|
Conclusion
Cybersecurity professionals continue to manage their careers in a tactical manner with little long-term planning. Many cybersecurity professionals believe that their organizations need to do more to keep up with cybersecurity requirements.
|
Os profissionais de segurança cibernética continuam gerenciando suas carreiras de maneira tática, com pouco planejamento a longo prazo.Muitos profissionais de segurança cibernética acreditam que suas organizações precisam fazer mais para acompanhar os requisitos de segurança cibernética.
|
The cybersecurity skills shortage seems to be getting worse, forcing overwhelmed cybersecurity professionals into constant firefighting. While the skills shortage will continue with no end in sight, this year’s research suggests that organizations could and should be doing more to address it.
|
A escassez de habilidades de segurança cibernética parece estar piorando, forçando profissionais sobrecarregados de segurança cibernética a constantes combate a incêndios. Embora a escassez de habilidades continue sem fim à vista, a pesquisa deste ano sugere que as organizações podem e deveriam estar fazendo mais para lidar com isso.
|
Takeaways for Cybersecurity Professionals
|
Conseguições para profissionais de segurança cibernética
|
As with past reports, cybersecurity professionals—especially those in the early stages of a cybersecurity career or individuals seeking to enter the field—should use this research for career planning. Therefore, cybersecurity professionals should:
|
Assim como nos relatórios anteriores, os profissionais de segurança cibernética - especialmente aqueles nos estágios iniciais de uma carreira em segurança cibernética ou indivíduos que desejam entrar no campo - devem usar essa pesquisa para o planejamento de carreira. Portanto, os profissionais de segurança cibernética devem:
|
Start networking, keep networking. Survey respondents recommend that entry-level security professionals join a professional organization as a means for getting their first job. The data also shows that professional organizations act as a catalyst for job hunting, career development, and continuing education. Taken together, the ESG/ISSA research demonstrates that professional organizations can help throughout a cybersecurity career, paying dividends on time and money invested. ISSA itself is a good choice, but the data seems to indicate that cybersecurity professionals will benefit from other regional, industry, and professional organizations.
|
Comece a trabalhar em rede, continue fazendo networking. Os entrevistados recomendam que os profissionais de segurança de nível básico se juntem a uma organização profissional como um meio de conseguir seu primeiro emprego. Os dados também mostram que as organizações profissionais atuam como um catalisador para a procura de emprego, desenvolvimento de carreira e educação continuada. Em conjunto, a pesquisa ESG/ISSA demonstra que organizações profissionais podem ajudar ao longo de uma carreira de segurança cibernética, pagando dividendos em tempo e dinheiro investidos. A própria ISSA é uma boa escolha, mas os dados parecem indicar que os profissionais de segurança cibernética se beneficiarão de outras organizações regionais, industriais e profissionais.
|
Resist certification loading—it doesn’t pay. After five years of research, it’s clear to ESG and ISSA that a CISSP and a few limited other certifications can be valuable building blocks for a cybersecurity career. Others may look good on a resume or business card, but cybersecurity professionals consistently claim to get far more out of hands-on experience like internships, mentoring programs, or staff rotation. Security certifications should be consumed for specific use cases, to meet job requirements, or to augment on-the-job experience period.
|
Resista ao carregamento da certificação — não paga. Após cinco anos de pesquisa, fica claro para o ESG e a ISSA que um CISSP e algumas outras certificações limitadas podem ser elementos essenciais para uma carreira em segurança cibernética. Outros podem ficar bem em um currículo ou cartão de visita, mas os profissionais de segurança cibernética afirmam consistentemente obter muito mais da experiência prática, como estágios, programas de mentoria ou rotação de funcionários. As certificações de segurança devem ser consumidas para casos de uso específicos, para atender aos requisitos do trabalho ou para aumentar o período de experiência no trabalho.
|
Make a personal commitment to skills development and training. On an average year, cybersecurity professionals are expected to get about 40 hours of training. This year’s research revealed that 54% of those surveyed reported having more than 40 hours of training in the past year, 24% have had about 40 hours of training, and 21% have had less than 40 hours of training. This data seems positive, but ESG and ISSA also found that many hours of “training” are really used as a means for fulfilling CPE credits rather than real skills development. A cybersecurity professional career is analogous to a physician in that continuing education is critical for each type of profession to keep professionals’ skills and knowledge current and relevant. Therefore, cybersecurity professionals must make a commitment to skills development and training even if this means investing their own time/money or pushing back on employers that minimize continuing education. Given the ever-changing nature of cybersecurity, individuals who invest in their own skills should get a strong ROI throughout their careers.
