Conclusion
     
    Remove Translation Translation
    Original Text

    Cybersecurity professionals continue to manage their careers in a tactical manner with little long-term planning.  Many cybersecurity professionals believe that their organizations need to do more to keep up with cybersecurity requirements.

    Les professionnels de la cybersécurité continuent de gérer leur carrière de manière tactique avec peu de planification à long terme. De nombreux professionnels de la cybersécurité estiment que leur entreprise doit faire davantage pour répondre aux exigences de la cybersécurité.

    The cybersecurity skills shortage seems to be getting worse, forcing overwhelmed cybersecurity professionals into constant firefighting. While the skills shortage will continue with no end in sight, this year’s research suggests that organizations could and should be doing more to address it.

    La pénurie de compétences en cybersécurité semble s'aggraver, obligeant les professionnels de la cybersécurité débordés à lutter constamment contre les incendies. Bien que la pénurie de compétences se poursuivra sans fin en vue, les recherches de cette année suggèrent que les organisations pourraient et devraient faire davantage pour y remédier.

    Takeaways for Cybersecurity Professionals

    Points à retenir pour les professionnels de la cybersécurité

    As with past reports, cybersecurity professionals—especially those in the early stages of a cybersecurity career or individuals seeking to enter the field—should use this research for career planning. Therefore, cybersecurity professionals should:

    Comme dans les rapports précédents, les professionnels de la cybersécurité, en particulier ceux qui en sont aux premiers stades d'une carrière dans le domaine de la cybersécurité ou ceux qui cherchent à entrer dans le domaine, devraient utiliser cette recherche pour planifier leur carrière. Par conséquent, les professionnels de la cybersécurité doivent :

    Start networking, keep networking. Survey respondents recommend that entry-level security professionals join a professional organization as a means for getting their first job. The data also shows that professional organizations act as a catalyst for job hunting, career development, and continuing education. Taken together, the ESG/ISSA research demonstrates that professional organizations can help throughout a cybersecurity career, paying dividends on time and money invested. ISSA itself is a good choice, but the data seems to indicate that cybersecurity professionals will benefit from other regional, industry, and professional organizations.

    Commencez à mettre en réseau, continuez à travailler Les répondants au sondage recommandent que les professionnels de la sécurité d'entrée de gamme rejoignent une organisation professionnelle pour décrocher leur premier emploi. Les données montrent également que les organisations professionnelles agissent comme un catalyseur pour la recherche d'emploi, le développement de carrière et la formation continue. Ensemble, la recherche ESG/AISS démontre que les organisations professionnelles peuvent aider tout au long d'une carrière en cybersécurité, en versant des dividendes sur le temps et l'argent investis. L'AISS est en soi un bon choix, mais les données semblent indiquer que les professionnels de la cybersécurité bénéficieront des avantages d'autres organisations régionales, industrielles et professionnelles.

    Resist certification loading—it doesn’t pay. After five years of research, it’s clear to ESG and ISSA that a CISSP and a few limited other certifications can be valuable building blocks for a cybersecurity career. Others may look good on a resume or business card, but cybersecurity professionals consistently claim to get far more out of hands-on experience like internships, mentoring programs, or staff rotation. Security certifications should be consumed for specific use cases, to meet job requirements, or to augment on-the-job experience period.

    Résistez au chargement de la certification : cela ne paie pas. Après cinq ans de recherche, il est clair pour ESG et l'ISSA qu'un CISSP et quelques autres certifications limitées peuvent constituer des éléments de base précieux pour une carrière en cybersécurité. D'autres peuvent paraître bien sur un CV ou une carte de visite, mais les professionnels de la cybersécurité prétendent toujours tirer beaucoup plus parti de leur expérience pratique comme les stages, les programmes de mentorat ou la rotation du personnel. Les certifications de sécurité doivent être utilisées pour des cas d'utilisation spécifiques, pour répondre aux exigences du poste ou pour augmenter la période d'expérience en cours d'emploi.

    Make a personal commitment to skills development and training. On an average year, cybersecurity professionals are expected to get about 40 hours of training. This year’s research revealed that 54% of those surveyed reported having more than 40 hours of training in the past year, 24% have had about 40 hours of training, and 21% have had less than 40 hours of training. This data seems positive, but ESG and ISSA also found that many hours of “training” are really used as a means for fulfilling CPE credits rather than real skills development. A cybersecurity professional career is analogous to a physician in that continuing education is critical for each type of profession to keep professionals’ skills and knowledge current and relevant. Therefore, cybersecurity professionals must make a commitment to skills development and training even if this means investing their own time/money or pushing back on employers that minimize continuing education. Given the ever-changing nature of cybersecurity, individuals who invest in their own skills should get a strong ROI throughout their careers.

