|
Research Findings
The Basic Facts
|
I fatti di base
|
As in past years, ESG and ISSA got some baseline information regarding cybersecurity professionals’ careers. For example:
|
Come negli anni passati, ESG e ISSA hanno ottenuto alcune informazioni di base sulle carriere dei professionisti della sicurezza informatica. Ad esempio:
|
79% of cybersecurity professionals started their careers working in IT.
|
Il 79% dei professionisti della sicurezza informatica ha iniziato la propria carriera lavorando nel settore IT.
|
When asked which skills were most helpful in the move from IT to cybersecurity, the top responses were IT operations knowledge and skills (61%), analytics skills (53%), hands-on technology knowledge and skills (48%), and business skills (as they relate to IT technologies and processes) (42%).
|
Alla domanda su quali competenze fossero più utili nel passaggio dall'IT alla sicurezza informatica, le risposte migliori sono state conoscenze e competenze operative IT (61%), capacità di analisi (53%), conoscenze e competenze tecnologiche pratiche (48%) e competenze aziendali (in relazione alle tecnologie e ai processi IT) (42%).
|
When asked the reasons for becoming a cybersecurity professional, the top responses were the chance to use skills and curiosity to address technical challenges (43%), the opportunity to develop technical skills and knowledge (40%), it being a natural career move from IT (34%), and attraction to the morality of the profession (29%).
|
Alla domanda sui motivi per diventare un professionista della sicurezza informatica, le risposte migliori sono state la possibilità di utilizzare abilità e curiosità per affrontare le sfide tecniche (43%), l'opportunità di sviluppare competenze e conoscenze tecniche (40%), essendo un naturale passaggio di carriera dall'IT (34%) e l'attrazione per la moralità di la professione (29%).
|
28% of survey respondents say that either they or other cybersecurity professionals they know have experienced significant personal issues because of stress associated with the cybersecurity profession (i.e., drug abuse, alcohol abuse, depression, etc.).
|
Il 28% degli intervistati afferma che loro o altri professionisti della sicurezza informatica che conoscono hanno riscontrato problemi personali significativi a causa dello stress associato alla professione di sicurezza informatica (ad esempio, abuso di droghe, abuso di alcol, depressione, ecc.).
|
50% of cybersecurity professionals surveyed say that job stress levels increased this past year as a result of remote worker support due to the COVID-19 pandemic. To help alleviate stresses caused by the pandemic, 36% of organizations instituted more CISO “check-ins” with staff, 32% created online social meetings for the cybersecurity team, and 24% added formal stress management programs driven by HR.
|
Il 50% dei professionisti della sicurezza informatica intervistati afferma che i livelli di stress sul lavoro sono aumentati lo scorso anno a causa del supporto dei lavoratori remoti a causa della pandemia COVID-19. Per contribuire ad alleviare lo stress causato dalla pandemia, il 36% delle organizzazioni ha istituito più «check-in» CISO con il personale, il 32% ha creato riunioni sociali online per il team di sicurezza informatica e il 24% ha aggiunto programmi formali di gestione dello stress guidati dalle risorse umane.
|
Survey respondents were also asked whether their organization employed a CISO. Those that did were asked several other related questions. On this topic, the research revealed:
|
Agli intervistati è stato anche chiesto se la loro organizzazione ha impiegato un CISO. A quelli che lo hanno fatto sono state poste molte altre domande correlate. Su questo argomento, la ricerca ha rivelato:
|
73% of survey respondents say that their organization employs a CISO while 5% say their organization employs a virtual CISO (vCISO).
|
Il 73% degli intervistati afferma che la propria organizzazione impiega un CISO, mentre il 5% afferma che la propria organizzazione impiega un CISO virtuale (vCISO).
|
Of those organizations that employ a CISO, 43% say that the CISO reports to the CIO, 29% say the CISO reports to the CEO, 9% say COO, 9% say “other,” and 10% don’t know.
|
Di quelle organizzazioni che impiegano un CISO, il 43% afferma che il CISO riferisce al CIO, il 29% afferma che il CISO riferisce al CEO, il 9% afferma il COO, il 9% dice «altro» e il 10% non lo sa.
|
61% of respondents say their CISO is an active participant with executive management and the board of directors (or similar oversight group), 14% say their CISO is not an active participant with executive management and the board of directors (or similar oversight group), and 24% don’t know. 51% think their organization’s CISO’s level of participation with executive management and the board of directors is adequate, 23% do not think their organization’s CISO’s level of participation with executive management and the board of directors is adequate, and 26% don’t know.
|
Il 61% degli intervistati afferma che il proprio CISO è un partecipante attivo con la direzione esecutiva e il consiglio di amministrazione (o un gruppo di supervisione simile), il 14% afferma che il proprio CISO non è un partecipante attivo con la direzione esecutiva e il consiglio di amministrazione (o un gruppo di supervisione simile) e il 24% non lo sa. il livello di partecipazione del CISO dell'organizzazione con la direzione esecutiva e il consiglio di amministrazione è adeguato, il 23% non ritiene adeguato il livello di partecipazione del CISO della propria organizzazione con la direzione esecutiva e il consiglio di amministrazione e il 26% non lo sa.
|
43% believe their CISO has been very effective, 49% believe their CISO has been somewhat effective, 6% say their CISO hasn’t been very effective, and 2% claim their CISO has not been effective at all.
|
Il 43% ritiene che il proprio CISO sia stato molto efficace, il 49% ritiene che il CISO sia stato piuttosto efficace, il 6% afferma che il CISO non è stato molto efficace e il 2% afferma che il CISO non è stato affatto efficace.
|
When asked to identify the most important qualities of a successful CISO, 39% said leadership skills while 30% said operational skills. The remaining 31% included business skills, technical skills, management skills, communications skills, and other.
|
Quando è stato chiesto di identificare le qualità più importanti di un CISO di successo, il 39% ha affermato capacità di leadership mentre il 30% ha affermato capacità operative. Il restante 31% comprendeva competenze aziendali, competenze tecniche, capacità di gestione, capacità di comunicazione e altro.
|
Survey respondents were asked which factors are likeliest to cause CISOs to leave one organization for another. The most popular answers were: CISOs are offered a higher compensation package at another organization (33%), the organization doesn’t have a culture that emphasizes cybersecurity (31%), and cybersecurity budgets are not commensurate with the organization’s size and industry (29%).
