Schlußfolgerungen

Anfang 2021 führten die Enterprise Strategy Group (ESG) und die Information Systems Security Association (IVSS) das fünfte jährliche Forschungsprojekt durch, das sich auf das Leben und die Erfahrungen von Fachleuten für Cybersicherheit konzentrierte. Der diesjährige Bericht basiert auf Daten einer globalen Umfrage unter 489 Cybersicherheitsexperten.

Die Diskussion über Qualifikationslücken im Bereich Cybersicherheit findet seit über 10 Jahren statt, und die für dieses Projekt gesammelten Daten bestätigen, dass in den fünf Jahren, in denen es genau untersucht wurde, keine nennenswerten Fortschritte bei der Lösung dieses Problems erzielt wurden. Die Qualifikationskrise hat mehr als die Hälfte (57%) der Unternehmen betroffen. Zu den wichtigsten Folgen des Fachkräftemangels gehören eine steigende Arbeitsbelastung (62%), unbefüllte offene Stellen (38%) und ein hoher Burnout der Mitarbeiter (38%). Darüber hinaus geben 95% der Befragten an, dass sich der Fachkräftemangel im Bereich Cybersicherheit und die damit verbundenen Auswirkungen in den letzten Jahren nicht verbessert haben, während 44% angeben, dass er sich nur verschlimmert hat.

Was ist erforderlich, um den Fachkräftemangel in der Cybersicherheit zu beheben Ein ganzheitlicher Ansatz der kontinuierlichen Cybersicherheitsausbildung (beginnend mit der öffentlichen Bildung) und umfassender Karriereentwicklung, Kartierung und Planung — alles mit Unterstützung und Integration in das Unternehmen. Dies mag wie ein großes Unterfangen erscheinen, aber die Forschung deutet auch auf eine einfache Änderung hin, die Unternehmen vornehmen können: Erhöhung der beruflichen Vergütung für Cybersicherheit. 38% der Befragten glauben, dass das Fehlen einer wettbewerbsfähigen Vergütung der Hauptgrund dafür ist, dass der Mangel an Fähigkeiten im Bereich Cybersicherheit ihr Unternehmen beeinträchtigt. Zusammenfassend ist es an der Zeit, dass Organisationen:

Erhöhen Sie den geschäftlichen Wert, der der Sicherheit beigemessen wird, einschließlich der Schaffung einer Sicherheitskultur auf allen Ebenen des Unternehmens.

Bieten Sie Karrieremöglichkeiten im Bereich Cybersicherheit und verpflichten Sie sich zu einer verstärkten Schulung zur Cybersicherheit im gesamten Unternehmen.

Einbeziehung der Cybersicherheit als Teil der Planung und Strategie von Führungskräften (d. h. mit der Geschäftsleitung und dem Verwaltungsrat).

Auf der Grundlage der im Rahmen dieses Projekts gesammelten Daten kommt der Bericht außerdem zu dem Schluss:

Experten für Cybersicherheit sind auf praktische Erfahrung, grundlegende Zertifizierungen und Netzwerke angewiesen. Fachleute für Informationssicherheit sind sich einig, dass Standardzertifizierungen wie ein CISSP eine professionelle Anforderung sind. Abgesehen von einigen gängigen Zertifizierungen deuten die ESG/IVSS-Daten jedoch darauf hin, dass der Karrierefortschritt wirklich mit praktischer Erfahrung und der Nutzung professioneller Netzwerke verbunden ist. Diese sind unerlässlich für den Beginn einer Karriere im Bereich Cybersicherheit, die Entwicklung von Fähigkeiten und die Suche nach verschiedenen Beschäftigungsmöglichkeiten, unabhängig von Fachwissen oder Erfahrungsstand. Zertifizierungen sollten verwendet werden, um praktischere Ausbildungsfahrzeuge zu ergänzen und nicht zu ersetzen.

Der Erfolg und die Zufriedenheit der Sicherheitskarriere hängen von einer starken Zusammenarbeit ab. Cybersicherheitsexperten sind am glücklichsten, wenn sie gebeten werden, direkt an der gesamten IT-Planung teilzunehmen, sind jedoch frustriert, wenn sie in eine Rolle der Technologieverwaltung verbannt werden und in späteren Projektphasen gezwungen sind, Sicherheitsanforderungen zu erfüllen. Gleiches gilt für die Beziehung des Sicherheitsteams zur Unternehmensführung: Sie möchten an der Geschäftsplanung teilnehmen, werden jedoch häufig von Besprechungen ausgeschlossen und bei der Entwicklung strategischer Pläne nicht berücksichtigt. Um die Beziehung zwischen Sicherheit und IT zu verbessern, schlagen die Umfrageteilnehmer vor, die Sicherheitsbeteiligung an allen IT-Projekten von Anfang an einzubeziehen, Sicherheitsexperten in IT-Funktionsabteilungen einzubetten und die Cybersicherheitsschulungen für IT-Mitarbeiter zu erhöhen. Um die Beziehung zwischen Sicherheit und Unternehmensführung zu verbessern, empfehlen Cybersicherheitsexperten, die Beteiligung der Cybersicherheit an der Geschäftsplanung zu fördern, die Identifizierung von Cyberrisiken zu verbessern und die Cybersicherheitsressourcen auf geschäftskritische Ressourcen zu konzentrieren.