    S'engager personnellement en faveur du développement des compétences et de la formation. En moyenne, les professionnels de la cybersécurité devraient suivre une formation d'environ 40 heures. La recherche de cette année a révélé que 54 % des personnes interrogées ont déclaré avoir suivi plus de 40 heures de formation au cours de la dernière année, 24 % ont suivi environ 40 heures de formation et 21 % ont suivi moins de 40 heures de formation. Ces données semblent positives, mais l'ESG et l'AISS ont également constaté que de nombreuses heures de « formation » sont réellement utilisées comme moyen d'obtenir des crédits de CPE plutôt que de véritables compétences. Une carrière professionnelle en cybersécurité est analogue à celle d'un médecin en ce sens que la formation continue est essentielle pour chaque type de profession afin de maintenir les compétences et les connaissances des professionnels à jour et pertinentes. Par conséquent, les professionnels de la cybersécurité doivent s'engager dans le développement des compétences et la formation, même si cela implique d'investir leur propre temps/argent ou de repousser les employeurs qui minimisent la formation continue. Compte tenu de la nature en constante évolution de la cybersécurité, les personnes qui investissent dans leurs propres compétences devraient bénéficier d'un retour sur investissement important tout au long de leur carrière.

    Pick a technology or business path to pursue. Cybersecurity careers lead to two main roads. One aligns security and business operations, culminating in “C-level” jobs like CISO, data privacy officer, etc. The other digs into the technology toward positions like security engineer, cloud security architect, threat analyst, etc. Obviously, each road requires different skills, but the ESG/ISSA research shows that many cybersecurity professionals are managing their careers haphazardly with no end goal in mind. Indeed, it’s hard to see five or ten years into the future, but at the very least, cybersecurity professionals should decide whether they see themselves in technical or business roles. Upon making this decision, they should set their sights on the chain of command and what skill sets and experiences they’ll need to climb to the next most senior positions.

    Choisissez une voie technologique ou commerciale à suivre. Les carrières en cybersécurité mènent à deux axes principaux. L'un aligne la sécurité et les opérations commerciales, aboutissant à des postes de « niveau C » tels que RSSI, Data Privacy Officer, etc. L'autre se penche sur la technologie vers des postes comme ingénieur de sécurité, architecte de sécurité cloud, analyste des menaces, etc. Évidemment, chaque voie nécessite des compétences différentes, mais la recherche ESG/ISSA montre que de nombreux professionnels de la cybersécurité gèrent leur carrière au hasard sans objectif final en tête. En effet, il est difficile de prévoir cinq ou dix ans dans l'avenir, mais à tout le moins, les professionnels de la cybersécurité devraient décider s'ils se voient dans des rôles techniques ou commerciaux. Une fois cette décision prise, ils devraient se pencher sur la chaîne de commandement et sur les compétences et expériences dont ils auront besoin pour accéder aux prochains postes les plus élevés.

    Remember that when considering a new job, relationships matter. The ESG/ISSA research indicates that cybersecurity professionals get job satisfaction from things like competitive compensation, the ability to work with a strong team and leading technologies, and additional perks for travel, training, industry participation, etc. While these are certainly worthwhile incentives, information security pros should remember that there should be plenty of open jobs offering these benefits. Therefore, ESG and ISSA recommend digging deeper by asking questions like: What’s the relationship like between security and IT departments? Do these teams collaborate well or is there friction? Do executives and the board include cybersecurity in strategic planning and decision making? What’s the relationship between the security team and HR, legal teams, and lines of business? Since cybersecurity is truly a collaborative effort, these relationships could determine cybersecurity program success. It’s worth doing some background research, asking questions, and meeting with non-technical managers as part of the interviewing process.

    N'oubliez pas que lorsque vous envisagez un nouvel emploi, les relations comptent. La recherche ESG/AISS indique que les professionnels de la cybersécurité obtiennent une satisfaction professionnelle grâce à des éléments tels que la rémunération compétitive, la capacité de travailler avec une équipe solide et des technologies de pointe, ainsi que des avantages supplémentaires pour les voyages, la formation, la participation au secteur, etc. Bien qu'il s'agisse certainement d'incitations intéressantes, les professionnels de la sécurité de l'information doivent se rappeler qu'il devrait y avoir de nombreux emplois ouverts offrant ces avantages. Par conséquent, ESG et AISS recommandent d'aller plus loin en posant des questions telles que : Quelle est la relation entre la sécurité et les services informatiques ? Ces équipes collaborent-elles bien ou y a-t-il des frictions ? Les dirigeants et le conseil d'administration incluent-ils la cybersécurité dans la planification stratégique et la prise de décision ? Quelle est la relation entre l'équipe de sécurité et les équipes RH, juridiques et secteurs d'activité ? Étant donné que la cybersécurité est un véritable effort de collaboration, ces relations pourraient déterminer le succès du programme de cybersécurité. Il vaut la peine de faire des recherches de fond, de poser des questions et de rencontrer des gestionnaires non techniques dans le cadre du processus d'entrevue.