|
Agli intervistati è stato chiesto quali fattori potrebbero indurre i CISO a lasciare un'organizzazione per un'altra. Le risposte più popolari sono state: ai CISO viene offerto un pacchetto di compensi più elevato presso un'altra organizzazione (33%), l'organizzazione non ha una cultura che enfatizza la sicurezza informatica (31%) e i budget per la sicurezza informatica non sono commisurati alle dimensioni e al settore dell'organizzazione (29%).
|
Getting a Cybersecurity Job
|
Ottenere un lavoro nella sicurezza informatica
|
For the first time, ESG and ISSA asked cybersecurity professionals how they found their current job (see Figure 1). The highest percentage (38%) say that they found their job by networking with industry contacts while 24% were contacted by an industry recruiter and 22% responded to a job posting at their company (see Figure 1). Not surprisingly, there is a slight correlation between methods used for finding a job and seniority. Senior cybersecurity professionals are more likely to find their jobs through industry contacts and recruiters while those with less experience are more likely to use job postings. This information should help guide CISOs and HR professionals as they compete to fill job requisitions.
|
Per la prima volta, ESG e ISSA hanno chiesto ai professionisti della sicurezza informatica come hanno trovato il loro attuale lavoro (vedere Figura 1). La percentuale più alta (38%) afferma di aver trovato lavoro collegandosi in rete con i contatti del settore, mentre il 24% è stato contattato da un recruiter del settore e il 22% ha risposto a un annuncio di lavoro presso la propria azienda (cfr. figura 1). Non sorprende che vi sia una leggera correlazione tra i metodi utilizzati per trovare un lavoro e l'anzianità. I professionisti senior della sicurezza informatica hanno maggiori probabilità di trovare il loro lavoro attraverso i contatti del settore e i reclutatori, mentre quelli con meno esperienza hanno maggiori probabilità di utilizzare offerte di lavoro. Queste informazioni dovrebbero aiutare a guidare i CISO e i professionisti delle risorse umane mentre competono per soddisfare le richieste di lavoro.
|
Despite the ongoing cybersecurity skills shortage, skilled candidates often complain that it can be very difficult to begin a cybersecurity career. When meeting entry-level candidates, ESG analysts and ISSA members are often asked for advice in this area. In 2021, ESG and ISSA addressed this issue directly by including a new survey question asking survey respondents for their recommendations for those seeking to enter the cybersecurity field. Nearly half (49%) of respondents suggested getting a basic cybersecurity certification, 42% proposed joining a professional industry organization, and 36% recommended finding a mentor who is willing to help develop skills and career plan (see Figure 2). This guidance will hopefully help entry-level candidates jumpstart their careers.
|
Nonostante la continua carenza di competenze in materia di sicurezza informatica, i candidati qualificati spesso si lamentano del fatto che può essere molto difficile iniziare una carriera nella sicurezza informatica. Quando si incontrano candidati entry-level, agli analisti ESG e ai membri ISSA viene spesso chiesto consiglio in questo settore. Nel 2021, ESG e ISSA hanno affrontato direttamente questo problema includendo una nuova domanda del sondaggio che chiedeva agli intervistati le loro raccomandazioni per coloro che cercano di entrare nel campo della sicurezza informatica. Quasi la metà (49%) degli intervistati ha suggerito di ottenere una certificazione di base per la sicurezza informatica, il 42% ha proposto di entrare a far parte di un'organizzazione professionale del settore e il 36% ha raccomandato di trovare un mentore disposto ad aiutare a sviluppare competenze e piani di carriera (cfr. figura 2). Si spera che questa guida aiuti i candidati entry-level a far ripartire la loro carriera.
|
Cybersecurity Careers Depend upon Hands-on Experience and Some Certifications
|
Le carriere nella sicurezza informatica dipendono dall'esperienza pratica e da alcune certificazioni
|
Cybersecurity is highlighted by a plethora of esoteric technical certifications, so ESG and ISSA have continually asked survey respondents to tell us which certifications they’ve achieved, and which are most important. As in past years, survey respondents were asked to write in the answer to this question, and the top responses are listed in Figure 3. Of those certifications achieved, the most useful ones for getting a job are graphed in Figure 4 . In both graphics, the certified information systems security professional (CISSP) from (ISC)2 stands out—it’s the most popular certification and the one that’s most important for getting a cybersecurity job. Other certifications may be important tactically but should be viewed as vehicles for career advancement (in some cases) or to help cybersecurity professionals gain general knowledge in a cybersecurity subdiscipline (for example, certified ethical hacker).
|
La sicurezza informatica è evidenziata da una pletora di certificazioni tecniche esoteriche, quindi ESG e ISSA hanno chiesto continuamente agli intervistati di comunicarci quali certificazioni hanno ottenuto e quali sono le più importanti. Come negli anni passati, agli intervistati è stato chiesto di scrivere la risposta a questa domanda e le risposte principali sono elencate nella Figura 3. Tra le certificazioni ottenute, le più utili per ottenere un lavoro sono rappresentate nella Figura 4. In entrambi i grafici, spicca il professionista della sicurezza dei sistemi informativi certificati (CISSP) di (ISC) 2: è la certificazione più popolare e quella più importante per ottenere un lavoro di sicurezza informatica. Altre certificazioni possono essere importanti tatticamente, ma dovrebbero essere viste come veicoli per l'avanzamento di carriera (in alcuni casi) o per aiutare i professionisti della sicurezza informatica ad acquisire conoscenze generali in una sottodisciplina della sicurezza informatica (ad esempio, hacker etico certificato).
|
Cybersecurity professionals pursue a CISSP certification after accruing the requisite number of years of experience as this certification is a requirement for most available jobs. Beyond the CISSP, however, survey respondents take a more tactical approach to additional certifications based upon their skills, interests, and career plans. ESG and ISSA believe this is the right approach for certifications and career development. Rather than fill their resumes with acronyms, cybersecurity professionals should focus on hands-on training, mentoring, and professional networking as primary means for skills development. Rather, certifications should supplement these activities.
