|
Conclusion
Cybersecurity professionals continue to manage their careers in a tactical manner with little long-term planning. Many cybersecurity professionals believe that their organizations need to do more to keep up with cybersecurity requirements.
|
サイバーセキュリティの専門家は、長期計画はほとんどなく、戦術的な方法でキャリアを管理し続けています。多くのサイバーセキュリティの専門家は、組織がサイバーセキュリティの要件に追いつくためにもっと多くのことをする必要があると考えています。
|
The cybersecurity skills shortage seems to be getting worse, forcing overwhelmed cybersecurity professionals into constant firefighting. While the skills shortage will continue with no end in sight, this year’s research suggests that organizations could and should be doing more to address it.
|
サイバーセキュリティスキルの不足は悪化しているようで、圧倒的なサイバーセキュリティの専門家は絶え間なく消防に駆り出されています。スキルの不足は終わりを見ることなく続くが、今年の調査では、組織はそれに対処するためにもっと取り組むことができ、またすべきであると示唆している。
|
Takeaways for Cybersecurity Professionals
|
サイバーセキュリティの専門家にとってのポイント
|
As with past reports, cybersecurity professionals—especially those in the early stages of a cybersecurity career or individuals seeking to enter the field—should use this research for career planning. Therefore, cybersecurity professionals should:
|
過去の報告と同様に、サイバーセキュリティの専門家、特にサイバーセキュリティキャリアの初期段階にいる人、またはフィールドへの進入を目指す個人は、この研究をキャリアプランニングに活用すべきです。したがって、サイバーセキュリティの専門家は次のことをすべきです。
|
Start networking, keep networking. Survey respondents recommend that entry-level security professionals join a professional organization as a means for getting their first job. The data also shows that professional organizations act as a catalyst for job hunting, career development, and continuing education. Taken together, the ESG/ISSA research demonstrates that professional organizations can help throughout a cybersecurity career, paying dividends on time and money invested. ISSA itself is a good choice, but the data seems to indicate that cybersecurity professionals will benefit from other regional, industry, and professional organizations.
|
ネットワーキングを開始し、ネットワーキングを維持します。アンケートの回答者は、最初の仕事を得るための手段として、エントリーレベルのセキュリティ専門家を専門組織に加えることを推奨しています。このデータはまた、職業組織が就職活動、キャリア開発、継続教育の触媒として機能することも示しています。まとめると、ESG/ISSAの調査は、専門組織がサイバーセキュリティのキャリア全体を通じて支援し、投資した時間と資金で配当を支払うことができることを示しています。ISSA自体は良い選択ですが、このデータは、サイバーセキュリティの専門家が、他の地域、業界、および専門組織の恩恵を受けることを示しているようです。
|
Resist certification loading—it doesn’t pay. After five years of research, it’s clear to ESG and ISSA that a CISSP and a few limited other certifications can be valuable building blocks for a cybersecurity career. Others may look good on a resume or business card, but cybersecurity professionals consistently claim to get far more out of hands-on experience like internships, mentoring programs, or staff rotation. Security certifications should be consumed for specific use cases, to meet job requirements, or to augment on-the-job experience period.
|
認定のロードに抵抗する-それは支払わない。5 年間の調査の結果、ESG と ISSA は、CISSP とその他の限定された認定資格がサイバーセキュリティのキャリアにとって貴重なビルディングブロックになる可能性があることは明らかです。履歴書や名刺でよく見える人もいますが、サイバーセキュリティの専門家は、インターンシップ、メンタリングプログラム、スタッフローテーションなどの実践的な経験からはるかに多くを得ると一貫して主張しています。セキュリティ認定は、特定のユースケース、ジョブの要件を満たすため、またはオンザジョブエクスペリエンスの期間を増やすために使用する必要があります。
|
Make a personal commitment to skills development and training. On an average year, cybersecurity professionals are expected to get about 40 hours of training. This year’s research revealed that 54% of those surveyed reported having more than 40 hours of training in the past year, 24% have had about 40 hours of training, and 21% have had less than 40 hours of training. This data seems positive, but ESG and ISSA also found that many hours of “training” are really used as a means for fulfilling CPE credits rather than real skills development. A cybersecurity professional career is analogous to a physician in that continuing education is critical for each type of profession to keep professionals’ skills and knowledge current and relevant. Therefore, cybersecurity professionals must make a commitment to skills development and training even if this means investing their own time/money or pushing back on employers that minimize continuing education. Given the ever-changing nature of cybersecurity, individuals who invest in their own skills should get a strong ROI throughout their careers.
