(ISC) ² : Küresel Siber Güvenlik İş Gücü Açığı 3 Milyon Kişi (*)
Güvenlik Liderleri, Güvenlik Uzmanlarını İşe Alma ve Elinde Tutmanın Zorluklarını Açıklıyor
Küresel çapta siber güvenlik uzman açığı 2,93 milyona ulaşmış durumda ve bu dünya çapında, işletmelerin savunmalarını en üst düzeye çıkarmak için yetenekli kişileri bulma, işe alma ve elinde tutma konusunda giderek artan bir risk oluşturuyor.
17.10.2018 tarihinde yayımlanan yeni (ISC) ² 2018 Siber Güvenlik İş Gücü Araştırmasına göre,; 2.14 milyon güvenlik elemanı açığı ile Asya-Pasifik birinci sırada, ardından sırasıyla Kuzey Amerika (498.000), Avrupa, Orta Doğu ve Afrika (142.000) ve Latin Amerika (136.000) gelmektedir.
Araştırmaya katılanların % 63’ünden fazlası, güvenlik alanında çalışan personel eksikliği olduğunu ve yaklaşık % 60’ı bu meselenin , orta veya yüksek düzeyde risk oluşturduğunu söylemektedir.
Mevcut güvenlik çalışanları için, zorluğun bir kısmı da , bir çok sorumluluğa sahip olmaları ve bu sorumluluklarını dengelemeye çalışmalarıdır. Katılımcılar, güvenlik yönetimi, olaylara müdahale ve uç nokta güvenliği yönetimi gibi, daha çok zaman alan görevlerin azalmasını istiyorlar. Tehdit istihbaratı analizi, sızma testi ve adli bilişim gibi yüksek değerli görevlere daha fazla zaman ayırmayı tercih ediyorlar..
Bilgi Güvenliği Alanında İşe Almada Karşılaşılan Zorluklar
(ISC) ² Siber Güvenlik Direktörü John McCumber, sorunun bir kısmının işe alım sürecinde olduğunu söylüyor. Şirketler daha fazla insan almaları gerektiğini biliyorlar – % 48’i gelecek yıl içinde güvenlik personel sayısını artırmayı umuyor – ancak bunu en iyi biçimde nasıl yapacaklarını bilmiyorlar.
Nitelikli iş gücü eksikliğini kabul eden McCumber, “rakamlar tüm hikayeyi anlatmıyor” diyor. Evet, sektörün daha fazla güvenlik profesyonellerine ihtiyacı var, ama aynı zamanda onları bulmak için daha iyi yöntemlere ihtiyaç var.
İşletmelerin etkili bir şekilde işe alım kararları verememelerinden dolayı, güvenlik uzmanlarının işe alımlarında sıklıkla sıkıntı yaşanıyor. İşe alım görüşmeleri yapan yöneticilerin, işe alınacak kişilerin rollerinde etkili olmaları için gereken özelliklerini daha iyi anlamaları ve işletmelerinin güvenlik durumunu güçlendirmek için ihtiyaç duydukları becerileri, yeterlilikleri ve bilgileri etkili bir şekilde tanımlamaları gerekir.
“İnsanların, tanımlanan işe yapacakları katkı ile özgeçmişlerinde verdikleri bilgiler arasında bir kopukluk var.” O buna “evrak uçurumu” diyor. Bazı şirketler, üst düzey bir güvenlik uzmanının tecrübesine sahip olmasını beklediği, yeni mezun olmuş birini işe alıp, stajer maaşı vermek istiyor, ancak böyle birini bulmak mümkün değildir.
Meydan okumanın bir yolu da; yeni teknolojilere ayak uydurabilmek ve örneğin IoT gibi, siber atakların hedefleri vurmak için nasıl geliştiğini görebilmektir. (ISC) ² CEO’su David Shearer, “Bir kurumun güvenliğine katkıda bulunabilecek bir çok teknik pozisyonun olmasının , büyük bir zaafiyet olduğunu düşünüyorum” diyor. Çalışanların becerileri, şirketlerinin karşılaşacağı tehditlerle eşleşmelidir diye de devam ediyor.
Ancak, siber güvenlik becerileri sadecece teknik konulardan ibaret değildir.
McCumber, büyük teknoloji şirketlerinin, topladıkları, kullandıkları, paylaştıkları ve koruduğu verilerle ilgili etik ve ahlaki ikilemlerle nasıl boğuştuklarına dikkat çekiyor. Şimdi ilgili etik meseleleri ele almak zorunda kalıyorlar. Şirketlerin, bu rollerde doğru insanlara ve etik bir kültüre sahip olması kritik hale geliyor. Bu konular bir çok şirketin karşı karşıya kaldığı konulardır ve bunları teknoloji ile çözemezsiniz.
Teknik Eğitimin Geleceği
Shearer, “İnsanları eğitmek konusunda daha iyi iş çıkarmamız gerekiyor” diyor.
McCumber; eğitim sistemi, yetenekli teknoloji uzmanlarına olan talebe ayak uydurmaya çalışıyor ve teknoloji ile geleneksel eğitim arasındaki uçurum sürüyor. Teknik bir role sahip olmak için geleneksel bir üniversiteden dört yıllık bir derece almaya ihtiyacınız yok. Stajlar ve eğitim programları, daha kısa zaman içerisinde gerekli uzmanlığı sağlayabilir.
Ankete katılanların %35’Ii eğitmen tarafından verilen, yüz yüze eğitimin en değerli olduğunu, ancak %27’si şirketlerinin bu eğitimi teklif ettiğini söylüyor. İnternet tabanlı eğitim, işletmeler arasında en popüler olanıdır (% 38) , ancak katılımcıların % 31’i tarafından en değerli kabul edilmektedir. Diğer değerli kaynaklar arasında konferanslar (% 28), kişisel çalışma (% 26) ve sanal sınıflar (% 25) bulunmaktadır.
Katılımcılar aşağıdaki güvenlik uzmanlık alanlarının kritik olduğunu belirttiler: güvenlik bilinci (% 58), risk analizi ve yönetimi (% 58), güvenlik yönetimi (% 53), ağ izleme (% 52), olay araştırması ve müdahale (% 52), saldırı tespit (% 51), bulut bilişim ve güvenlik (% 51) ve güvenlik mühendisliği (% 51). Bulut, sızma testi, tehdit istihbarat analizi ve adli bilişim uzmanlık alanlarına talep düşük olup, gelecekte talebin artacağı beklenmektedir.
(*) https://www.darkreading.com/cloud/(isc)-2–global-cybersecurity-workforce-short-3-million-people/d/d-id/1333060