|
|
Conclusion
|
Cybersecurity professionals continue to manage their careers in a tactical manner with little long-term planning. Many cybersecurity professionals believe that their organizations need to do more to keep up with cybersecurity requirements.
|
I professionisti della sicurezza informatica continuano a gestire la propria carriera in modo tattico con poca pianificazione a lungo termine. molti professionisti della sicurezza informatica ritengono che le loro organizzazioni debbano fare di più per stare al passo con i requisiti di sicurezza informatica.
|
|
The cybersecurity skills shortage seems to be getting worse, forcing overwhelmed cybersecurity professionals into constant firefighting. While the skills shortage will continue with no end in sight, this year’s research suggests that organizations could and should be doing more to address it.
|
La carenza di competenze in materia di sicurezza informatica sembra peggiorare, costringendo i professionisti della sicurezza informatica sopraffatti a una lotta antincendio costante. Mentre la carenza di competenze continuerà senza fine in vista, la ricerca di quest'anno suggerisce che le organizzazioni potrebbero e dovrebbero fare di più per affrontarla.
|
Takeaways for Cybersecurity Professionals
|
Takeaway per i professionisti della sicurezza informatica
|
|
As with past reports, cybersecurity professionals—especially those in the early stages of a cybersecurity career or individuals seeking to enter the field—should use this research for career planning. Therefore, cybersecurity professionals should:
|
Come per i rapporti precedenti, i professionisti della sicurezza informatica, in particolare quelli nelle prime fasi di una carriera nella sicurezza informatica o le persone che cercano di entrare nel campo, dovrebbero utilizzare questa ricerca per la pianificazione della carriera. Pertanto, i professionisti della sicurezza informatica dovrebbero:
|
|
Start networking, keep networking. Survey respondents recommend that entry-level security professionals join a professional organization as a means for getting their first job. The data also shows that professional organizations act as a catalyst for job hunting, career development, and continuing education. Taken together, the ESG/ISSA research demonstrates that professional organizations can help throughout a cybersecurity career, paying dividends on time and money invested. ISSA itself is a good choice, but the data seems to indicate that cybersecurity professionals will benefit from other regional, industry, and professional organizations.
|
Inizia a fare rete, continua a fare rete. Gli intervistati raccomandano che i professionisti della sicurezza entry-level si uniscano a un'organizzazione professionale come mezzo per ottenere il loro primo lavoro. I dati mostrano anche che le organizzazioni professionali fungono da catalizzatore per la ricerca di lavoro, lo sviluppo della carriera e la formazione continua. Nel loro insieme, la ricerca ESG/ISSA dimostra che le organizzazioni professionali possono aiutare durante una carriera nella sicurezza informatica, pagando dividendi in tempo e denaro investiti. La stessa ISSA è una buona scelta, ma i dati sembrano indicare che i professionisti della sicurezza informatica trarranno vantaggio da altre organizzazioni regionali, industriali e professionali.
|
|
Resist certification loading—it doesn’t pay. After five years of research, it’s clear to ESG and ISSA that a CISSP and a few limited other certifications can be valuable building blocks for a cybersecurity career. Others may look good on a resume or business card, but cybersecurity professionals consistently claim to get far more out of hands-on experience like internships, mentoring programs, or staff rotation. Security certifications should be consumed for specific use cases, to meet job requirements, or to augment on-the-job experience period.
|
Resistere al caricamento della certificazione: non paga. Dopo cinque anni di ricerca, è chiaro a ESG e ISSA che un CISSP e alcune altre certificazioni limitate possono essere elementi costitutivi preziosi per una carriera nella sicurezza informatica. Altri possono avere un bell'aspetto su un curriculum o un biglietto da visita, ma i professionisti della sicurezza informatica affermano costantemente di ottenere molto di più dall'esperienza pratica come stage, programmi di mentoring o rotazione del personale. Le certificazioni di sicurezza dovrebbero essere utilizzate per casi d'uso specifici, per soddisfare i requisiti di lavoro o per aumentare il periodo di esperienza sul posto di lavoro.
|
|
Make a personal commitment to skills development and training. On an average year, cybersecurity professionals are expected to get about 40 hours of training. This year’s research revealed that 54% of those surveyed reported having more than 40 hours of training in the past year, 24% have had about 40 hours of training, and 21% have had less than 40 hours of training. This data seems positive, but ESG and ISSA also found that many hours of “training” are really used as a means for fulfilling CPE credits rather than real skills development. A cybersecurity professional career is analogous to a physician in that continuing education is critical for each type of profession to keep professionals’ skills and knowledge current and relevant. Therefore, cybersecurity professionals must make a commitment to skills development and training even if this means investing their own time/money or pushing back on employers that minimize continuing education. Given the ever-changing nature of cybersecurity, individuals who invest in their own skills should get a strong ROI throughout their careers.
