Report Conclusions |
Выводы отчета |
In early 2021, the Enterprise Strategy Group (ESG) and the Information Systems Security Association (ISSA) conducted the fifth annual research project focused on the lives and experiences of cybersecurity professionals. This year’s report is based on data from a global survey of 489 cybersecurity professionals. |
В начале 2021 года группа Enterprise Strategy Group (ESG) и Ассоциация безопасности информационных систем (МАСО) провели пятый ежегодный исследовательский проект, посвященный жизни и опыту специалистов по кибербезопасности. Отчет этого года основан на данных глобального опроса 489 специалистов по кибербезопасности. |
The cybersecurity skills gap discussion has been going on for over 10 years, and the data gathered for this project confirms that there has been no significant progress toward a solution to this problem during the five years it has been closely researched. The skills crisis has impacted over half (57%) of organizations. The top ramifications of the skills shortage include an increasing workload (62%), unfilled open job requisitions (38%), and high burnout among staff (38%). Further, 95% of respondents state the cybersecurity skills shortage and its associated impacts have not improved over the past few years while 44% say it has only gotten worse. |
Обсуждение пробелов в навыках кибербезопасности продолжается уже более 10 лет, и данные, собранные для этого проекта, подтверждают, что за пять лет, которые он тщательно изучал, не было значительного прогресса в решении этой проблемы. Кризис навыков затронул более половины (57%) организаций. Основные последствия нехватки квалифицированных кадров включают увеличение рабочей нагрузки (62%), незаполненные открытые заявки на работу (38%) и высокое выгорание среди персонала (38%). Кроме того, 95% респондентов утверждают, что нехватка навыков кибербезопасности и связанные с этим последствия не улучшились за последние несколько лет, а 44% говорят, что ситуация только ухудшилась. |
What’s needed to address the cybersecurity skills shortage? A holistic approach of continuous cybersecurity education (starting with public education) and comprehensive career development, mapping, and planning—all with support and integration with the business. This may seem like a big undertaking, but the research also points to one simple change organizations can make: Increase cybersecurity professional compensation. Indeed, 38% of respondents believe that the lack of competitive compensation is the biggest reason the cybersecurity skills shortage is impacting their organization. In summary, it is time for organizations to: |
Что необходимо для решения проблемы нехватки навыков в области кибербезопасности? Комплексный подход к непрерывному обучению в области кибербезопасности (начиная с государственного образования) и всестороннего карьерного роста, картографирования и планирования — все это с поддержкой и интеграцией с бизнесом. Это может показаться большим начинанием, но исследование также указывает на одно простое изменение, которое могут внести организации: увеличить вознаграждение специалистов в области кибербезопасности. Действительно, 38% респондентов считают, что отсутствие конкурентной компенсации является главной причиной того, что нехватка навыков кибербезопасности влияет на их организацию. Таким образом, организациям пора: |
Increase the business value placed on security, including the creation of a culture of security at all levels of the organization. |
Повышение ценности безопасности для бизнеса, включая создание культуры безопасности на всех уровнях организации. |
Offer cybersecurity career advancement opportunities and make a commitment to increased cybersecurity training across the organization. |
Предложите возможности карьерного роста в сфере кибербезопасности и сделайте все более решительное участие в обучении кибербезопасности в масштабах всей организации. |
Include cybersecurity as part of executive planning and strategy (i.e., with executive management and the board of directors). |
Включение кибербезопасности в планирование и стратегию руководства (например, с исполнительным руководством и советом директоров). |
Based upon the data gathered as part of this project, the report additionally concludes: |
На основе данных, собранных в рамках этого проекта, отчет дополнительно заключает: |
Cybersecurity professionals depend upon hands-on experience, basic certifications, and networking. Information security professionals agree that standard certifications like a CISSP are a professional requirement. Beyond a few common certifications however, the ESG/ISSA data indicates that career progression is really tied to hands-on experience and taking advantage of professional networks. These are essential for beginning a cybersecurity career, skills development, and finding different job opportunities regardless of expertise or experience levels. Certifications should be used to supplement and not replace more practical education vehicles. |
Профессионалы в области кибербезопасности зависят от практического опыта, базовых сертификатов и сетей. Специалисты по информационной безопасности согласны с тем, что стандартные сертификаты, такие как CISSP, являются профессиональным требованием. Однако, помимо нескольких распространенных сертификатов, данные ESG/ISSA показывают, что карьерный рост действительно зависит от практического опыта и использования преимуществ профессиональных сетей. Они необходимы для начала карьеры в сфере кибербезопасности, развития навыков и поиска различных рабочих мест независимо от уровня знаний и опыта. Сертификаты должны использоваться для дополнения, а не замены транспортных средств практического обучения. |