|
I professionisti della sicurezza informatica perseguono una certificazione CISSP dopo aver maturato il numero richiesto di anni di esperienza in quanto questa certificazione è un requisito per la maggior parte dei lavori disponibili. Al di là del CISSP, tuttavia, gli intervistati adottano un approccio più tattico alle certificazioni aggiuntive in base alle loro competenze, interessi e piani di carriera. ESG e ISSA ritengono che questo sia l'approccio giusto per le certificazioni e lo sviluppo della carriera. Piuttosto che riempire i loro curriculum con acronimi, i professionisti della sicurezza informatica dovrebbero concentrarsi sulla formazione pratica, sul tutoraggio e sul networking professionale come mezzo primario per lo sviluppo delle competenze. Piuttosto, le certificazioni dovrebbero integrare queste attività.
|
ESG and ISSA have long held the belief that hands-on experience is the most important factor in cybersecurity career development, but this assumption was based on anecdotal data. In 2021, ESG and ISSA tested the hypothesis in the survey.
|
ESG e ISSA hanno da tempo ritenuto che l'esperienza pratica sia il fattore più importante nello sviluppo della carriera nella sicurezza informatica, ma questa ipotesi era basata su dati aneddotici. Nel 2021, ESG e ISSA hanno testato l'ipotesi del sondaggio.
|
The data supports this long-held belief again. Only 1% of respondents believe security certifications are more important than hands-on experience. Alternatively, 52% believe that hands-on experience is more important than certifications while 46% place equal value on hands-on experience and certification achievement (see Figure 5). Based on the research, ESG and ISSA believe that those who believe that hands-on experience and achieving security certifications are equally important have the CISSP certification in mind, as this is considered a foundational requirement for a cybersecurity career.
|
I dati supportano nuovamente questa convinzione di lunga data. Solo l'1% degli intervistati ritiene che le certificazioni di sicurezza siano più importanti dell'esperienza pratica. In alternativa, il 52% ritiene che l'esperienza pratica sia più importante delle certificazioni, mentre il 46% attribuisce lo stesso valore all'esperienza pratica e al conseguimento della certificazione (vedere Figura 5). Sulla base della ricerca, ESG e ISSA ritengono che coloro che ritengono che l'esperienza pratica e il raggiungimento delle certificazioni di sicurezza siano ugualmente importanti abbiano in mente la certificazione CISSP, in quanto questo è considerato un requisito fondamentale per una carriera nella sicurezza informatica.
|
Based upon this data, aspiring and advancing cybersecurity professionals should take a balanced approach to skills development. As previously stated, hands-on experience should be supplemented with the appropriate security certifications on an as-needed basis.
|
Sulla base di questi dati, gli aspiranti e avanzati professionisti della sicurezza informatica dovrebbero adottare un approccio equilibrato allo sviluppo delle competenze. Come affermato in precedenza, l'esperienza pratica dovrebbe essere integrata con le certificazioni di sicurezza appropriate in base alle esigenze.
|
Cybersecurity Professionals: A 360 Degree View
|
Professionisti della sicurezza informatica: una visione a 360 gradi
|
What are the most important factors that distinguish a satisfactory and unsatisfactory cybersecurity job? This question has been a constant in the ESG/ISSA research study for five years. Interestingly, the results have been fairly consistent. The top three priorities in 2021 are business management’s commitment to strong cybersecurity, competitive or industry-leading financial compensation, and the ability to work with highly skilled and talented cybersecurity staff (see Figure 6).
|
Quali sono i fattori più importanti che distinguono un lavoro di sicurezza informatica soddisfacente e insoddisfacente? Questa domanda è stata una costante nello studio di ricerca ESG/ISSA per cinque anni. È interessante notare che i risultati sono stati abbastanza coerenti. Le tre priorità principali nel 2021 sono l'impegno della direzione aziendale per una forte sicurezza informatica, una compensazione finanziaria competitiva o leader del settore e la capacità di lavorare con personale altamente qualificato e di talento per la sicurezza informatica (cfr. figura 6).
|
CISOs and HR executives take note, as this data represents what it will take to hire and retain cybersecurity professionals.
|
I CISO e i dirigenti delle risorse umane ne prendono nota, poiché questi dati rappresentano ciò che servirà per assumere e fidelizzare professionisti della sicurezza informatica.
|
With job satisfaction in mind, ESG and ISSA also wanted insight into the most stressful aspects of a cybersecurity job. Nearly two-thirds (32%) of survey respondents claim it is finding out about IT/initiatives/projects that were started by other teams (within the organization) with no security oversight (see Figure 7). This makes sense. Security professionals want to be engaged in projects from the start so they can “bake in” rather than “bolt on” security. Similarly, nearly one-third (31%) of respondents believe it is stressful working with disinterested business managers while another 31% point to the overwhelming workload. Similar to the top response, 24% of security professionals believe it is stressful keeping up with the security needs of new IT initiatives. Clearly, cybersecurity professionals want to be involved in projects from the start and want to see cybersecurity commitment from business and IT associates. When these conditions are absent, organizations will likely face high employee burnout and staff attrition.
|
Tenendo presente la soddisfazione sul lavoro, ESG e ISSA volevano anche approfondire gli aspetti più stressanti di un lavoro di sicurezza informatica. Quasi due terzi (32%) degli intervistati affermano di aver scoperto le iniziative/progetti IT avviati da altri team (all'interno dell'organizzazione) senza alcuna supervisione della sicurezza (vedi Figura 7). Questo ha senso. I professionisti della sicurezza vogliono essere coinvolti in progetti fin dall'inizio in modo da poter «infornare» piuttosto che «imbullonare» la sicurezza. Allo stesso modo, quasi un terzo (31%) degli intervistati ritiene che sia stressante lavorare con manager aziendali disinteressati, mentre un altro 31% indica il carico di lavoro travolgente. Analogamente alla risposta più alta, il 24% dei professionisti della sicurezza ritiene che sia stressante stare al passo con le esigenze di sicurezza delle nuove iniziative IT. Chiaramente, i professionisti della sicurezza informatica vogliono essere coinvolti nei progetti fin dall'inizio e vogliono vedere l'impegno in materia di sicurezza informatica da parte di aziende e collaboratori IT. Quando queste condizioni sono assenti, le organizzazioni dovranno probabilmente affrontare un elevato esaurimento dei dipendenti e un logoramento del personale.