|
Assuma um compromisso pessoal com o desenvolvimento e o treinamento de habilidades. Em média, um ano, espera-se que os profissionais de segurança cibernética recebam cerca de 40 horas de treinamento. A pesquisa deste ano revelou que 54% dos entrevistados relataram ter mais de 40 horas de treinamento no ano passado, 24% tiveram cerca de 40 horas de treinamento e 21% tiveram menos de 40 horas de treinamento. Esses dados parecem positivos, mas o ESG e a ISSA também descobriram que muitas horas de “treinamento” são realmente usadas como um meio para cumprir créditos de CPE em vez de desenvolvimento de habilidades reais. Uma carreira profissional de segurança cibernética é análoga a um médico, pois a educação continuada é fundamental para cada tipo de profissão, a fim de manter as habilidades e os conhecimentos dos profissionais atuais e relevantes. Portanto, os profissionais de segurança cibernética devem se comprometer com o desenvolvimento e o treinamento de habilidades, mesmo que isso signifique investir seu próprio tempo/dinheiro ou recuar nos empregadores que minimizam a educação continuada. Dada a natureza em constante mudança da segurança cibernética, os indivíduos que investem em suas próprias habilidades devem obter um forte ROI ao longo de suas carreiras.
|
Pick a technology or business path to pursue. Cybersecurity careers lead to two main roads. One aligns security and business operations, culminating in “C-level” jobs like CISO, data privacy officer, etc. The other digs into the technology toward positions like security engineer, cloud security architect, threat analyst, etc. Obviously, each road requires different skills, but the ESG/ISSA research shows that many cybersecurity professionals are managing their careers haphazardly with no end goal in mind. Indeed, it’s hard to see five or ten years into the future, but at the very least, cybersecurity professionals should decide whether they see themselves in technical or business roles. Upon making this decision, they should set their sights on the chain of command and what skill sets and experiences they’ll need to climb to the next most senior positions.
|
Escolha um caminho de tecnologia ou de negócios a seguir. As carreiras de segurança cibernética levam a dois caminhos principais. Um alinha as operações de segurança e negócios, culminando em trabalhos de “nível C” como CISO, oficial de privacidade de dados, etc. O outro investiga a tecnologia para posições como engenheiro de segurança, arquiteto de segurança em nuvem, analista de ameaças, etc. Obviamente, cada estrada requer habilidades diferentes, mas a pesquisa ESG/ISSA mostra que muitos profissionais de segurança cibernética estão gerenciando suas carreiras ao acaso, sem nenhum objetivo final em mente. Na verdade, é difícil ver cinco ou dez anos no futuro, mas, no mínimo, os profissionais de segurança cibernética devem decidir se eles se veem em funções técnicas ou de negócios. Ao tomar essa decisão, eles devem focar na cadeia de comando e quais conjuntos de habilidades e experiências precisarão para subir para as próximas posições mais importantes.
|
Remember that when considering a new job, relationships matter. The ESG/ISSA research indicates that cybersecurity professionals get job satisfaction from things like competitive compensation, the ability to work with a strong team and leading technologies, and additional perks for travel, training, industry participation, etc. While these are certainly worthwhile incentives, information security pros should remember that there should be plenty of open jobs offering these benefits. Therefore, ESG and ISSA recommend digging deeper by asking questions like: What’s the relationship like between security and IT departments? Do these teams collaborate well or is there friction? Do executives and the board include cybersecurity in strategic planning and decision making? What’s the relationship between the security team and HR, legal teams, and lines of business? Since cybersecurity is truly a collaborative effort, these relationships could determine cybersecurity program success. It’s worth doing some background research, asking questions, and meeting with non-technical managers as part of the interviewing process.
|
Lembre-se de que, ao considerar um novo emprego, os relacionamentos são importantes. A pesquisa da ESG/ISSA indica que os profissionais de segurança cibernética obtêm satisfação no trabalho com coisas como remuneração competitiva, a capacidade de trabalhar com uma equipe forte e tecnologias líderes e vantagens adicionais para viagens, treinamento, participação no setor, etc. os profissionais de segurança da informação devem se lembrar de que deve haver muitos empregos abertos oferecendo esses benefícios. Portanto, o ESG e a ISSA recomendam se aprofundar fazendo perguntas como: Como é a relação entre os departamentos de segurança e TI? Essas equipes colaboram bem ou há atrito? Os executivos e o conselho incluem segurança cibernética no planejamento estratégico e na tomada de decisões? Qual é a relação entre a equipe de segurança e o RH, as equipes jurídicas e as linhas de negócios? Como a segurança cibernética é verdadeiramente um esforço colaborativo, essas relações podem determinar o sucesso do programa de segurança cibernética. Vale a pena fazer uma pesquisa de fundo, fazer perguntas e se reunir com gerentes não técnicos como parte do processo de entrevista.