Security career success and happiness depends upon strong collaboration. Cybersecurity professionals are happiest when they are asked to participate directly in all IT planning but grow frustrated when they are relegated to a technology administration role and forced to address security needs in later phases of projects. The same is true of the security team’s relationship with business management: They want to participate in business planning, but they are often shut out of meetings and not considered in the development of strategic plans. To improve the relationship between security and IT, survey respondents suggest including security participation in all IT projects from their onset, embedding security professionals within IT functional departments and increasing cybersecurity training for IT staff. To enhance the relationship between security and business management, cybersecurity professionals recommend encouraging cybersecurity participation in business planning, improving cyber-risk identification, and focusing cybersecurity resources on business-critical assets. |
Успех и счастье в карьере в сфере безопасности зависят от тесного сотрудничества. Профессионалы в области кибербезопасности счастливы, когда их просят принять непосредственное участие во всех ИТ-планированиях, но они разочарованы, когда их отдают на должность технологического администрирования и заставляют решать проблемы безопасности на более поздних этапах проектов. То же самое относится и к отношениям команды безопасности с руководством бизнеса: они хотят участвовать в бизнес-планировании, но их часто закрывают от встреч и не учитывают при разработке стратегических планов. Чтобы улучшить взаимосвязь между безопасностью и ИТ, респонденты опроса предлагают с самого начала принимать участие во всех ИТ-проектах, внедрять специалистов по безопасности в функциональные отделы ИТ и повышать уровень подготовки ИТ-персонала по кибербезопасности. Чтобы улучшить взаимосвязь между безопасностью и управлением бизнесом, специалисты по кибербезопасности рекомендуют поощрять участие кибербезопасности в бизнес-планировании, улучшать идентификацию киберрисков и сосредоточить ресурсы по кибербезопасности на критически важных для бизнеса активах. |
The cybersecurity training paradox continues and needs attention. For the fifth straight year, the research reveals a cybersecurity training gap: 91% of respondents agree that cybersecurity professionals must keep up with cybersecurity skills or the organizations they work for are at a disadvantage against cyber-adversaries. Despite this need however, 59% of cybersecurity professionals agree that while they try to keep up with cybersecurity skills development, job requirements often get in the way. ESG and ISSA call this situation the cybersecurity training paradox. CISOs take note: This training gap is quietly increasing cyber-risks at your organization. To address this directly, CISOs must push the organization, ensuring that ample training time and resources are built into every member of the cybersecurity staff’s schedule on a continual basis. |
Парадокс обучения кибербезопасности продолжается и требует внимания. Пятый год подряд исследование показывает пробел в обучении кибербезопасности: 91% респондентов согласны с тем, что профессионалы в области кибербезопасности должны не отставать от навыков кибербезопасности, а организации, в которых они работают, находятся в невыгодном положении по сравнению с кибер-злоумышленниками. Однако, несмотря на эту необходимость, 59% специалистов по кибербезопасности согласны с тем, что, хотя они стараются не отставать от развития навыков кибербезопасности, требования к работе часто мешают. ESG и МАСО называют эту ситуацию парадоксом обучения кибербезопасности. ИТ-директора отмечают: этот пробел в обучении незаметно увеличивает киберриски в вашей организации. Чтобы решить эту проблему напрямую, руководители ИТ-служб должны стимулировать организацию, гарантируя, что в график работы каждого сотрудника по кибербезопасности постоянно встраивается достаточное количество времени и ресурсов на обучение. |
The cybersecurity skills shortage remains a perpetual problem with no solution in sight. This year, 57% of organizations claim they are impacted by the global cybersecurity skills shortage. While this is a slight improvement from years past, the situation doesn’t appear to be improving. In fact, 44% of survey respondents say that things have gotten worse over the past few years while 51% claim that the situation is about the same as a few years ago. Of those organizations impacted by the cybersecurity skills shortage, the biggest effects include increasing workloads on cybersecurity personnel, new jobs that remain open for weeks or months, high cybersecurity staff burnout and attrition, and an inability to learn or use security technologies to their full potential. |