|
As in the past, security professionals were asked their opinions on several topics (see Figure 8). A few stats stand out:
|
Come in passato, ai professionisti della sicurezza è stato chiesto il loro parere su diversi argomenti (cfr. figura 8). Sspiccano alcune statistiche:
|
Conflict between the need for training and time allocated to training remains a critical issue: 91% of respondents agree that cybersecurity professionals must keep up with their skills or their organizations are at a significant disadvantage, yet 59% agree that while they try to keep up on cybersecurity skills, it is hard to do given the demands of their jobs. ESG and ISSA call this situation the cybersecurity training paradox. CISOs take note and make sure to convince the organization that ample training time and resources are an absolute requirement.
|
Il conflitto tra la necessità di formazione e il tempo dedicato alla formazione rimane un problema critico: il 91% degli intervistati concorda sul fatto che i professionisti della sicurezza informatica devono tenere il passo con le proprie competenze o che le loro organizzazioni sono in uno svantaggio significativo, eppure il 59% concorda sul fatto che mentre cerca di tenere il passo con le competenze in materia di sicurezza informatica, è difficile da fare date le esigenze del loro lavoro. ESG e ISSA definiscono questa situazione il paradosso della formazione sulla sicurezza informatica. I CISO prendono nota e si assicurano di convincere l'organizzazione che un ampio tempo e risorse di formazione sono un requisito assoluto.
|
Cybersecurity professionals tend to pride themselves on their endurance and competitiveness, masking the personal price these jobs can have. The research supports this as 60% agree that a cybersecurity career can be taxing on one’s work/life balance, and 38% agree that they often feel an unhealthy level of stress with their jobs. Accordingly, CISOs should constantly monitor the mental health of team members while establishing programs for stress relief.
|
I professionisti della sicurezza informatica tendono ad essere orgogliosi della loro resistenza e competitività, mascherando il prezzo personale che questi posti di lavoro possono avere. La ricerca sostiene questo dato che il 60% concorda sul fatto che una carriera nella sicurezza informatica può gravare sull'equilibrio tra lavoro e vita privata e il 38% concorda sul fatto che spesso si sente un livello di stress malsano con il proprio lavoro. Di conseguenza, i CISO dovrebbero monitorare costantemente la salute mentale dei membri del team mentre stabiliscono programmi per alleviare lo stress.
|
58% of survey respondents agree that security professionals spend too much time on the technical aspects of cybersecurity and not enough time on how cybersecurity aligns with the corporate mission. ESG and ISSA believe this is a fundamental industry dilemma, sometimes called the “shiny object problem.” To address this, CISOs must always reinforce the business focus of cybersecurity within the security team.
|
Il 58% degli intervistati concorda sul fatto che i professionisti della sicurezza dedicano troppo tempo agli aspetti tecnici della sicurezza informatica e non abbastanza tempo su come la sicurezza informatica si allinea alla missione aziendale. ESG e ISSA ritengono che questo sia un dilemma fondamentale del settore, a volte chiamato il «problema degli oggetti lucenti». Per risolvere questo problema, i CISO devono sempre rafforzare l'attenzione aziendale della sicurezza informatica all'interno del team di sicurezza.
|
Interestingly, despite the personal challenges represented in this data, 79% of cybersecurity professionals agree that they are happy as cybersecurity professionals. ESG and ISSA believe that this commitment to the mission regardless of the challenges is what makes cybersecurity professionals special. Rather than business or technical professionals, cybersecurity professionals behave like dedicated public servants, with a focus tilting toward the greater good rather than personal accolades.
|
È interessante notare che, nonostante le sfide personali rappresentate in questi dati, il 79% dei professionisti della sicurezza informatica concorda di essere felice come professionisti della sicurezza informatica. ESG e ISSA ritengono che questo impegno nella missione indipendentemente dalle sfide sia ciò che rende speciali i professionisti della sicurezza informatica. Piuttosto che professionisti aziendali o tecnici, i professionisti della sicurezza informatica si comportano come dipendenti pubblici dedicati, con un focus che si inclina verso il bene più grande piuttosto che verso riconoscimenti personali.
|
In another opinion question, survey respondents were asked how long it takes a cybersecurity professional to become proficient at their job. The plurality of respondents (35%) believe it takes anywhere from 3 to 5 years to develop real cybersecurity proficiency, while 25% say 2 to 3 years and 17% claim it takes more than 5 years (see Figure 9). Three to 5 years is a long time. CISOs should do everything they can to accelerate staff skills development and retain employees with this level of experience.
|
In un'altra domanda di opinione, agli intervistati è stato chiesto quanto tempo impiega un professionista della sicurezza informatica per diventare competente nel proprio lavoro. La pluralità degli intervistati (35%) ritiene che occorrano dai 3 ai 5 anni per sviluppare una reale competenza in materia di sicurezza informatica, mentre il 25% dice da 2 a 3 anni e il 17% afferma che occorrono più di 5 anni (vedi Figura 9). Da tre a 5 anni sono lunghi. I CISO dovrebbero fare tutto il possibile per accelerare lo sviluppo delle competenze del personale e mantenere i dipendenti con questo livello di esperienza.
|
It is often said that cybersecurity is a “team sport.” In other words, an organization’s cybersecurity program success goes beyond the information security team alone and depends upon commitment and cooperation across the entire organization. With this collaborative ideal in mind, survey respondents were asked to characterize the working relationship between their organization’s cybersecurity team and other departments (see Figure 10). The data indicates that the best relationships are with IT, executives, legal, and operations teams, but ESG and ISSA believe a few points are noteworthy:
|
Si dice spesso che la sicurezza informatica sia uno «sport di squadra». In altre parole, il successo del programma di sicurezza informatica di un'organizzazione va oltre il solo team di sicurezza delle informazioni e dipende dall'impegno e dalla cooperazione nell'intera organizzazione. Tenendo presente questo ideale collaborativo, agli intervistati è stato chiesto di caratterizzare il rapporto di lavoro tra il team di sicurezza informatica della propria organizzazione e altri reparti (vedere la Figura 10). I dati indicano che le migliori relazioni sono con IT, dirigenti, team legali e operativi, ma ESG e ISSA ritengono che alcuni punti siano degni di nota:
|
16% of respondents said the relationship between security and IT teams is fair or poor. This is somewhat alarming since these teams must work together constantly on tasks like technology deployment, configuration management, and risk mitigation.