|
Impegnati personalmente per lo sviluppo e la formazione delle competenze. In un anno medio, i professionisti della sicurezza informatica dovrebbero ricevere circa 40 ore di formazione. La ricerca di quest'anno ha rivelato che il 54% degli intervistati ha riferito di aver avuto più di 40 ore di formazione nell'ultimo anno, il 24% ha avuto circa 40 ore di formazione e il 21% ha avuto meno di 40 ore di formazione. Questi dati sembrano positivi, ma ESG e ISSA hanno anche scoperto che molte ore di «formazione» sono realmente utilizzate come mezzo per soddisfare i crediti CPE piuttosto che per lo sviluppo reale delle competenze. Una carriera professionale nella sicurezza informatica è analoga a quella di un medico in quanto la formazione continua è fondamentale per ogni tipo di professione per mantenere le competenze e le conoscenze dei professionisti attuali e pertinenti. Pertanto, i professionisti della sicurezza informatica devono impegnarsi nello sviluppo e nella formazione delle competenze anche se ciò significa investire tempo/denaro o respingere i datori di lavoro che riducono al minimo la formazione continua. Data la natura in continua evoluzione della sicurezza informatica, le persone che investono nelle proprie competenze dovrebbero ottenere un ROI forte durante la loro carriera.
|
|
Pick a technology or business path to pursue. Cybersecurity careers lead to two main roads. One aligns security and business operations, culminating in “C-level” jobs like CISO, data privacy officer, etc. The other digs into the technology toward positions like security engineer, cloud security architect, threat analyst, etc. Obviously, each road requires different skills, but the ESG/ISSA research shows that many cybersecurity professionals are managing their careers haphazardly with no end goal in mind. Indeed, it’s hard to see five or ten years into the future, but at the very least, cybersecurity professionals should decide whether they see themselves in technical or business roles. Upon making this decision, they should set their sights on the chain of command and what skill sets and experiences they’ll need to climb to the next most senior positions.
|
Scegli una tecnologia o un percorso aziendale da perseguire. Le carriere nella sicurezza informatica portano a due strade principali. Uno allinea la sicurezza e le operazioni aziendali, culminando in lavori di «livello C» come CISO, responsabile della privacy dei dati, ecc. L'altro scava nella tecnologia verso posizioni come ingegnere della sicurezza, architetto della sicurezza cloud, analista delle minacce, ecc. Ovviamente, ogni strada richiede competenze diverse, ma la ricerca ESG/ISSA dimostra che molti professionisti della sicurezza informatica stanno gestendo la propria carriera a casaccio senza un obiettivo finale in mente. In effetti, è difficile vedere cinque o dieci anni nel futuro, ma almeno i professionisti della sicurezza informatica dovrebbero decidere se si vedono in ruoli tecnici o aziendali. Dopo aver preso questa decisione, dovrebbero mettere gli occhi sulla catena di comando e su quali abilità ed esperienze avranno bisogno per scalare le posizioni successive più senior.
|
|
Remember that when considering a new job, relationships matter. The ESG/ISSA research indicates that cybersecurity professionals get job satisfaction from things like competitive compensation, the ability to work with a strong team and leading technologies, and additional perks for travel, training, industry participation, etc. While these are certainly worthwhile incentives, information security pros should remember that there should be plenty of open jobs offering these benefits. Therefore, ESG and ISSA recommend digging deeper by asking questions like: What’s the relationship like between security and IT departments? Do these teams collaborate well or is there friction? Do executives and the board include cybersecurity in strategic planning and decision making? What’s the relationship between the security team and HR, legal teams, and lines of business? Since cybersecurity is truly a collaborative effort, these relationships could determine cybersecurity program success. It’s worth doing some background research, asking questions, and meeting with non-technical managers as part of the interviewing process.
|
Ricorda che quando consideri un nuovo lavoro, le relazioni contano. La ricerca ESG/ISSA indica che i professionisti della sicurezza informatica ottengono soddisfazione sul lavoro da fattori come la compensazione competitiva, la capacità di lavorare con un team forte e tecnologie all'avanguardia e vantaggi aggiuntivi per viaggi, formazione, partecipazione al settore, ecc. i professionisti della sicurezza delle informazioni dovrebbero ricordare che dovrebbero esserci molti posti di lavoro aperti che offrono questi vantaggi. Pertanto, ESG e ISSA consigliano di approfondire ponendo domande come: Qual è la relazione tra reparti di sicurezza e IT? Questi team collaborano bene o ci sono attriti? I dirigenti e il consiglio di amministrazione includono la sicurezza informatica nella pianificazione strategica e nel processo decisionale? Qual è la relazione tra il team di sicurezza e le risorse umane, i team legali e le linee di business? Poiché la sicurezza informatica è davvero uno sforzo collaborativo, queste relazioni potrebbero determinare il successo del programma di sicurezza informatica. Vale la pena fare qualche ricerca di base, porre domande e incontrare manager non tecnici come parte del processo di intervista.