|
Takeaways for CISOs and Organizations
|
Takeaways para CISOs e organizações
|
This research should be used as a guideline for building a strong and happy cybersecurity team. CISOs and their organizations should heed the following advice:
|
Essa pesquisa deve ser usada como uma diretriz para a construção de uma equipe de segurança cibernética forte e feliz. Os CISOs e suas organizações devem seguir os seguintes conselhos:
|
For goodness sakes, pay your people! Competitive compensation came up several times in this research project and is clearly critical to hiring and retaining security personnel. Given the competition for security talent, organizations that can’t meet this threshold won’t be successful in hiring and will likely lose key security personnel who are being aggressively pursued by recruiters and other organizations constantly. CISOs must push through archaic personnel models and pay grades and take this issue right to executives and corporate boards in pursuit of near-term changes in compensation structures. Business managers must realize that without an experienced security staff, all security investments and strategies will fail.
|
Pelo amor de Deus, pague seu povo! A remuneração competitiva surgiu várias vezes neste projeto de pesquisa e é claramente fundamental para a contratação e retenção de pessoal de segurança. Dada a competição por talentos de segurança, as organizações que não conseguem atingir esse limite não terão sucesso na contratação e provavelmente perderão pessoas-chave de segurança que estão sendo agressivamente perseguidas por recrutadores e outras organizações constantemente. Os CISOs devem adotar modelos arcaicos de pessoal e níveis salariais e levar essa questão diretamente aos executivos e conselhos corporativos em busca de mudanças de curto prazo nas estruturas de remuneração. Os gerentes de negócios devem perceber que, sem uma equipe de segurança experiente, todos os investimentos e estratégias de segurança falharão.
|
Drive security further into the business. Organizations should be alarmed by the fact that 29% of respondents said the security team’s relationship with HR is fair or poor, 28% said the relationship with line of business managers is fair or poor, 27% of respondents said that the relationship with the board of directors is fair or poor, and 24% said the relationship with the legal team is fair or poor. This should set off alarm bells to address these organizational problems as soon as possible. CISOs should immediately assess these relationships at their organizations while corporate boards should do the same. Poor relationships will lead to organizational friction, communications issues, human error, and ultimately, increased cyber-risk. The message is clear: Organizations with a cybersecurity culture are in the best position. Certainly, business executives must embrace cybersecurity, but it’s also important for CISOs to move their people, processes, and technologies closer to the business. This may take training, extended interdepartmental collaboration, and process reengineering, which are difficult but worthwhile changes.
|
Impulsione a segurança ainda mais nos negócios. As organizações devem ficar alarmadas com o fato de 29% dos entrevistados afirmarem que a relação da equipe de segurança com o RH é justa ou ruim, 28% disseram que o relacionamento com os gerentes de linha de negócios é justo ou ruim, 27% dos entrevistados disseram que o relacionamento com o conselho de administração é justo ou ruim e 24% disseram que o o relacionamento com a equipe jurídica é justo ou ruim. Isso deve disparar alarmes para resolver esses problemas organizacionais o mais rápido possível. Os CISOs devem avaliar imediatamente esses relacionamentos em suas organizações, enquanto os conselhos corporativos devem fazer o mesmo. Relacionamentos ruins levarão a atritos organizacionais, problemas de comunicação, erro humano e, finalmente, aumento do risco cibernético. A mensagem é clara: organizações com uma cultura de segurança cibernética estão na melhor posição. Certamente, os executivos de negócios devem adotar a segurança cibernética, mas também é importante que os CISOs movam seus funcionários, processos e tecnologias para mais perto dos negócios. Isso pode levar treinamento, colaboração interdepartamental estendida e reengenharia de processos, que são mudanças difíceis, mas que valem a pena.
|
Find time and resources for more cybersecurity training and skills development. Some CISOs believe that investing in training is a waste of money that serves as a free education for cybersecurity professionals who will ultimately leave the organization for greener pastures. ESG and ISSA believe this belief couldn’t be more misguided. Conscientious employees expecting continuing education will simply invest their own time and money while growing to resent the organization. Others will languish with increasingly limited skill sets. Meanwhile, cyber-risks continually rise. With the current state of the cybersecurity skills market, some employees will certainly find more lucrative opportunities, but investing in security training will improve the efficacy of the cybersecurity staff, bolster morale, and help the organizations mitigate cyber-risk. Benefits like these are well worth the investment.