|
Il 16% degli intervistati ha affermato che il rapporto tra team addetti alla sicurezza e team IT è equo o insufficiente. Ciò è alquanto allarmante poiché questi team devono lavorare costantemente insieme su attività come l'implementazione della tecnologia, la gestione della configurazione e la mitigazione dei rischi.
|
21% of respondents said the relationship between security and executives was fair or poor. Similarly, 27% said the relationship between security and the board of directors was fair or poor. These are likely organizations that still believe that security is related to technology and not the business. It’s likely that these firms still equate security with regulatory compliance.
|
Il 21% degli intervistati ha affermato che il rapporto tra sicurezza e dirigenti è equo o scarso. Allo stesso modo, il 27% afferma che il rapporto tra sicurezza e consiglio di amministrazione è equo o scarso. Probabilmente si tratta di organizzazioni che credono ancora che la sicurezza sia legata alla tecnologia e non al business. È probabile che queste aziende continuino a paragonare la sicurezza alla conformità normativa.
|
29% of respondents said the relationship between security and HR was fair or poor. This is of concern since the two groups work together on projects like security awareness training, recruitment, and hiring. These tasks are probably managed sub-optimally at organizations with fair or poor security/HR working relationships.
|
Il 29% degli intervistati ha affermato che il rapporto tra sicurezza e risorse umane è equo o scarso. Ciò è motivo di preoccupazione poiché i due gruppi lavorano insieme su progetti come la formazione di sensibilizzazione alla sicurezza, il reclutamento e l'assunzione. Queste attività sono probabilmente gestite in modo non ottimale presso organizzazioni con rapporti di lavoro corretti o scadenti in materia di sicurezza/risorse umane.
|
What can organizations do to improve some of these relationships? Survey respondents were asked this question directly about the relationships between security, IT, and business management teams. With regard to improving the security/IT relationship, security professionals suggest making sure security staff is included in all IT projects from the beginning, embedding cybersecurity staff within functional technology groups, and increasing cybersecurity training for all IT staff (see Figure 11).
|
Cosa possono fare le organizzazioni per migliorare alcune di queste relazioni? Ai partecipanti al sondaggio è stata posta questa domanda direttamente sulle relazioni tra team di sicurezza, IT e gestione aziendale. Per quanto riguarda il miglioramento del rapporto sicurezza/IT, i professionisti della sicurezza suggeriscono di assicurarsi che il personale addetto alla sicurezza sia incluso in tutti i progetti IT fin dall'inizio, incorporando il personale di sicurezza informatica all'interno di gruppi tecnologici funzionali e aumentando la formazione sulla sicurezza informatica per tutto il personale IT (vedere la Figura 11).
|
These suggestions are especially interesting. Recall that the most stressful aspect of a security job identified previously relates to IT projects/initiatives lacking security oversight. Alleviating this issue will not only decrease employee stress but also improve the working relationship between security and IT as well as overall security protection. Embedding cybersecurity staff members into functional technology groups is happening with activities such as DevSecOps focused on cloud-native application development. Along with additional security training (especially for software developers), organizations are fusing security into more aspects of IT people, processes, and technologies.
|
Questi suggerimenti sono particolarmente interessanti. Ricordiamo che l'aspetto più stressante di un lavoro di sicurezza identificato in precedenza riguarda progetti/iniziative IT prive di supervisione della sicurezza. La riduzione di questo problema non solo ridurrà lo stress dei dipendenti, ma migliorerà anche il rapporto di lavoro tra sicurezza e IT, nonché la protezione generale della sicurezza. L'integrazione dei membri del personale di sicurezza informatica in gruppi tecnologici funzionali avviene con attività come DevSecOps incentrate sullo sviluppo di applicazioni native per il cloud. Oltre alla formazione aggiuntiva sulla sicurezza (in particolare per gli sviluppatori di software), le organizzazioni stanno unendo la sicurezza in più aspetti delle persone, dei processi e delle tecnologie IT.
|
In terms of the relationship between security and business management, survey respondents suggest encouraging cybersecurity participation in business planning and strategy, improving cyber-risk identification/quantification, and focusing cybersecurity resources and investments on business-critical assets (see Figure 12). Like the IT relationship, cybersecurity pros believe that working closer and earlier with business teams can be beneficial. As this happens, security teams must be prepared with the right communications, reports, and metrics that present cybersecurity in a business context.
|
In termini di relazione tra sicurezza e gestione aziendale, gli intervistati suggeriscono di incoraggiare la partecipazione della sicurezza informatica alla pianificazione e alla strategia aziendale, migliorare l'identificazione/quantificazione del rischio informatico e concentrare le risorse e gli investimenti in sicurezza informatica sugli asset business-critical (cfr. Figura 12). Come la relazione IT, i professionisti della sicurezza informatica ritengono che lavorare più vicino e più presto con i team aziendali possa essere vantaggioso. In questo caso, i team addetti alla sicurezza devono essere preparati con le comunicazioni, i report e le metriche corrette che presentano la sicurezza informatica in un contesto aziendale.
|
The Cybersecurity Skills Shortage Persists, and in Many Cases, Continues to Worsen
|
La carenza di competenze in materia di sicurezza informatica persiste e, in molti casi, continua a peggiorare
|
ESG and ISSA believe the cybersecurity skills shortage has two major implications. The most obvious is a shortage of talented cybersecurity professionals, with simply more cybersecurity job openings than qualified candidates to fill them. The other implication isn’t as widely discussed but is at least as important: Many members of the current cybersecurity workforce lack the advanced skills necessary to safeguard critical business assets or counteract sophisticated cyber-adversaries.
|
ESG e ISSA ritengono che la carenza di competenze in materia di sicurezza informatica abbia due importanti implicazioni. La più ovvia è una carenza di professionisti di talento nella sicurezza informatica, con semplicemente più offerte di lavoro per la sicurezza informatica rispetto ai candidati qualificati per riempirli. L'altra implicazione non è così ampiamente discussa, ma è almeno altrettanto importante: molti membri dell'attuale forza lavoro di sicurezza informatica non hanno le competenze avanzate necessarie per salvaguardare le risorse aziendali critiche o contrastare sofisticati avversari informatici.
|
After researching the cybersecurity skills shortage for five years, ESG and ISSA are convinced that it is real and impactful, yet each report on the subject receives a fair amount of negative feedback, questioning its existence. Comments include theories that there are plenty of cybersecurity professionals to go around, if only organizations knew how and where to recruit them.
