|
|
Conclusion
|
Cybersecurity professionals continue to manage their careers in a tactical manner with little long-term planning. Many cybersecurity professionals believe that their organizations need to do more to keep up with cybersecurity requirements.
|
Профессионалы в области кибербезопасности продолжают тактически управлять своей карьерой при небольшом долгосрочном планировании. Многие специалисты по кибербезопасности считают, что их организациям необходимо делать больше, чтобы соответствовать требованиям кибербезопасности.
|
|
The cybersecurity skills shortage seems to be getting worse, forcing overwhelmed cybersecurity professionals into constant firefighting. While the skills shortage will continue with no end in sight, this year’s research suggests that organizations could and should be doing more to address it.
|
Нехватка навыков в области кибербезопасности, похоже, усугубляется, что вынуждает перегруженные специалисты по кибербезопасности постоянно тушить пожар. Несмотря на то, что нехватка квалифицированных кадров будет продолжаться без конца, исследования этого года показывают, что организации могут и должны делать больше для решения этой проблемы.
|
Takeaways for Cybersecurity Professionals
|
Выходные решения для профессионалов в области кибербезопасности
|
|
As with past reports, cybersecurity professionals—especially those in the early stages of a cybersecurity career or individuals seeking to enter the field—should use this research for career planning. Therefore, cybersecurity professionals should:
|
Как и в прошлых отчетах, специалисты по кибербезопасности, особенно те, кто находится на ранних стадиях карьеры в сфере кибербезопасности, или люди, желающие выйти в эту область, должны использовать это исследование для планирования карьеры. Поэтому профессионалам в области кибербезопасности следует:
|
|
Start networking, keep networking. Survey respondents recommend that entry-level security professionals join a professional organization as a means for getting their first job. The data also shows that professional organizations act as a catalyst for job hunting, career development, and continuing education. Taken together, the ESG/ISSA research demonstrates that professional organizations can help throughout a cybersecurity career, paying dividends on time and money invested. ISSA itself is a good choice, but the data seems to indicate that cybersecurity professionals will benefit from other regional, industry, and professional organizations.
|
Начните сетевое взаимодействие, продолжайте работу в сети. Респонденты опроса рекомендуют специалистам по безопасности начального уровня присоединиться к профессиональной организации, чтобы получить первую работу. Данные также показывают, что профессиональные организации выступают катализатором поиска работы, карьерного роста и непрерывного образования. В совокупности исследование ESG/ISSA показывает, что профессиональные организации могут помочь на протяжении всей карьеры в сфере кибербезопасности, выплачивая дивиденды за вложенные деньги и время. ISSA сама по себе является хорошим выбором, но, судя по данным, профессионалы в области кибербезопасности получат выгоду от других региональных, отраслевых и профессиональных организаций.
|
|
Resist certification loading—it doesn’t pay. After five years of research, it’s clear to ESG and ISSA that a CISSP and a few limited other certifications can be valuable building blocks for a cybersecurity career. Others may look good on a resume or business card, but cybersecurity professionals consistently claim to get far more out of hands-on experience like internships, mentoring programs, or staff rotation. Security certifications should be consumed for specific use cases, to meet job requirements, or to augment on-the-job experience period.
|
Сопротивляйтесь загрузке сертификатов — это не платит. После пяти лет исследований ESG и ISSA стало ясно, что CISSP и несколько других ограниченных сертификатов могут стать ценными строительными блоками для карьеры в области кибербезопасности. Другие могут хорошо выглядеть в резюме или визитной карточке, но профессионалы в области кибербезопасности постоянно утверждают, что получают гораздо больше практического опыта, такого как стажировки, программы наставничества или ротация персонала. Сертификаты безопасности должны использоваться для конкретных сценариев использования, для соответствия требованиям работы или для увеличения периода работы на рабочем месте.
|
|
Make a personal commitment to skills development and training. On an average year, cybersecurity professionals are expected to get about 40 hours of training. This year’s research revealed that 54% of those surveyed reported having more than 40 hours of training in the past year, 24% have had about 40 hours of training, and 21% have had less than 40 hours of training. This data seems positive, but ESG and ISSA also found that many hours of “training” are really used as a means for fulfilling CPE credits rather than real skills development. A cybersecurity professional career is analogous to a physician in that continuing education is critical for each type of profession to keep professionals’ skills and knowledge current and relevant. Therefore, cybersecurity professionals must make a commitment to skills development and training even if this means investing their own time/money or pushing back on employers that minimize continuing education. Given the ever-changing nature of cybersecurity, individuals who invest in their own skills should get a strong ROI throughout their careers.