|
Encontre tempo e recursos para mais treinamento em segurança cibernética e desenvolvimento de habilidades. Alguns CISOs acreditam que investir em treinamento é um desperdício de dinheiro que serve como uma educação gratuita para profissionais de segurança cibernética que, em última análise, deixarão a organização para pastagens mais verdes. A ESG e a ISSA acreditam que essa crença não poderia ser mais equivocada. Funcionários conscientes que esperam educação continuada simplesmente investirão seu próprio tempo e dinheiro enquanto crescem para se ressentirem da organização. Outros definharão com conjuntos de habilidades cada vez mais limitados. Enquanto isso, os riscos cibernéticos aumentam continuamente. Com o estado atual do mercado de habilidades de segurança cibernética, alguns funcionários certamente encontrarão oportunidades mais lucrativas, mas investir em treinamento de segurança melhorará a eficácia da equipe de segurança cibernética, reforçará o moral e ajudará as organizações a mitigar o risco cibernético. Benefícios como esses valem bem o investimento.
|
Since the cybersecurity skills shortage isn’t going away, develop a long-term plan to address it. As previously mentioned, the cybersecurity skills shortage has created a shortage of qualified cybersecurity professionals as well as a persistent gap in advanced cybersecurity skills. Few organizations have the resources and appeal to hire all the talent they need, and five years of ESG/ISSA data indicate that nothing is going to change anytime soon. Therefore, CISOs need a realistic strategy that assumes staffing and skills risks. For example, organizations struggling to fully staff the security operations center (SOC) should consider investing in process automation and managed services for staff augmentation. The goal here should be covering all security requirements while making the existing staff as efficient and productive as possible.
|
Como a escassez de habilidades de segurança cibernética não está desaparecendo, desenvolva um plano de longo prazo para lidar com isso. Como mencionado anteriormente, a escassez de habilidades de segurança cibernética criou uma escassez de profissionais qualificados de segurança cibernética, bem como uma lacuna persistente nas habilidades avançadas de segurança cibernética. Poucas organizações têm os recursos e apelam para contratar todos os talentos de que precisam, e cinco anos de dados ESG/ISSA indicam que nada vai mudar tão cedo. Portanto, os CISOs precisam de uma estratégia realista que pressuponha riscos de pessoal e habilidades. Por exemplo, as organizações que lutam para equipar totalmente o SOC (Security Operations Center, centro de operações de segurança) devem considerar investir em automação de processos e serviços gerenciados para o aumento da equipe. O objetivo aqui deve ser cobrir todos os requisitos de segurança e, ao mesmo tempo, tornar a equipe existente o mais eficiente e produtiva possível.
|
Consider what’s necessary to make your organization an attractive landing spot for cybersecurity pros. Proactive CISOs want to retain existing personnel while recruiting new employees. The ESG/ISSA research provides a recipe for doing so. First and foremost, the organization must offer competitive compensation, including benefits for continuing education and career development. Internship programs can appeal to entry-level candidates and create a pipeline for new employees, while mentoring and staff rotation programs will help train and acclimate talented individuals. Organizations that create a cybersecurity culture and push cybersecurity into business and IT planning will have a distinct advantage. Finally, CISOs should tap into professional organizations, local threat sharing groups, colleges and universities, etc., to spread the word about the benefits of employment at their organizations. While this strategy won’t eliminate attrition, it should create a healthy and attractive work environment.
|
Considere o que é necessário para tornar sua organização um ponto de aterrissagem atraente para os profissionais de segurança cibernética. CISOs proativos querem manter a equipe existente enquanto recrutam novos funcionários. A pesquisa ESG/ISSA fornece uma receita para fazer isso. Em primeiro lugar, a organização deve oferecer remuneração competitiva, incluindo benefícios para educação continuada e desenvolvimento de carreira. Os programas de estágio podem atrair candidatos iniciantes e criar um pipeline para novos funcionários, enquanto programas de mentoria e rotação de funcionários ajudarão a treinar e aclimatar indivíduos talentosos. As organizações que criam uma cultura de segurança cibernética e levam a segurança cibernética aos negócios e ao planejamento de TI terão uma vantagem distinta. Finalmente, os CISOs devem explorar organizações profissionais, grupos locais de compartilhamento de ameaças, faculdades e universidades, etc., para divulgar os benefícios do emprego em suas organizações. Embora essa estratégia não elimine o atrito, ela deve criar um ambiente de trabalho saudável e atraente.
|
|
|