|
Dopo aver studiato la carenza di competenze in materia di sicurezza informatica per cinque anni, ESG e ISSA sono convinti che sia reale e di impatto, eppure ogni rapporto sull'argomento riceve una discreta quantità di feedback negativi, mettendo in dubbio la sua esistenza. I commenti includono teorie secondo cui ci sono molti professionisti della sicurezza informatica da visitare, se solo le organizzazioni sapessero come e dove reclutarli.
|
Based on this feedback, ESG and ISSA asked survey respondents a basic question in the 2021 survey: Has the cybersecurity skills shortage been overstated? As it turns out, one-third of respondents share the opinion that the skills shortage has been greatly or somewhat overstated, but the highest percentage of cybersecurity professionals (44%) believe it has received the right amount of attention, while 23% claim it has been understated (see Figure 13).
|
Sulla base di questo feedback, ESG e ISSA hanno posto agli intervistati una domanda di base nel sondaggio del 2021: la carenza di competenze in materia di sicurezza informatica è stata sopravvalutata? A quanto pare, un terzo degli intervistati condivide l'opinione che la carenza di competenze sia stata notevolmente o alquanto sopravvalutata, ma la percentuale più alta di professionisti della sicurezza informatica (44%) ritiene di aver ricevuto la giusta attenzione, mentre il 23% afferma che è stata sottovalutata (cfr. figura 13).
|
As further research clearly indicates, the cybersecurity skills shortage is real, leading to lots of problems for organizations. At the same time however, the research points to the fact that some organizations may be experiencing self-inflicted wounds and truly don’t recruit well, provide the right level of training, or address the skills shortage with the right strategies. In essence, both groups are right: The skills shortage is real, but organizations could and should be doing more.
|
Come indicano chiaramente ulteriori ricerche, la carenza di competenze in materia di sicurezza informatica è reale, causando molti problemi alle organizzazioni. Allo stesso tempo, tuttavia, la ricerca sottolinea il fatto che alcune organizzazioni potrebbero subire ferite autoinflitte e davvero non reclutano bene, forniscono il giusto livello di formazione o affrontano la carenza di competenze con le giuste strategie. In sostanza, entrambi i gruppi hanno ragione: la carenza di competenze è reale, ma le organizzazioni potrebbero e dovrebbero fare di più.
|
As in past years, ESG and ISSA wanted to understand the implications of the global cybersecurity skills shortage and how it is affecting organizations. For the first time, the data improved slightly. This year, 57% of organizations claim they’ve been impacted by the cybersecurity skills shortage, compared to 70% in 2020 and 73% in 2019 (see Figure 14).
|
Come negli anni passati, ESG e ISSA volevano comprendere le implicazioni della carenza di competenze in materia di sicurezza informatica globale e il modo in cui sta influenzando le organizzazioni. Per la prima volta, i dati sono leggermente migliorati. Quest'anno, il 57% delle organizzazioni afferma di essere stato colpito dalla carenza di competenze in materia di sicurezza informatica, rispetto al 70% nel 2020 e al 73% nel 2019 (cfr. figura 14).
|
While this data point seems to represent an encouraging trend, additional data paints a different picture. Last year, ESG and ISSA added a question asking cybersecurity professionals whether they believe the cybersecurity skills shortage is improving or getting worse. This year’s results are distressing as 44% believe the cybersecurity skills shortage (and its impact) have gotten worse over the past few years while 51% say it’s about the same today as it was over the past few years (see Figure 15). Sadly, only 5% believe the situation has gotten better.
|
Sebbene questo punto dati sembri rappresentare una tendenza incoraggiante, dati aggiuntivi dipingono un quadro diverso. L'anno scorso, ESG e ISSA hanno aggiunto una domanda chiedendo ai professionisti della sicurezza informatica se ritengono che la carenza di competenze in materia di sicurezza informatica stia migliorando o peggiorando. I risultati di quest'anno sono angoscianti in quanto il 44% ritiene che la carenza di competenze in materia di sicurezza informatica (e il suo impatto) sia peggiorata negli ultimi anni, mentre il 51% afferma che oggi è più o meno lo stesso degli ultimi anni (cfr. figura 15). Purtroppo, solo il 5% ritiene che la situazione sia migliorata.
|
Based upon years of research, ESG and ISSA firmly believe that the cybersecurity skills shortage is a long-term reality where the industry has achieved little progress. While education and recruitment programs may be worthwhile, CISOs must craft enterprise security programs that accommodate and plan for perpetual skills shortages.
|
Sulla base di anni di ricerca, ESG e ISSA credono fermamente che la carenza di competenze in materia di sicurezza informatica sia una realtà a lungo termine in cui il settore ha compiuto pochi progressi. Mentre i programmi di istruzione e reclutamento possono essere utili, i CISO devono elaborare programmi di sicurezza aziendale che soddisfino e pianificino la carenza di competenze perpetue.
|
As in the past, survey respondents working at organizations impacted by the cybersecurity skills shortage were asked about the ramifications experienced (see Figure 16). Once again, the top response (62%) was that it has increased the workload on existing staff (similar to last year’s results, 58%). This is the biggest consequence of the skills shortage by far. Additionally, 38% of respondents indicated that the skills shortage has led to new security jobs remaining open for weeks or months (this may be one reason why 29% of organizations must hire and train junior employees rather than experienced candidates). Consistent with the mental health theme described previously, 38% of respondents said that the skills shortage has led to employee burnout and employee attrition.
|
Come in passato, gli intervistati che lavorano presso le organizzazioni colpite dalla carenza di competenze in materia di sicurezza informatica sono state interpellate sulle conseguenze riscontrate (cfr. figura 16). Ancora una volta, la risposta più alta (62%) è stata l'aumento del carico di lavoro sul personale esistente (simile ai risultati dello scorso anno, 58%). Questa è di gran lunga la più grande conseguenza della carenza di competenze. Inoltre, il 38% degli intervistati ha dichiarato che la carenza di competenze ha portato a nuovi posti di lavoro di sicurezza rimasti aperti per settimane o mesi (questo potrebbe essere uno dei motivi per cui il 29% delle organizzazioni deve assumere e formare dipendenti junior piuttosto che candidati esperti). Coerentemente con il tema della salute mentale descritto in precedenza, il 38% degli intervistati ha affermato che la carenza di competenze ha portato al burnout dei dipendenti e al logoramento dei dipendenti.