    Takeaways for CISOs and Organizations

    Points à retenir pour les RSSI et les organisations

    This research should be used as a guideline for building a strong and happy cybersecurity team. CISOs and their organizations should heed the following advice:

    Cette recherche devrait servir de guide pour constituer une équipe de cybersécurité forte et heureuse. Les RSSI et leurs organisations doivent suivre les conseils suivants :

    For goodness sakes, pay your people! Competitive compensation came up several times in this research project and is clearly critical to hiring and retaining security personnel. Given the competition for security talent, organizations that can’t meet this threshold won’t be successful in hiring and will likely lose key security personnel who are being aggressively pursued by recruiters and other organizations constantly. CISOs must push through archaic personnel models and pay grades and take this issue right to executives and corporate boards in pursuit of near-term changes in compensation structures. Business managers must realize that without an experienced security staff, all security investments and strategies will fail.

    Pour l'amour de Dieu, payez votre peuple ! Une rémunération compétitive est apparue à plusieurs reprises dans ce projet de recherche et est clairement essentielle à l'embauche et au maintien en poste du personnel de sécurité. Compte tenu de la concurrence pour les talents en sécurité, les organisations qui ne peuvent pas atteindre ce seuil ne réussiront pas à embaucher et perdront probablement du personnel de sécurité clé qui est constamment poursuivi par les recruteurs et d'autres organisations. Les RSSI doivent adopter des modèles de personnel et des échelons de rémunération archaïques et porter cette question directement aux dirigeants et aux conseils d'administration des entreprises dans la poursuite de changements à court terme dans les structures de rémunération. Les chefs d'entreprise doivent se rendre compte que sans un personnel de sécurité expérimenté, tous les investissements et stratégies de sécurité échoueront.

    Drive security further into the business. Organizations should be alarmed by the fact that 29% of respondents said the security team’s relationship with HR is fair or poor, 28% said the relationship with line of business managers is fair or poor, 27% of respondents said that the relationship with the board of directors is fair or poor, and 24% said the relationship with the legal team is fair or poor. This should set off alarm bells to address these organizational problems as soon as possible. CISOs should immediately assess these relationships at their organizations while corporate boards should do the same. Poor relationships will lead to organizational friction, communications issues, human error, and ultimately, increased cyber-risk. The message is clear: Organizations with a cybersecurity culture are in the best position. Certainly, business executives must embrace cybersecurity, but it’s also important for CISOs to move their people, processes, and technologies closer to the business. This may take training, extended interdepartmental collaboration, and process reengineering, which are difficult but worthwhile changes.

    Entraînement de la sécurité dans l'entreprise. Les organisations devraient être alarmées par le fait que 29 % des répondants ont déclaré que la relation de l'équipe de sécurité avec les RH est juste ou mauvaise, 28 % ont déclaré que la relation avec les chefs d'entreprise est juste ou mauvaise, 27 % ont déclaré que la relation avec le conseil d'administration est juste ou mauvaise, et 24 % ont déclaré que le les relations avec l'équipe juridique sont justes ou médiocres. Cela devrait déclencher une sonnette d'alarme pour résoudre ces problèmes organisationnels dès que possible. Les RSSI devraient immédiatement évaluer ces relations au sein de leur organisation, tandis que les conseils d'administration devraient faire de même. De mauvaises relations entraîneront des frictions organisationnelles, des problèmes de communication, des erreurs humaines et, en fin de compte, un cyberrisque accru. Le message est clair : les organisations qui ont une culture de la cybersécurité sont les mieux placées. Certes, les dirigeants d'entreprise doivent adopter la cybersécurité, mais il est également important pour les RSSI de rapprocher leur personnel, leurs processus et leurs technologies de l'entreprise. Cela peut nécester une formation, une collaboration interministérielle étendue et une réingénierie des processus, qui sont des changements difficiles mais qui en valent la peine.

    Find time and resources for more cybersecurity training and skills development. Some CISOs believe that investing in training is a waste of money that serves as a free education for cybersecurity professionals who will ultimately leave the organization for greener pastures. ESG and ISSA believe this belief couldn’t be more misguided. Conscientious employees expecting continuing education will simply invest their own time and money while growing to resent the organization. Others will languish with increasingly limited skill sets. Meanwhile, cyber-risks continually rise. With the current state of the cybersecurity skills market, some employees will certainly find more lucrative opportunities, but investing in security training will improve the efficacy of the cybersecurity staff, bolster morale, and help the organizations mitigate cyber-risk. Benefits like these are well worth the investment.