Das Paradox der Cybersicherheitsschulungen geht weiter und muss beachtet werden. Zum fünften Mal in Folge zeigt die Studie eine Schulungslücke im Bereich Cybersicherheit: 91% der Befragten stimmen zu, dass Cybersicherheitsexperten mit den Fähigkeiten der Cybersicherheit Schritt halten müssen oder dass die Organisationen, für die sie arbeiten, gegenüber Cybergegnern benachteiligt sind. Trotz dieses Bedarfs stimmen 59% der Cybersicherheitsexperten zu, dass sie zwar versuchen, mit der Entwicklung der Fähigkeiten zur Cybersicherheit Schritt zu halten, aber die beruflichen Anforderungen häufig im Weg stehen. Die ESG und die IVSS bezeichnen diese Situation als Paradox im Bereich der Cybersicherheit. CISOs nehmen zur Kenntnis: Diese Schulungslücke erhöht stillschweigend die Cyberrisiken in Ihrem Unternehmen. Um dies direkt anzugehen, müssen CISOs die Organisation vorantreiben und sicherstellen, dass kontinuierlich ausreichend Schulungszeit und Ressourcen in jeden Mitarbeiter des Cybersicherheitspersonals integriert sind.

Der Fachkräftemangel in der Cybersicherheit bleibt ein ständiges Problem, ohne dass eine Lösung in Sicht ist. In diesem Jahr geben 57% der Unternehmen an, vom weltweiten Fachkräftemangel im Bereich Cybersicherheit betroffen zu sein. Dies ist zwar eine leichte Verbesserung gegenüber den vergangenen Jahren, aber die Situation scheint sich nicht zu verbessern. Tatsächlich geben 44% der Umfrageteilnehmer an, dass sich die Lage in den letzten Jahren verschlechtert hat, während 51% der Befragten angeben, dass die Situation ungefähr so ist wie vor einigen Jahren. Von den Organisationen, die vom Fachkräftemangel in der Cybersicherheit betroffen sind, sind die größten Auswirkungen die zunehmende Arbeitsbelastung des Cybersicherheitspersonals, neue Jobs, die wochen- oder monatelang offen bleiben, ein starker Burnout und Abwanderung von Mitarbeitern im Bereich Cybersicherheit sowie die Unfähigkeit, Sicherheitstechnologien in vollem Umfang zu erlernen oder zu nutzen Potenzial.

Viele Unternehmen machen grundlegende Fehler bei der Einstellung und Rekrutierung von Cybersicherheitsexperten. Mehr als drei Viertel (76%) der Befragten geben an, dass es extrem oder etwas schwierig ist, Sicherheitsexperten einzustellen und einzustellen. Dies hängt sicherlich mit Angebot und Nachfrage auf dem professionellen Markt für Cybersicherheit zusammen, aber die Umfrageteilnehmer wiesen auch auf einige organisatorische Gründe hin: 38% gaben an, dass ihr Unternehmen keine wettbewerbsfähige Vergütung anbietet, 29% gaben an, dass ihre Personalabteilung die für die Cybersicherheit erforderlichen Fähigkeiten nicht versteht. und 25% gaben an, dass Stellenausschreibungen in ihrer Organisation tendenziell unrealistisch waren. Beunruhigenderweise gaben 59% der Befragten an, dass ihr Unternehmen mehr tun könnte, um den Fachkräftemangel im Bereich Cybersicherheit zu beheben.

Spezifische Erfahrungen und Fähigkeiten im Bereich Cybersicherheit sind sehr gefragt. Auf die Frage, welche Arten von Cybersicherheitstalenten am schwierigsten einzustellen seien, gaben 41% an, Fachkräfte in der Mitte der Karriere (d. h. 4 bis 7 Jahre Erfahrung) und 30% gaben an, leitende Berufstätige (d. h. mehr als 7 Jahre Erfahrung). Interessanterweise haben Unternehmen weniger Probleme, Führungskräfte im Bereich Cybersicherheit zu finden, wahrscheinlich weil sie nur wenige benötigen. Die Umfrageteilnehmer wurden auch gefragt, welche Qualifikationsbereiche am kürzesten verfügbar waren. Die drei wichtigsten waren Cloud-Computing-Sicherheit, Sicherheitsanalyse und -untersuchungen sowie Anwendungssicherheit.

Stellenausschreibungen im Bereich Cybersicherheit sind häufig und nehmen zu. Siebzig Prozent der Cybersicherheitsexperten werden von Personalvermittlern aufgefordert, mindestens einmal pro Monat einen anderen Job in Betracht zu ziehen. Dieser „Verkäufermarkt“ gewinnt nur an Dynamik: 71% der Befragten geben an, dass das Tempo der Rekrutierungswerbung in den letzten Jahren zugenommen hat.

Experten für Cybersicherheit haben Empfehlungen zur Behebung des Fachkräftemangels. Die Befragten wurden gefragt, was ihre Organisationen tun könnten, um die Auswirkungen des Fachkräftemangels in der Cybersicherheit zu beheben. Ihre wichtigsten Vorschläge waren, das Engagement der Organisation für Schulungen zur Cybersicherheit zu verstärken, die Vergütung zu erhöhen, um sie wettbewerbsfähiger zu machen, und zusätzliche Anreize wie die Bezahlung von Zertifizierungen oder die Teilnahme an Branchenveranstaltungen zu bieten.