Нехватка навыков в области кибербезопасности остается постоянной проблемой, решение которой не предвидится. В этом году 57% организаций заявили, что испытывают на них негативные последствия глобальной нехватки навыков в области кибербезопасности. Хотя это небольшое улучшение по сравнению с прошлыми годами, ситуация, похоже, не улучшается. На самом деле, 44% респондентов говорят, что ситуация ухудшилась за последние несколько лет, а 51% утверждают, что ситуация примерно такая же, как и несколько лет назад. Из тех организаций, на которых сказывается нехватка навыков в области кибербезопасности, наибольшие последствия включают увеличение рабочей нагрузки на персонал по кибербезопасности, новые рабочие места, которые остаются открытыми в течение нескольких недель или месяцев, высокий уровень выгорания и выкуса сотрудников по кибербезопасности, а также неспособность учиться или использовать технологии безопасности в полной мере. потенциал. |
Many organizations are making basic mistakes in hiring and recruiting cybersecurity professionals. More than three-quarters (76%) of respondents say it is extremely or somewhat difficult to recruit and hire security professionals. This is certainly related to supply and demand in the cybersecurity professional market, but survey respondents pointed to some organizational causes as well: 38% said their organization doesn’t offer competitive compensation, 29% said their HR department doesn’t understand the skills needed for cybersecurity, and 25% said that job postings at their organization tended to be unrealistic. Alarmingly, 59% of respondents said their organization could be doing more to address the cybersecurity skills shortage. |
Многие организации допускают основные ошибки при найме и наборе специалистов по кибербезопасности. Более трех четвертей (76%) респондентов считают, что нанимать и нанимать специалистов по безопасности крайне или несколько сложно. Это, безусловно, связано со спросом и предложением на профессиональном рынке кибербезопасности, но респонденты опроса указали и на некоторые организационные причины: 38% заявили, что их организация не предлагает конкурентоспособную компенсацию, 29% отметили, что их отдел кадров не понимает навыков, необходимых для обеспечения кибербезопасности, а 25% заявили, что вакансии в их организации, как правило, нереалистичны. Это вызывает тревогу то, что 59% респондентов заявили, что их организация может сделать больше для решения проблемы нехватки навыков в области кибербезопасности. |
Specific cybersecurity experience and skills are in high demand. When asked which types of cybersecurity talent were most difficult to hire, 41% said mid-career professionals (i.e., 4-7 years of experience), and 30% said senior career professionals (i.e., 7+ years of experience). Interestingly, organizations have less trouble finding cybersecurity leaders, probably because they only need a few. Survey respondents were also asked which skill set areas were in the shortest supply. The top three were cloud computing security, security analysis and investigations, and application security. |
Особый опыт и навыки в области кибербезопасности пользуются большим спросом. На вопрос о том, какие типы специалистов в области кибербезопасности труднее всего нанять, 41% ответили на вопрос о специалистах среднего звена (то есть опыт работы 4-7 лет), а 30% — о старших карьерных специалистах (то есть опыт работы более 7 лет). Интересно, что организациям меньше проблем с поиском лидеров в области кибербезопасности, вероятно, потому, что им нужно всего несколько. Респондентам опроса также был задан вопрос о том, какие области набора навыков были в наименьших запасах. В тройку лидеров были безопасность облачных вычислений, анализ и расследования безопасности, а также безопасность приложений. |
Cybersecurity job solicitation is frequent and increasing. Seventy percent of cybersecurity professionals are solicited by recruiters to consider another job at least once per month. This “seller’s market” is only gaining momentum: 71% of survey respondents claim that the pace of recruitment solicitation has increased over the past few years. |
Запросы на работу в сфере кибербезопасности встречаются часто и все чаще. Семьдесят процентов специалистов по кибербезопасности призываются рекрутерами рассматривать другую работу не реже одного раза в месяц. Этот «рынок продавцов» только набирает обороты: 71% респондентов опроса утверждают, что темпы привлечения новых сотрудников за последние несколько лет увеличились. |
Cybersecurity professionals have recommendations for addressing the skills shortage. Respondents were asked what their organizations could do to address the impact of the cybersecurity skills shortage. Their top suggestions were to increase the organization’s commitment to cybersecurity training, increase compensation levels to make them more competitive, and provide extra incentives like paying for certifications or participation in industry events. |
Специалисты по кибербезопасности имеют рекомендации по устранению нехватки навыков. Респондентам был задан вопрос о том, что их организации могут сделать для устранения последствий нехватки навыков в области кибербезопасности. Их главные предложения состояли в том, чтобы повысить заинтересованность организации в обучении кибербезопасности, повысить уровень вознаграждения, чтобы сделать их более конкурентоспособными, и предоставить дополнительные стимулы, такие как оплата сертификатов или участие в отраслевых мероприятиях. |