|
Takeaways for CISOs and Organizations
|
Takeaway per CISO e organizzazioni
|
|
This research should be used as a guideline for building a strong and happy cybersecurity team. CISOs and their organizations should heed the following advice:
|
Questa ricerca dovrebbe essere utilizzata come linea guida per la creazione di un team di sicurezza informatica forte e felice. I CISO e le loro organizzazioni dovrebbero prestare attenzione ai seguenti consigli:
|
|
For goodness sakes, pay your people! Competitive compensation came up several times in this research project and is clearly critical to hiring and retaining security personnel. Given the competition for security talent, organizations that can’t meet this threshold won’t be successful in hiring and will likely lose key security personnel who are being aggressively pursued by recruiters and other organizations constantly. CISOs must push through archaic personnel models and pay grades and take this issue right to executives and corporate boards in pursuit of near-term changes in compensation structures. Business managers must realize that without an experienced security staff, all security investments and strategies will fail.
|
Per l'amor del cielo, paga la tua gente! La compensazione competitiva è emersa più volte in questo progetto di ricerca ed è chiaramente fondamentale per assumere e trattenere il personale di sicurezza. Data la competizione per i talenti della sicurezza, le organizzazioni che non riescono a raggiungere questa soglia non avranno successo nell'assunzione e probabilmente perderanno personale chiave di sicurezza che viene costantemente perseguito in modo aggressivo dai reclutatori e da altre organizzazioni. I CISO devono spingere attraverso modelli di personale arcaici e livelli retributivi e portare questo problema direttamente ai dirigenti e ai consigli di amministrazione aziendali per perseguire cambiamenti a breve termine nelle strutture retributive. I manager aziendali devono rendersi conto che senza uno staff esperto di sicurezza, tutti gli investimenti e le strategie di sicurezza falliranno.
|
|
Drive security further into the business. Organizations should be alarmed by the fact that 29% of respondents said the security team’s relationship with HR is fair or poor, 28% said the relationship with line of business managers is fair or poor, 27% of respondents said that the relationship with the board of directors is fair or poor, and 24% said the relationship with the legal team is fair or poor. This should set off alarm bells to address these organizational problems as soon as possible. CISOs should immediately assess these relationships at their organizations while corporate boards should do the same. Poor relationships will lead to organizational friction, communications issues, human error, and ultimately, increased cyber-risk. The message is clear: Organizations with a cybersecurity culture are in the best position. Certainly, business executives must embrace cybersecurity, but it’s also important for CISOs to move their people, processes, and technologies closer to the business. This may take training, extended interdepartmental collaboration, and process reengineering, which are difficult but worthwhile changes.
|
Promuovi ulteriormente la sicurezza nel business. Le organizzazioni dovrebbero essere allarmate dal fatto che il 29% degli intervistati ha affermato che il rapporto del team di sicurezza con le risorse umane è equo o scadente, il 28% ha affermato che il rapporto con la linea di manager aziendali è equo o scadente, il 27% degli intervistati ha affermato che il rapporto con il consiglio di amministrazione è equo o scarso e il 24% ha affermato che il il rapporto con il team legale è equo o scadente. Questo dovrebbe far scattare un campanello d'allarme per risolvere questi problemi organizzativi il prima possibile. I CISO dovrebbero valutare immediatamente queste relazioni presso le loro organizzazioni, mentre i consigli di amministrazione aziendali dovrebbero fare lo stesso. Le cattive relazioni porteranno a attriti organizzativi, problemi di comunicazione, errori umani e, in definitiva, un aumento del rischio informatico. Il messaggio è chiaro: le organizzazioni con una cultura della sicurezza informatica sono nella posizione migliore. Certamente, i dirigenti aziendali devono adottare la sicurezza informatica, ma è anche importante che i CISO avvicinino le persone, i processi e le tecnologie al business. Ciò può richiedere formazione, collaborazione interdipartimentale estesa e reingegnerizzazione dei processi, cambiamenti difficili ma utili.
|
|
Find time and resources for more cybersecurity training and skills development. Some CISOs believe that investing in training is a waste of money that serves as a free education for cybersecurity professionals who will ultimately leave the organization for greener pastures. ESG and ISSA believe this belief couldn’t be more misguided. Conscientious employees expecting continuing education will simply invest their own time and money while growing to resent the organization. Others will languish with increasingly limited skill sets. Meanwhile, cyber-risks continually rise. With the current state of the cybersecurity skills market, some employees will certainly find more lucrative opportunities, but investing in security training will improve the efficacy of the cybersecurity staff, bolster morale, and help the organizations mitigate cyber-risk. Benefits like these are well worth the investment.