|
スキルの開発とトレーニングに個人的なコミットメントをしてください。平均して、サイバーセキュリティの専門家は約 40 時間のトレーニングを受けることが予想されます。今年の調査では、調査対象者の54%が過去1年間に40時間以上のトレーニングを受けたことを報告し、24%が約40時間トレーニングを受けていて、21%が40時間未満のトレーニングを受けていることを明らかにしました。このデータはポジティブに見えますが、ESGとISSAはまた、実際のスキル開発ではなく、CPEクレジットを達成するための手段として、何時間にもわたる「トレーニング」が実際に使われていることもわかりました。サイバーセキュリティの専門家のキャリアは、専門職のスキルと知識を最新かつ関連性の高い状態に保つために、職業の種類ごとに継続教育が不可欠であるという点で、医師に似ています。したがって、サイバーセキュリティの専門家は、自分の時間/お金を投資したり、継続的な教育を最小限に抑える雇用主に押し戻すことを意味する場合でも、スキルの開発とトレーニングにコミットする必要があります。絶え間なく変化するサイバーセキュリティの性質を考えると、自分のスキルに投資する個人は、キャリアを通じて強力なROIを得る必要があります。
|
Pick a technology or business path to pursue. Cybersecurity careers lead to two main roads. One aligns security and business operations, culminating in “C-level” jobs like CISO, data privacy officer, etc. The other digs into the technology toward positions like security engineer, cloud security architect, threat analyst, etc. Obviously, each road requires different skills, but the ESG/ISSA research shows that many cybersecurity professionals are managing their careers haphazardly with no end goal in mind. Indeed, it’s hard to see five or ten years into the future, but at the very least, cybersecurity professionals should decide whether they see themselves in technical or business roles. Upon making this decision, they should set their sights on the chain of command and what skill sets and experiences they’ll need to climb to the next most senior positions.
|
追求するテクノロジーまたはビジネスパスを選択します。サイバーセキュリティのキャリアは、2 つの主要な道につながります。1つは、セキュリティとビジネスオペレーションを調整し、CISO、データプライバシー担当者などの「経営幹部レベル」の職種で最高潮に達します。もう1つは、セキュリティエンジニア、クラウドセキュリティアーキテクト、脅威アナリストなどのポジションに向けてテクノロジーを掘り下げます。明らかに、各道路には異なるスキルが必要ですが、ESG/ISSAの調査ではは、多くのサイバーセキュリティの専門家が、最終目標を念頭に置いて無計画にキャリアを管理していることを示しています。実際、5年または10年先を見ることは難しいですが、少なくとも、サイバーセキュリティの専門家は、自分を技術的な役割とビジネス上の役割のどちらにするかを決定する必要があります。この決定を下すとき、彼らは指揮の連鎖と、次の上級職に登るために必要なスキルセットと経験に視点を設定する必要があります。
|
Remember that when considering a new job, relationships matter. The ESG/ISSA research indicates that cybersecurity professionals get job satisfaction from things like competitive compensation, the ability to work with a strong team and leading technologies, and additional perks for travel, training, industry participation, etc. While these are certainly worthwhile incentives, information security pros should remember that there should be plenty of open jobs offering these benefits. Therefore, ESG and ISSA recommend digging deeper by asking questions like: What’s the relationship like between security and IT departments? Do these teams collaborate well or is there friction? Do executives and the board include cybersecurity in strategic planning and decision making? What’s the relationship between the security team and HR, legal teams, and lines of business? Since cybersecurity is truly a collaborative effort, these relationships could determine cybersecurity program success. It’s worth doing some background research, asking questions, and meeting with non-technical managers as part of the interviewing process.