|
It is also noteworthy that one-third of respondents say that the skills shortage has led to a situation where the cybersecurity team is unable to learn or utilize some security technologies to their full potential. Think about that for a moment: Organizations determine they need some new security technology for threat prevention, detection, or response. They go through the rigor of researching, purchasing, testing, configuring, deploying, and operating the product as well as training staff. After all this work, they still lack the staff or skills to operate the product correctly. Given this situation, CISOs must reassess their priorities, only purchasing technologies that can be used appropriately. In other cases, organizations should consider managed services as an alternative to underutilized security technologies.
|
È anche interessante notare che un terzo degli intervistati afferma che la carenza di competenze ha portato a una situazione in cui il team di sicurezza informatica non è in grado di apprendere o utilizzare alcune tecnologie di sicurezza al massimo delle proprie potenzialità. Pensaci per un momento: le organizzazioni stabiliscono di aver bisogno di una nuova tecnologia di sicurezza per la prevenzione, il rilevamento o la risposta alle minacce. Passano attraverso il rigore della ricerca, dell'acquisto, del test, della configurazione, della distribuzione e del funzionamento del prodotto, nonché della formazione del personale. Dopo tutto questo lavoro, mancano ancora del personale o delle competenze per utilizzare correttamente il prodotto. Data questa situazione, i CISO devono rivalutare le loro priorità, acquistando solo tecnologie che possano essere utilizzate in modo appropriato. In altri casi, le organizzazioni dovrebbero considerare i servizi gestiti come un'alternativa alle tecnologie di sicurezza sottoutilizzate.
|
For the first time, organizations claiming to be impacted by the cybersecurity skills shortage were asked to identify contributing factors. The three top responses included issues related to compensation, HR’s understanding of cybersecurity skills, and working in an industry that may be unattractive to cybersecurity professionals (see Figure 17). It is also worth noting that 25% pointed to unrealistic job postings (i.e., asking for skills that were not commensurate with compensation offered, real job requirements, etc.). To some extent, this data supports the theory that the cybersecurity skills shortage is related to mismanagement rather than a dearth of qualified candidates or advanced skills.
|
Per la prima volta, alle organizzazioni che affermano di essere state colpite dalla carenza di competenze in materia di sicurezza informatica è stato chiesto di identificare i fattori che contribuiscono. Le tre risposte principali includevano questioni relative alla retribuzione, alla comprensione delle competenze di sicurezza informatica da parte delle risorse umane e al lavoro in un settore che potrebbe non essere attraente per i professionisti della sicurezza informatica (cfr. figura 17). Vale anche la pena notare che il 25% ha indicato offerte di lavoro non realistiche (ad esempio, la richiesta di competenze non commisurate alla retribuzione offerta, requisiti di lavoro reali, ecc.). In una certa misura, questi dati supportano la teoria secondo cui la carenza di competenze in materia di sicurezza informatica è correlata alla cattiva gestione piuttosto che alla carenza di candidati qualificati o competenze avanzate.
|
Compensation is a binary issue—either an organization offers competitive compensation, or it does not. The same could be said of an organization’s industry. If compensation or industry is unappealing, the hiring company is at a distinct disadvantage and will only be successful at recruiting if other job attributes are especially attractive (i.e., working hours, training opportunities, benefits, etc.). With regard to compensation, CISOs must lobby HR, finance, and other departments to offer competitive salaries, or they face a perpetual losing battle for staff recruitment and retention. As for other factors mentioned, CISOs must ensure that HR departments and recruiters are well versed in cybersecurity needs and put together accurate and realistic job postings as part of their recruitment process.
|
La retribuzione è un problema binario: un'organizzazione offre un compenso competitivo oppure no. Lo stesso si potrebbe dire del settore di un'organizzazione. Se la retribuzione o l'industria non sono allettanti, la società di assunzione è in netto svantaggio e avrà successo nel reclutamento solo se altri attributi del lavoro sono particolarmente interessanti (ad esempio, orari di lavoro, opportunità di formazione, benefici, ecc.). Per quanto riguarda i risarcimenti, i CISO devono fare pressioni sulle risorse umane, sulla finanza e su altri dipartimenti per offrire stipendi competitivi, oppure devono affrontare una battaglia perenne per il reclutamento e la conservazione del personale. Per quanto riguarda gli altri fattori menzionati, i CISO devono garantire che i dipartimenti delle risorse umane e i reclutatori siano esperti nelle esigenze di sicurezza informatica e mettere insieme annunci di lavoro accurati e realistici come parte del loro processo di reclutamento.
|
Additional data from this year’s survey results add further evidence to the extent of the cybersecurity skills shortage. According to Figure 18, when asked how difficult it is to recruit cybersecurity professionals, 76% of security professionals say it is either extremely (18%) or somewhat difficult (58%).
|
Ulteriori dati dai risultati dell'indagine di quest'anno aggiungono ulteriori prove dell'entità della carenza di competenze in materia di sicurezza informatica. Secondo la Figura 18, quando viene chiesto quanto sia difficile reclutare professionisti della sicurezza informatica, il 76% dei professionisti della sicurezza afferma che è estremamente (18%) o alquanto difficile (58%).
|
Survey respondents were asked to identify areas with the most acute skills shortages. Nearly four in ten (39%) cite cloud computing security, followed by nearly a third (30%) who identify application security and/or security analysis and investigations as areas of personnel deficiency (see Figure 19).
|
Agli intervistati è stato chiesto di identificare le aree con le carenze di competenze più gravi. Quasi quattro su dieci (39%) citano la sicurezza del cloud computing, seguita da quasi un terzo (30%) che identifica la sicurezza delle applicazioni e/o le analisi e le indagini sulla sicurezza come aree di carenza del personale (vedere la Figura 19).
|
CISOs must understand the level of competition for candidates with these skill sets. It may be worthwhile to craft backup plans if recruitment efforts languish or fail completely. Examples include training software developers and DevOps personnel on application security, recruiting and training server virtualization administrators as cloud computing security specialists, and working with experienced managed services providers.