|
Trova tempo e risorse per una maggiore formazione sulla sicurezza informatica e lo sviluppo delle competenze. Alcuni CISO ritengono che investire nella formazione sia uno spreco di denaro che funge da istruzione gratuita per i professionisti della sicurezza informatica che alla fine lasceranno l'organizzazione per pascoli più verdi. ESG e ISSA ritengono che questa convinzione non possa essere più fuorviante. I dipendenti coscienziosi che si aspettano una formazione continua investiranno semplicemente il proprio tempo e denaro mentre crescono per risentirsi dell'organizzazione. Altri languiranno con competenze sempre più limitate. Nel frattempo, i rischi informatici aumentano continuamente. Con lo stato attuale del mercato delle competenze di sicurezza informatica, alcuni dipendenti troveranno sicuramente opportunità più redditizie, ma investire nella formazione sulla sicurezza migliorerà l'efficacia del personale di sicurezza informatica, rafforzerà il morale e aiuterà le organizzazioni a mitigare il rischio informatico. Vantaggi come questi valgono l'investimento.
|
|
Since the cybersecurity skills shortage isn’t going away, develop a long-term plan to address it. As previously mentioned, the cybersecurity skills shortage has created a shortage of qualified cybersecurity professionals as well as a persistent gap in advanced cybersecurity skills. Few organizations have the resources and appeal to hire all the talent they need, and five years of ESG/ISSA data indicate that nothing is going to change anytime soon. Therefore, CISOs need a realistic strategy that assumes staffing and skills risks. For example, organizations struggling to fully staff the security operations center (SOC) should consider investing in process automation and managed services for staff augmentation. The goal here should be covering all security requirements while making the existing staff as efficient and productive as possible.
|
Poiché la carenza di competenze in materia di sicurezza informatica non sta scomparendo, sviluppa un piano a lungo termine per affrontarla. Come accennato in precedenza, la carenza di competenze in materia di sicurezza informatica ha creato una carenza di professionisti qualificati della sicurezza informatica e un persistente divario nelle competenze avanzate di sicurezza informatica. Poche organizzazioni hanno le risorse e l'appello per assumere tutti i talenti di cui hanno bisogno e cinque anni di dati ESG/ISSA indicano che nulla cambierà presto. Pertanto, i CISO hanno bisogno di una strategia realistica che presupponga rischi per il personale e le competenze. Ad esempio, le organizzazioni che lottano per il personale completo del centro operativo di sicurezza (SOC) dovrebbero prendere in considerazione l'idea di investire nell'automazione dei processi e nei servizi gestiti per l'aumento del personale. L'obiettivo dovrebbe essere quello di coprire tutti i requisiti di sicurezza, rendendo il personale esistente il più efficiente e produttivo possibile.
|
|
Consider what’s necessary to make your organization an attractive landing spot for cybersecurity pros. Proactive CISOs want to retain existing personnel while recruiting new employees. The ESG/ISSA research provides a recipe for doing so. First and foremost, the organization must offer competitive compensation, including benefits for continuing education and career development. Internship programs can appeal to entry-level candidates and create a pipeline for new employees, while mentoring and staff rotation programs will help train and acclimate talented individuals. Organizations that create a cybersecurity culture and push cybersecurity into business and IT planning will have a distinct advantage. Finally, CISOs should tap into professional organizations, local threat sharing groups, colleges and universities, etc., to spread the word about the benefits of employment at their organizations. While this strategy won’t eliminate attrition, it should create a healthy and attractive work environment.
|
Considera cosa è necessario per rendere la tua organizzazione un punto di arrivo attraente per i professionisti della sicurezza informatica. I CISO proattivi vogliono mantenere il personale esistente mentre reclutano nuovi dipendenti. La ricerca ESG/ISSA fornisce una ricetta per farlo. Innanzitutto, l'organizzazione deve offrire un compenso competitivo, compresi i benefici per la formazione continua e lo sviluppo della carriera. I programmi di tirocinio possono attirare i candidati entry-level e creare una pipeline per i nuovi dipendenti, mentre i programmi di mentoring e rotazione del personale aiuteranno a formare e acclimatare individui di talento. Le organizzazioni che creano una cultura della sicurezza informatica e spingono la sicurezza informatica nella pianificazione aziendale e IT avranno un netto vantaggio. Infine, i CISO dovrebbero attingere a organizzazioni professionali, gruppi locali di condivisione delle minacce, college e università, ecc., per diffondere la voce sui benefici dell'occupazione nelle loro organizzazioni. Sebbene questa strategia non elimini il logoramento, dovrebbe creare un ambiente di lavoro sano e attraente.
|
|
|