|
新しい仕事を考えるとき、関係は重要であることを忘れないでください。ESG/ISSAの調査によると、サイバーセキュリティの専門家は、競争上の報酬、強力なチームと連携する能力、主要なテクノロジーと連携する能力、旅行、トレーニング、業界参加などの追加特典などから仕事の満足度を得ていることが示されています。これらは確かに価値のあるインセンティブですが、情報セキュリティのプロは、これらの利点を提供するオープンジョブがたくさんあるべきであることを覚えておく必要があります。したがって、ESGとISSAは、「セキュリティ部門とIT部門の関係はどのようなものですか」などの質問をして、より深く掘り下げることを推奨しています。これらのチームはうまく協力していますか、それとも摩擦がありますか?経営幹部や取締役会は、戦略的計画と意思決定にサイバーセキュリティを含めますか?セキュリティチームと人事、法務チーム、および事業部門との間にはどのような関係がありますか。サイバーセキュリティは本当に共同作業であるため、これらの関係がサイバーセキュリティプログラムの成功を決定する可能性があります。面接プロセスの一環として、いくつかのバックグラウンドリサーチ、質問、非技術マネージャーとのミーティングを行うことは価値があります。
|
Takeaways for CISOs and Organizations
|
CISOと組織にとっての重要ポイント
|
This research should be used as a guideline for building a strong and happy cybersecurity team. CISOs and their organizations should heed the following advice:
|
この調査は、強力で幸せなサイバーセキュリティチームを構築するためのガイドラインとして使用する必要があります。CISOとその組織は、次のアドバイスに注意する必要があります。
|
For goodness sakes, pay your people! Competitive compensation came up several times in this research project and is clearly critical to hiring and retaining security personnel. Given the competition for security talent, organizations that can’t meet this threshold won’t be successful in hiring and will likely lose key security personnel who are being aggressively pursued by recruiters and other organizations constantly. CISOs must push through archaic personnel models and pay grades and take this issue right to executives and corporate boards in pursuit of near-term changes in compensation structures. Business managers must realize that without an experienced security staff, all security investments and strategies will fail.
|
お前の身分に金を払え!この研究プロジェクトでは、競争的報酬が数回発生し、セキュリティ担当者の雇用と維持には明らかに重要です。セキュリティ人材の競争を考えると、この基準を満たすことができない組織は雇用に成功しないため、採用担当者や他の組織によって常に積極的に追求されている主要なセキュリティ担当者を失う可能性があります。CISOは、報酬構造の短期的な変更を追求するために、古風な人事モデルと給与成績を推進し、この問題を役員や取締役会に権利を持たなければなりません。ビジネスマネージャーは、経験豊富なセキュリティスタッフがいなければ、すべてのセキュリティ投資と戦略が失敗することを認識しなければなりません。
|
Drive security further into the business. Organizations should be alarmed by the fact that 29% of respondents said the security team’s relationship with HR is fair or poor, 28% said the relationship with line of business managers is fair or poor, 27% of respondents said that the relationship with the board of directors is fair or poor, and 24% said the relationship with the legal team is fair or poor. This should set off alarm bells to address these organizational problems as soon as possible. CISOs should immediately assess these relationships at their organizations while corporate boards should do the same. Poor relationships will lead to organizational friction, communications issues, human error, and ultimately, increased cyber-risk. The message is clear: Organizations with a cybersecurity culture are in the best position. Certainly, business executives must embrace cybersecurity, but it’s also important for CISOs to move their people, processes, and technologies closer to the business. This may take training, extended interdepartmental collaboration, and process reengineering, which are difficult but worthwhile changes.
|
セキュリティをビジネスにさらに進めます。組織は、回答者の 29% がセキュリティチームと人事との関係が公平または貧弱であると回答し、28% が基幹業務管理者との関係が公平または貧弱であると回答し、27% の回答者が取締役会との関係が公平または貧弱であると回答し、24% が法務チームとの関係は公平か貧しい。これにより、これらの組織上の問題にできるだけ早く対処するための警鐘が鳴るはずです。CISOは、組織におけるこれらの関係を直ちに評価し、企業の取締役会も同様に行う必要があります。関係が悪いと、組織の摩擦、コミュニケーションの問題、ヒューマンエラーにつながり、最終的にはサイバーリスクが増加します。メッセージは明らかです。サイバーセキュリティ文化を持つ組織は最高の立場にあります。確かに、経営幹部はサイバーセキュリティを採用する必要がありますが、CISOにとっては、人材、プロセス、テクノロジーをビジネスの近くに移動することも重要です。これには、トレーニング、部門間のコラボレーションの拡張、プロセスのリエンジニアリングが必要になる場合がありますが、これは困難ですが価値のある変更です。
|
Find time and resources for more cybersecurity training and skills development. Some CISOs believe that investing in training is a waste of money that serves as a free education for cybersecurity professionals who will ultimately leave the organization for greener pastures. ESG and ISSA believe this belief couldn’t be more misguided. Conscientious employees expecting continuing education will simply invest their own time and money while growing to resent the organization. Others will languish with increasingly limited skill sets. Meanwhile, cyber-risks continually rise. With the current state of the cybersecurity skills market, some employees will certainly find more lucrative opportunities, but investing in security training will improve the efficacy of the cybersecurity staff, bolster morale, and help the organizations mitigate cyber-risk. Benefits like these are well worth the investment.
