A kiberbiztonsági szakemberek körében tapasztalható munkaerőhiány továbbra is vlágszerte problémát jelent gyakorlatilag az összes iparágban működő, legkülönbözőbb méretű cégek körében – derül ki a nemrég kiadott, 2019-es (ISC)2 Cybersecurity Workforce tanulmányból. Az (ISC)2, vagyis az International Information Systems Security Certification Consortium egy non-profit nemzetközi csoport, amelyet a legnagyobb IT biztonsági szervezeteként tartanak számon, és mások mellett a CISSP professzionális kiberbiztonsági képzéseket és tanúsítványokat is gondozza.

A november elején bemutatott jelentés szerint a munkaerőhiányt nem csak súlyos, de egyenesen a legsúlyosabb problémának tartják a szakmán belül, tekintettel arra, hogy 2018 óta megszaporodtak az olyan incidensek, mint például a közüzemek ellen alkalmazott zsarolóvírus-támadások, és a mobilos malware-ek száma is megduplázódott az előző évihez képest. A nagyszabású adatvesztések és a komoly károkat okozó kibertámadások új korszakában pedig az informatikai biztonság jelentősége minden szervezet és minden egyes felhasználó számára megkerülhetetlenné vált.

Az (ISC)2 ezzel együtt optimista azzal kapcsolatban, hogy a problémák kezelhetők lesznek, amennyiben az egyes szervezetek megfelelően közelítik meg a toborzást és a kiberbiztonsági csapatok felépítését. A tanulmány ezzel kapcsolatban munkaerőpiaci statisztikákkal próbál jobb betekintést nyújtani a jelenlegi körülményekbe, és felvázolja a biztonsági területen karrierutak főbb állomásait, azonnali vagy hosszabb távú lehetőségeket határozva meg a kvalifikált és rugalmas kiberbiztonsági részlegek kialakításához.

Az adatgyűjtést az Egyesült Államokban és másik tíz meghatározó gazdaságban (Ausztrália, Brazília, Kanada, Franciaország, Németország, Japán, Mexikó, Szingapúr, Dél-Korea, Egyesült Királyság) végezték. Az alapvetés ettől függetlenül minden esetben ugyanaz: ha elfogadjuk, hogy a vállalatok egyre nagyobb része műr többé-kevésbé technológiai cégnek számít, akkor abból egyenesen következik, hogy kiberbiztonsági személyzetre is szüksége lenne – azonban nem igazán tudja, hogyan kellene felvennie a megfelelő szakembereket. A kutatásból kiderül, hogy a LinkedIn oldalain például tízből hat fejlesztői állásajánlat nem a hagyományosan a technológiai iparhoz sorolt cégektől származik.

Itt is nagyon sok múlik a kommunikáción

A felmérés eredményeként az (ISC)2 megállapítja, hogy a fenti piacokon több mint 4 millió kiberbiztonsági szakemberrel dolgozik kevesebb az optimálisnál, ezek majdnem kétharmada azonban az ázsiai és csendes-óceáni térségből hiányzik. Ezt a mennyiséget összefüggésbe helyezi, ha figyelembe vesszük, hogy kevesebb jelenleg mint 3 millió embert alkalmaznak dedikált IT biztonsági munkakörökben, vagyis az (ISC)2 a mostani létszám 145 százalékos növelését tartaná kívánatosnak. Külön érdekesség, hogy az Egyesült Királyságban jegyzett 289 ezer kiberbiztonsági specialista éppen akkora tömeget jelent, amekkora növekedésre a teljes EMEA (európai, közel-keleti és afrikai) régióban szükség lenne.

A jelentésből kiderül, hogy már azzal problémák vannak, ahogy a szakemberek egyáltalán a kiberbiztonság területére keverednek. Mindössze az aktuális létszám 42 százaléka kezdett már eleve ezen a vonalon dolgozni, és a mai napig elég ritka a kifejezetten kiberbiztonsági irányú felsőfokú végzettség is. Természetesen létezik egy nagy csomó másféle minősítés (ahogy fentebb írtuk, ilyesmit maga az (ISC)2 is biztosít), de az át- vagy továbbképzések annak ellenére sem mindig működnek, hogy a cégek egyre többet hajlandók invesztálni az ilyesmibe. Nem képesek ugyanis világos képet festeni a munkavállalóknak arról, hogy ez az irány milyen karrierlehetőségeket jelent számura.

A tanulmányból az is kiderül, hogy a munkaerőhiány mellett más fontos problémák is jelentkeznek ezen a szakterületen. A válaszadók említették például az általánosan elfogadott terminológia hiányát, ami megnehezíti a kommunikációt, de ott van a már megszokott erőforrás- és eszközhiány, a munka és a magánélet nehezen fenntartható egyensúlya vagy a kulcsfontosságú biztonsági projektek nem megfelelő támogatása is. Az (ISC)2 anyagának második része mindezzel kapcsolatban tanácsokal látja el a szervezeteket, bemutatva az üzleti oldalnak, hogy hogyan is néz ki napjainkban a kiberbiztonsági szakemberek közössége, milyen módon lehet felmérni, hogy milyen méretű biztonsági csapatra lenne szükség egy adott szervezetben, és a biztonságért felelős vezetők hogyan értethetik meg maukat a cégvezetőkkel vagy a pénzügyi vezetőkkel.

A 2019-es Cybersecurity Workforce tanulmány publikus kivonata ezen a hivatkozáson érhető el.