|
Принесите личную приверженность развитию навыков и обучению. В среднем в год специалисты по кибербезопасности получают около 40 часов обучения. Исследование этого года показало, что 54% опрошенных сообщили, что в прошлом году у них было более 40 часов обучения, 24% - около 40 часов обучения, а 21% - менее 40 часов обучения. Эти данные кажутся положительными, но ESG и ISSA также обнаружили, что многие часы «обучения» действительно используются как средство для получения кредитов CPE, а не для развития реальных навыков. Профессиональная карьера в области кибербезопасности аналогична врачам, так как непрерывное образование имеет решающее значение для каждого типа профессии, чтобы навыки и знания профессионалов были актуальными и актуальными. Поэтому профессионалы в области кибербезопасности должны взять на себя обязательства по развитию навыков и обучению, даже если это означает вкладывать свое время/деньги или наталкивать на работодателей, которые сводят к минимуму непрерывное образование. Учитывая постоянно меняющийся характер кибербезопасности, люди, вкладывающие средства в собственные навыки, должны получать высокую рентабельность инвестиций на протяжении всей своей карьеры.
|
|
Pick a technology or business path to pursue. Cybersecurity careers lead to two main roads. One aligns security and business operations, culminating in “C-level” jobs like CISO, data privacy officer, etc. The other digs into the technology toward positions like security engineer, cloud security architect, threat analyst, etc. Obviously, each road requires different skills, but the ESG/ISSA research shows that many cybersecurity professionals are managing their careers haphazardly with no end goal in mind. Indeed, it’s hard to see five or ten years into the future, but at the very least, cybersecurity professionals should decide whether they see themselves in technical or business roles. Upon making this decision, they should set their sights on the chain of command and what skill sets and experiences they’ll need to climb to the next most senior positions.
|
Выберите технологический или бизнес-путь. Карьера в сфере кибербезопасности ведет к двум основным дорогам. Один из них согласовывает безопасность и бизнес-операции, завершая работу «С-уровня», например, CISO, специалист по защите данных и т. д. Другой изучает технологию на таких должностях, как инженер по безопасности, архитектор облачной безопасности, аналитик угроз и т. д. Очевидно, что каждая дорога требует разных навыков, но исследование ESG/ISSA показывает, что многие специалисты по кибербезопасности бессистемно справляются со своей карьерой, не имея конечной цели. Действительно, трудно заглянуть в будущее на пять-десять лет, но, по крайней мере, профессионалы в области кибербезопасности должны решить, видят ли они себя на технических или бизнес-должностях. Приняв это решение, они должны обратить внимание на командную цепочку и на то, какие навыки и опыт понадобятся им для того, чтобы занять следующие самые высокие должности.
|
|
Remember that when considering a new job, relationships matter. The ESG/ISSA research indicates that cybersecurity professionals get job satisfaction from things like competitive compensation, the ability to work with a strong team and leading technologies, and additional perks for travel, training, industry participation, etc. While these are certainly worthwhile incentives, information security pros should remember that there should be plenty of open jobs offering these benefits. Therefore, ESG and ISSA recommend digging deeper by asking questions like: What’s the relationship like between security and IT departments? Do these teams collaborate well or is there friction? Do executives and the board include cybersecurity in strategic planning and decision making? What’s the relationship between the security team and HR, legal teams, and lines of business? Since cybersecurity is truly a collaborative effort, these relationships could determine cybersecurity program success. It’s worth doing some background research, asking questions, and meeting with non-technical managers as part of the interviewing process.
|
Помните, что при выборе новой работы отношения имеют значение. Исследование ESG/ISSA показывает, что специалисты в области кибербезопасности получают удовлетворение от таких факторов, как конкурентное вознаграждение, способность работать с сильной командой и передовыми технологиями, а также дополнительные льготы для путешествий, обучения, участия в отрасли и т. д. профессионалы в области информационной безопасности должны помнить, что должно быть много открытых рабочих мест, предлагающих эти преимущества. Поэтому ESG и ISSA рекомендуют углубиться, задавая такие вопросы, как: Каковы отношения между отделами безопасности и ИТ? Хорошо ли эти команды сотрудничают друг с другом или есть разногласия? Включают ли руководители и совет директоров кибербезопасность в стратегическое планирование и принятие решений? Каковы взаимоотношения между командой безопасности и персоналом, юридическими командами и бизнес-подразделением? Поскольку кибербезопасность — это действительно совместная работа, эти взаимосвязи могут определить успех программы кибербезопасности. Стоит провести несколько исследований, задать вопросы и встретиться с нетехническими менеджерами в рамках процесса собеседования.