|
I CISO devono comprendere il livello di competizione per i candidati con queste competenze. Potrebbe essere utile elaborare piani di backup se gli sforzi di reclutamento languiscono o falliscono completamente. Esempi includono la formazione degli sviluppatori di software e del personale DevOps sulla sicurezza delle applicazioni, il reclutamento e la formazione degli amministratori della virtualizzazione dei server in qualità di specialisti della sicurezza del cloud computing e la collaborazione con fornitori di servizi gestiti esperti.
|
The research also points out that it is most difficult to recruit mid-career and senior cybersecurity professionals while fewer organizations have trouble recruiting entry-level security staff or cybersecurity leadership (see Figure 20).
|
La ricerca sottolinea inoltre che è più difficile reclutare professionisti della sicurezza informatica a metà carriera e senior, mentre un numero inferiore di organizzazioni ha difficoltà a reclutare personale di sicurezza entry-level o dirigenti della sicurezza informatica (vedere Figura 20).
|
While organizations find it difficult to recruit and hire cybersecurity staff, security professionals are constantly being recruited for new positions with promises of higher pay, better benefits, and an assortment of perks. In fact, 70% of the cybersecurity professionals surveyed are solicited to consider other job opportunities at least once per month (see Figure 21). Furthermore, 71% of survey respondents believe that the frequency/volume of job solicitations has increased over the past few years. Cybersecurity truly remains a seller’s market.
|
Mentre le organizzazioni hanno difficoltà a reclutare e assumere personale di sicurezza informatica, i professionisti della sicurezza vengono costantemente reclutati per nuove posizioni con promesse di retribuzioni più elevate, migliori benefici e un assortimento di vantaggi. Infatti, il 70% dei professionisti della sicurezza informatica intervistati sono invitati a prendere in considerazione altre opportunità di lavoro almeno una volta al mese (cfr. figura 21). Inoltre, il 71% degli intervistati ritiene che la frequenza/volume delle richieste di lavoro sia aumentato negli ultimi anni. La sicurezza informatica rimane davvero un mercato di vendita.
|
In 2021, survey respondents were once again asked to identify who is responsible for addressing the cybersecurity skills shortage. Respondents indicate that CISOs/CSOs really own this problem (see Figure 22). Are these individuals and the organizations they work for doing enough to address the cybersecurity skills shortage? Not according to survey respondents, as 27% believe their organization could be doing somewhat more to address the skills shortage while nearly one-third (32%) say their organizations could be doing much more here (see Figure 23).
|
Nel 2021, agli intervistati è stato chiesto ancora una volta di identificare chi è responsabile per affrontare la carenza di competenze in materia di sicurezza informatica. Gli intervistati indicano che i CISO e le organizzazioni della società civile possiedono realmente questo problema (vedere Figura 22). Questi individui e le organizzazioni per cui lavorano stanno facendo abbastanza per affrontare la carenza di competenze in materia di sicurezza informatica? Non secondo gli intervistati, poiché il 27% ritiene che la propria organizzazione potrebbe fare qualcosa di più per affrontare la carenza di competenze, mentre quasi un terzo (32%) afferma che le proprie organizzazioni potrebbero fare molto di più qui (vedere Figura 23).
|
As previously stated, this data reinforces the need for CISOs/CSOs and the organizations they work for to plan for staff and skills shortages by including plans for additional use of professional/managed services and process automation. Organizations should also research, test, and pilot “smart” security solutions based on advanced analytics. These technologies vary widely in terms of efficacy and should be approached cautiously, but their potential to augment human skills in the future is worth pursuing.
|
Come affermato in precedenza, questi dati rafforzano la necessità per i CISO/CSO e le organizzazioni per le quali lavorano di pianificare la carenza di personale e competenze includendo piani per l'uso aggiuntivo di servizi professionali/gestiti e l'automazione dei processi. Le organizzazioni dovrebbero inoltre ricercare, testare e sperimentare soluzioni di sicurezza «intelligenti» basate su analisi avanzate. Queste tecnologie variano notevolmente in termini di efficacia e dovrebbero essere affrontate con cautela, ma vale la pena perseguire il loro potenziale di accrescimento delle competenze umane in futuro.
|
With most respondents believing that their organizations could do more to address the skills shortage, ESG and ISSA asked them for some specific recommendations (see Figure 24). Cybersecurity professionals suggested actions like increasing the commitment to cybersecurity training, increasing compensation, providing additional perks, and creating or improving a cybersecurity internship program.
|
Dato che la maggior parte degli intervistati ritiene che le loro organizzazioni possano fare di più per affrontare la carenza di competenze, ESG e ISSA hanno chiesto loro alcune raccomandazioni specifiche (cfr. figura 24). I professionisti della sicurezza informatica hanno suggerito azioni come aumentare l'impegno nella formazione sulla sicurezza informatica, aumentare i compensi, fornire ulteriori vantaggi e creare o migliorare un programma di tirocinio sulla sicurezza informatica.
|
The top three recommendations are clear; organizations need to offer competitive compensation, benefits, and training opportunities to attract top cybersecurity talent. Aside from these basics, survey respondents have some additional advice such as looking beyond security and IT for talent, working more closely with cybersecurity professional organizations, and increasing work with local colleges and universities. In summary, successful cybersecurity recruiting requires a bit of experimentation and creativity. Organizations should take chances with the goal of creating programs that are attractive to the cybersecurity community. CISOs should gather further feedback and enlist the HR department’s help to create this type of environment.
|
Le tre raccomandazioni principali sono chiare; le organizzazioni devono offrire compensi competitivi, vantaggi e opportunità di formazione per attirare i migliori talenti della sicurezza informatica. Oltre a queste nozioni di base, gli intervistati hanno alcuni consigli aggiuntivi come guardare oltre la sicurezza e l'IT per i talenti, lavorare più a stretto contatto con le organizzazioni professionali della sicurezza informatica e aumentare il lavoro con i college e le università locali. In sintesi, il successo del reclutamento nel campo della sicurezza informatica richiede un po' di sperimentazione e creatività. Le organizzazioni dovrebbero correre dei rischi con l'obiettivo di creare programmi che siano attraenti per la comunità della sicurezza informatica. I CISO dovrebbero raccogliere ulteriori feedback e ottenere l'aiuto del dipartimento HR per creare questo tipo di ambiente.
|
|
|