    Trouvez du temps et des ressources pour davantage de formation en cybersécurité et de développement des compétences. Certains RSSI estiment qu'investir dans la formation est un gaspillage d'argent qui sert de formation gratuite aux professionnels de la cybersécurité qui finiront par quitter l'organisation pour des pâturages plus verts. L'ESG et l'AISS estiment que cette croyance ne saurait être plus malavisée. Les employés consciencieux qui s'attendent à une formation continue vont simplement investir leur temps et leur argent tout en continuant à ressentir l'organisation. D'autres vont languir avec des compétences de plus en plus limitées. Dans le même temps, les cyberrisques augmentent continuellement. Avec l'état actuel du marché des compétences en cybersécurité, certains employés trouveront certainement des opportunités plus lucratives, mais investir dans la formation en sécurité améliorera l'efficacité du personnel de cybersécurité, renforcera le moral et aidera les organisations à atténuer les risques cybernétiques. De tels avantages valent largement l'investissement.

    Since the cybersecurity skills shortage isn’t going away, develop a long-term plan to address it. As previously mentioned, the cybersecurity skills shortage has created a shortage of qualified cybersecurity professionals as well as a persistent gap in advanced cybersecurity skills. Few organizations have the resources and appeal to hire all the talent they need, and five years of ESG/ISSA data indicate that nothing is going to change anytime soon. Therefore, CISOs need a realistic strategy that assumes staffing and skills risks. For example, organizations struggling to fully staff the security operations center (SOC) should consider investing in process automation and managed services for staff augmentation. The goal here should be covering all security requirements while making the existing staff as efficient and productive as possible.

    Puisque la pénurie de compétences en cybersécurité ne disparaît pas, élaborez un plan à long terme pour y remédier. Comme mentionné précédemment, la pénurie de compétences en cybersécurité a créé une pénurie de professionnels qualifiés en cybersécurité ainsi qu'un manque persistant de compétences avancées en cybersécurité. Peu d'organisations disposent des ressources et de l'attrait nécessaires pour embaucher tous les talents dont elles ont besoin, et cinq ans de données ESG/AISS indiquent que rien ne va changer de sitôt. Par conséquent, les RSSI ont besoin d'une stratégie réaliste qui prend en charge les risques liés au personnel et aux compétences. Par exemple, les entreprises qui ont du mal à doter entièrement le centre des opérations de sécurité (SOC) devraient envisager d'investir dans l'automatisation des processus et les services gérés pour augmenter leur personnel. L'objectif ici doit être de couvrir toutes les exigences de sécurité tout en rendant le personnel existant aussi efficace et productif que possible.

    Consider what’s necessary to make your organization an attractive landing spot for cybersecurity pros. Proactive CISOs want to retain existing personnel while recruiting new employees. The ESG/ISSA research provides a recipe for doing so. First and foremost, the organization must offer competitive compensation, including benefits for continuing education and career development. Internship programs can appeal to entry-level candidates and create a pipeline for new employees, while mentoring and staff rotation programs will help train and acclimate talented individuals. Organizations that create a cybersecurity culture and push cybersecurity into business and IT planning will have a distinct advantage. Finally, CISOs should tap into professional organizations, local threat sharing groups, colleges and universities, etc., to spread the word about the benefits of employment at their organizations. While this strategy won’t eliminate attrition, it should create a healthy and attractive work environment.

    Réfléchissez à ce qui est nécessaire pour faire de votre organisation une destination attrayante pour les professionnels de la cybersécurité. Les RSSI proactifs souhaitent conserver le personnel existant tout en recrutant de nouveaux employés. La recherche ESG/AISS fournit une recette pour y parvenir. D'abord et avant tout, l'organisation doit offrir une rémunération compétitive, y compris des avantages pour la formation continue et le développement de carrière. Les programmes de stages peuvent plaire aux candidats débutants et créer un pipeline pour les nouveaux employés, tandis que les programmes de mentorat et de rotation du personnel aideront à former et à acclimater des personnes talentueuses. Les entreprises qui créent une culture de la cybersécurité et qui introduiront la cybersécurité dans la planification commerciale et informatique bénéficieront d'un avantage certain. Enfin, les RSSI devraient s'appuyer sur les organisations professionnelles, les groupes locaux de partage des menaces, les collèges et universités, etc., pour faire connaître les avantages de l'emploi dans leurs organisations. Bien que cette stratégie n'élimine pas l'attrition, elle doit créer un environnement de travail sain et attrayant.