|
Takeaways for CISOs and Organizations
|
Выносы для директоров по директоров и организаций
|
|
This research should be used as a guideline for building a strong and happy cybersecurity team. CISOs and their organizations should heed the following advice:
|
Это исследование следует использовать в качестве руководства для создания сильной и счастливой команды кибербезопасности. CISO и их организации должны прислушаться к следующим советам:
|
|
For goodness sakes, pay your people! Competitive compensation came up several times in this research project and is clearly critical to hiring and retaining security personnel. Given the competition for security talent, organizations that can’t meet this threshold won’t be successful in hiring and will likely lose key security personnel who are being aggressively pursued by recruiters and other organizations constantly. CISOs must push through archaic personnel models and pay grades and take this issue right to executives and corporate boards in pursuit of near-term changes in compensation structures. Business managers must realize that without an experienced security staff, all security investments and strategies will fail.
|
Для блага добра, платите своим людям! Конкурентная компенсация была несколько раз в этом исследовательском проекте и, безусловно, имеет решающее значение для найма и удержания персонала службы безопасности. Учитывая конкуренцию за талантливых специалистов в области безопасности, организации, которые не могут достичь этого порога, не добьются успеха в найме и, скорее всего, потеряют ключевых сотрудников службы безопасности, которых постоянно настойчиво преследуют рекрутеры и другие организации. CISO должны использовать архаичные модели персонала и классы оплаты труда и довести этот вопрос до руководителей и корпоративных советов директоров, стремясь к краткосрочным изменениям в структурах вознаграждения. Бизнес-менеджеры должны понимать, что без опытных сотрудников службы безопасности все инвестиции и стратегии в области безопасности потерпят неудачу.
|
|
Drive security further into the business. Organizations should be alarmed by the fact that 29% of respondents said the security team’s relationship with HR is fair or poor, 28% said the relationship with line of business managers is fair or poor, 27% of respondents said that the relationship with the board of directors is fair or poor, and 24% said the relationship with the legal team is fair or poor. This should set off alarm bells to address these organizational problems as soon as possible. CISOs should immediately assess these relationships at their organizations while corporate boards should do the same. Poor relationships will lead to organizational friction, communications issues, human error, and ultimately, increased cyber-risk. The message is clear: Organizations with a cybersecurity culture are in the best position. Certainly, business executives must embrace cybersecurity, but it’s also important for CISOs to move their people, processes, and technologies closer to the business. This may take training, extended interdepartmental collaboration, and process reengineering, which are difficult but worthwhile changes.
|
Дальнейшее развитие безопасности в бизнесе. Организации должны быть встревожены тем фактом, что 29% респондентов заявили, что отношения команды безопасности с HR являются справедливыми или плохими, 28% отметили, что отношения с бизнес-менеджерами справедливые или плохие, 27% респондентов заявили, что отношения с советом директоров являются справедливыми или плохими, а 24% отметили, что отношения с советом директоров являются справедливыми или плохими, а 24% отметили, что отношения с юридической командой являются справедливыми или плохими. Это должно послужить сигналом тревоги, чтобы как можно скорее решить эти организационные проблемы. CISO должны немедленно оценить эти взаимоотношения в своих организациях, в то время как корпоративные советы директоров должны делать то же самое. Плохие отношения приведут к организационным трениям, проблемам со связью, человеческим ошибкам и, в конечном итоге, к росту киберрисков. Идея ясна: организации с культурой кибербезопасности находятся в лучшем положении. Конечно, руководители компаний должны принять меры по обеспечению кибербезопасности, но также важно, чтобы директора по информационным технологиям приближали сотрудников, процессы и технологии к бизнесу. Это может потребовать обучения, расширенного межведомственного сотрудничества и реинжиниринга процессов — это трудные, но достойные изменения.
|
|
Find time and resources for more cybersecurity training and skills development. Some CISOs believe that investing in training is a waste of money that serves as a free education for cybersecurity professionals who will ultimately leave the organization for greener pastures. ESG and ISSA believe this belief couldn’t be more misguided. Conscientious employees expecting continuing education will simply invest their own time and money while growing to resent the organization. Others will languish with increasingly limited skill sets. Meanwhile, cyber-risks continually rise. With the current state of the cybersecurity skills market, some employees will certainly find more lucrative opportunities, but investing in security training will improve the efficacy of the cybersecurity staff, bolster morale, and help the organizations mitigate cyber-risk. Benefits like these are well worth the investment.