|
サイバーセキュリティトレーニングとスキル開発のための時間とリソースを見つけてください。一部のCISOは、トレーニングへの投資はお金の無駄であり、最終的にはより環境に優しい牧草地のために組織を離れるサイバーセキュリティの専門家のための無料の教育として機能すると考えています。ESGとISSAは、この信念はこれ以上見当違いではないと信じています。継続教育を期待している良心的な従業員は、組織に憤慨するために成長しながら、自分の時間とお金を投資するだけです。他の人たちは、ますます限られたスキルセットで衰えるでしょう。一方、サイバーリスクは継続的に上昇しています。サイバーセキュリティスキル市場の現状では、一部の従業員は確かに収益性の高い機会を見つけることができますが、セキュリティトレーニングに投資することで、サイバーセキュリティスタッフの有効性が向上し、士気が高まり、組織がサイバーリスクを軽減するのに役立ちます。このようなメリットは、投資する価値があります。
|
Since the cybersecurity skills shortage isn’t going away, develop a long-term plan to address it. As previously mentioned, the cybersecurity skills shortage has created a shortage of qualified cybersecurity professionals as well as a persistent gap in advanced cybersecurity skills. Few organizations have the resources and appeal to hire all the talent they need, and five years of ESG/ISSA data indicate that nothing is going to change anytime soon. Therefore, CISOs need a realistic strategy that assumes staffing and skills risks. For example, organizations struggling to fully staff the security operations center (SOC) should consider investing in process automation and managed services for staff augmentation. The goal here should be covering all security requirements while making the existing staff as efficient and productive as possible.
|
サイバーセキュリティスキルの不足は解消されないので、それに対処するための長期計画を立ててください。前述したように、サイバーセキュリティスキルの不足により、資格のあるサイバーセキュリティの専門家が不足し、高度なサイバーセキュリティスキルに永続的なギャップが生じています。リソースを持ち、必要な人材をすべて雇用することを訴える組織はほとんどなく、5年間のESG/ISSAのデータによると、すぐに何も変わらないことが示されています。したがって、CISOは、人員配置とスキルのリスクを前提とした現実的な戦略を必要としています。たとえば、セキュリティオペレーションセンター(SOC)のスタッフを十分に確保するのに苦労している組織は、スタッフ増強のためのプロセス自動化とマネージドサービスへの投資を検討する必要があります。ここでの目標は、既存のスタッフを可能な限り効率的かつ生産的にしながら、すべてのセキュリティ要件をカバーすることです。
|
Consider what’s necessary to make your organization an attractive landing spot for cybersecurity pros. Proactive CISOs want to retain existing personnel while recruiting new employees. The ESG/ISSA research provides a recipe for doing so. First and foremost, the organization must offer competitive compensation, including benefits for continuing education and career development. Internship programs can appeal to entry-level candidates and create a pipeline for new employees, while mentoring and staff rotation programs will help train and acclimate talented individuals. Organizations that create a cybersecurity culture and push cybersecurity into business and IT planning will have a distinct advantage. Finally, CISOs should tap into professional organizations, local threat sharing groups, colleges and universities, etc., to spread the word about the benefits of employment at their organizations. While this strategy won’t eliminate attrition, it should create a healthy and attractive work environment.
|
組織をサイバーセキュリティのプロにとって魅力的なランディングスポットにするために必要なものを検討してください。プロアクティブなCISOは、新しい従業員を採用しながら、既存の人員を維持したいと考えています。ESG/ISSAの調査では、そのためのレシピが提供されています。まず第一に、組織は、継続教育やキャリア開発のための給付を含む、競争力のある報酬を提供する必要があります。インターンシッププログラムは、エントリーレベルの候補者にアピールし、新入社員のためのパイプラインを作り出すことができます。一方、メンタリングとスタッフローテーションプログラムは、有能な個人の訓練と習合に役立ちます。サイバーセキュリティ文化を作り、サイバーセキュリティをビジネスとIT計画に押し込む組織には、明確な利点があります。最後に、CISOは、専門組織、地域の脅威共有グループ、カレッジや大学などを活用して、組織での雇用のメリットについての言葉を広める必要があります。この戦略は消耗を排除するわけではないものの、健康的で魅力的な職場環境を作り出すはずです。
|
|
|