Security Association (ISSA) non-profit szakmai szervezet és az Enterprise Strategy Group (ESG) iparági elemző közös felmérése szerint a forráshiány és a növekvő munkaterhelés a betöltetlen munkahelyek mellett az IT-biztonsági dolgozók egyre magasabb arányú kiégéséhez vezet. A július végén közzétett tanulmány alapján a válaszadók 57 százaléka látta úgy, hogy a kiberbiztonsági készségek hiánya hatással van vállalatának vagy szervezetének működésére, ezen belül pedig 10 százalék már jelentős hatásokról számolt be.

A több mint 500 megkérdezett szakember 62 százaléka szerint mindez megnövekedett munkaterheléssel jár, ami már érezhető hatással van a biztonsági személyzet mentális egészségére, 38 százalék maga is tapasztalta a kiégést az amúgy is nehéz 2020-as év során felhalomzódó feladatok miatt. A jelentés megállapítja, hogy ezek a feladatok a jövőben is csak szaporodni fognak a távoli működési modellekre való áttérés következtében, a környezetek kitettségének növekedésével szabályos a kiberháború zajlik, és a ransomware-támadások hatásai is egyre pusztítóbbak.

A válaszadók 50 százaléka szerint a világjárvány nyomán az ő munkájuk is egyre stresszesebbé vált. Miközben például a távmunka erőltetett ütemű bevezetése a felhő alapú alkalmazások magasabb fokú használatával jár, tízből négy kiberbiztonsági szakember nyilatkozott úgy, hogy szervezeténél még mindig nem alakultak ki az ezzel kapcsolatos belső szabályok, tízből hárman viszont azt tapasztalják, hogy nem sikerül betölteni a megüresedő álláshelyeket az alkalmazásbiztonság, az analitika vagy a fenyegetettség-felderítés területein.

A szemléletnek is meg kellene változnia

Az ISSA és az ESG közös jelentéséből kiderül, hogy a problémák nem kis részben azokra a hibákra vezethetők vissza, amelyeket maguk a cégek követnek el az IT-biztonsági munkatársak megbízása vagy felvétele során. A válaszadók több mmint háromnegyede szerint nehéz dolog a biztonsági szakemberek toborzása, ugyanakkor 38 százalékuk szerint saját szervezetük sem kínál versenyképes kompenzációt, 29 százalékuk szerint pedig a HR-osztályuk egyszerűen nem érti a kiberbiztonsághoz szükséges készségeket, ami egyebek mellett az életszerűtlen álláshirdetésekben nyilvánul meg.

A tanulmány felhívja rá a figyelmet, hogy a helyzet nem is fog megváltozni, amíg a vállalatok nem üzleti, hanem tisztán technológiai kérdésként tekintenek a kiberbiztonságra, és olyan költségközpontként kezelik azt, amely hátráltatja a rövid távú eredményességet. Más szóval, a biztonsági kiadásokat is abba a kalapba sorolják, mint mondjuk a villanyszámlát, amit be kell ugyan fizetni, de lehetőleg csak a legszükségesebb mértékbe, és ahogy a villanyszámlát sem tartja senki befektetésnek, úgy a biztonsági befektetésekben sem látnak értéket.

A jelentés szerint mindenképpen párbeszédre van szükség az üzleti folyamatokhoz igazodó biztonsági programokról, illetve az ilyen programok értékeiről, legyen szó a munkaerőről a technológiáról vagy a képzésekről. Ez utóbbit különösen fontosnak tartják a mai, gyorsan változó környezetben, és nem csak a munkahelyi szervezeteken belül: társadalmi szinten is fontos lenne a kiberbiztonsági készségek elsajátítása már az iskolás kortól kezdve, mint ahogy szükség lenne az oktatási programok bővítésére és az ehhez kapcsolódó karrierlehetőségek népszerűsítésére is.

Jó fél évvel ezelőtt mi is beszámoltunk róla, hogy az aktuális Cybersecurity Workforce Study becslése szerint már akkor is több mint 3,1 milliós rés tátong a kereslet és a kínálat között, figyelembe véve a frissen belépő szakember, a pályaelhagyók és a visszatérők számát is. Az ISSA/ESG tanulmány alapján az ilyen problémákat belátható időn belül nem felszámolni, így a biztonsági vezetőknek (CISO) mindenképpen olyan eszközökre és technológiákra kell támaszkodniuk, amelyek segítenek a munkaterhek csökkentésében és a a dolgozók jóllétének javításában, mrsékelve a kiberbiztonsági készségek hiányának hatásait is.