|
Найдите время и ресурсы для обучения и развития навыков в области кибербезопасности. Некоторые директора по информационным технологиям считают, что инвестиции в обучение — это пустая трата денег, которая служит бесплатным образованием для специалистов по кибербезопасности, которые в конечном итоге покинут организацию ради более зеленых пастбищ. ESG и ISSA считают, что это мнение не может быть более ошибочным. Добросовестные сотрудники, ожидающие продолжения образования, просто вкладывают свое время и деньги, в то же время возмущаясь организацией. Другие будут томиться со все более ограниченными наборами навыков. В то же время киберриски постоянно растут. В нынешнем состоянии рынка навыков кибербезопасности некоторые сотрудники, безусловно, найдут более прибыльных возможностей, но инвестирование в обучение безопасности повысит эффективность сотрудников по кибербезопасности, укрепит моральный дух и поможет организациям снизить киберриски. Такие преимущества стоят вложений.
|
|
Since the cybersecurity skills shortage isn’t going away, develop a long-term plan to address it. As previously mentioned, the cybersecurity skills shortage has created a shortage of qualified cybersecurity professionals as well as a persistent gap in advanced cybersecurity skills. Few organizations have the resources and appeal to hire all the talent they need, and five years of ESG/ISSA data indicate that nothing is going to change anytime soon. Therefore, CISOs need a realistic strategy that assumes staffing and skills risks. For example, organizations struggling to fully staff the security operations center (SOC) should consider investing in process automation and managed services for staff augmentation. The goal here should be covering all security requirements while making the existing staff as efficient and productive as possible.
|
Поскольку нехватка навыков в области кибербезопасности никуда не исчезнет, разработайте долгосрочный план решения этой проблемы. Как уже упоминалось ранее, нехватка навыков в области кибербезопасности привела к нехватке квалифицированных специалистов по кибербезопасности, а также к постоянному разрыву в продвинутых навыках кибербезопасности. Немногие организации располагают ресурсами и призывами нанять всех необходимых специалистов, а данные ESG/ISSA за пять лет показывают, что в ближайшее время ничего не изменится. Поэтому CISO нужна реалистичная стратегия, предполагающая кадровые риски и риски, связанные с навыками. Например, организациям, которые пытаются полностью укомплектовать операционный центр безопасности (SOC), следует подумать об инвестициях в автоматизацию процессов и управляемые услуги для увеличения персонала. Цель здесь должна состоять в том, чтобы охватить все требования безопасности, сделав существующий персонал максимально эффективным и продуктивным.
|
|
Consider what’s necessary to make your organization an attractive landing spot for cybersecurity pros. Proactive CISOs want to retain existing personnel while recruiting new employees. The ESG/ISSA research provides a recipe for doing so. First and foremost, the organization must offer competitive compensation, including benefits for continuing education and career development. Internship programs can appeal to entry-level candidates and create a pipeline for new employees, while mentoring and staff rotation programs will help train and acclimate talented individuals. Organizations that create a cybersecurity culture and push cybersecurity into business and IT planning will have a distinct advantage. Finally, CISOs should tap into professional organizations, local threat sharing groups, colleges and universities, etc., to spread the word about the benefits of employment at their organizations. While this strategy won’t eliminate attrition, it should create a healthy and attractive work environment.
|
Подумайте, что необходимо для того, чтобы сделать вашу организацию привлекательной площадкой для профессионалов в области кибербезопасности. Проактивные CISO хотят сохранить существующий персонал при наборе новых сотрудников. Исследование ESG/ISSA дает рецепт для этого. Прежде всего, организация должна предлагать конкурентоспособную компенсацию, включая льготы для продолжения образования и карьерного роста. Программы стажировки могут понравиться кандидатам начального уровня и создать конвейер для новых сотрудников, а программы наставничества и ротации персонала помогут обучить и акклиматизировать талантливых людей. Организации, которые формируют культуру кибербезопасности и вводят кибербезопасность в бизнес-планирование и планирование ИТ, получат явное преимущество. Наконец, CISO должны обратиться к профессиональным организациям, местным группам по распространению угроз, колледжам и университетам и т. Д., Чтобы рассказать о преимуществах трудоустройства в своих организациях. Хотя эта стратегия не устраняет неистощение, она должна создать здоровую и привлекательную рабочую среду.
|
|
|